通用事件源
InsightIdr可以通过任何产品的日志普遍支持所选数据类型,只要将产品从产品转换为与通用事件格式(UEF)合同匹配的JSON。
这允许您将数据从其他非InsightIDR事件源发送到InsightIdr,并且仍然遇到与InsightIdr事件源相同的功能,例如用户行为分析。满足UEF合同的所有日志也将出现在日志搜索中。
需要帮助转换日志吗?
阅读有关转换日志的说明Rapid7博客文章或将日志转换为UEF帮助页面。
必需格式
场 |
需要吗? |
验证 |
描述 |
|---|---|---|---|
版本 |
是的 |
必须是通用事件event_type的文档版本字符串。 |
每个event_type都被版本化了。这个版本反映了通用事件的特定event_type的版本。 |
事件类型 |
是的 |
任何文档支持的值。 |
此通用事件的事件类型。 |
时间 |
是的 |
必须是有效的ISO 8601扩展时间戳,毫秒精度,例如: |
ISO 8601扩展时间戳。 |
custom_data. |
不 |
必须是一个JSON对象。 |
使用此字段发送任何附加信息。这些数据将用于日志搜索和LEQL查询。 |
请参阅每个event_type的文档,以查看应用的附加必需和可选字段。
时间戳
在sub-second部分中小于3位有效数字的时间戳将被增加到3位有效数字。例如,2018 - 06 - 07 - t12:34:56.1z将被解释为2018 - 06 - 07 - t12:34:56.100z.
此外,2018 - 06 - 07 - t12:34:56z(仅限秒)将被解释为2018 - 06 - 07 - t12:34:56.000z.
在sub-second部分中大于3位有效数字的时间戳将被截断为3位有效数字。例如,2018 - 06 - 07 - t12:34:56.123456z(子毫秒精度)将被解释为2018 - 06 - 07 - t12:34:56.123z.
预期的格式
您必须以UTF-8格式发送到InsightIdr收集器的事件,每个日志线代表单个事件和缩小每个事件的换行符。
例如,DHCP事件可以表示为:{“event_type”:“dhcp_leae”,“版本”:“v1”,“时间”:“2018-06-08T18:18:18.123z”,“client_hostname”:“pc.acme.com”,“client_ip”:“10.6.102.53”,“操作”:“获得”}
同样的事件在扩展JSON格式中是:
1
{
2
“版本”:“v1”,
3.
:“event_type DHCP_LEASE”,
4
“时间”:“2018 - 06 - 07 - t18:18:31.000123 + 0100”,
5
6
//此事件类型特定的字段
7
“client_hostname”:“pc.acme.com”,
8
:“client_ip 10.6.102.53”,
9
“操作”:“获得”
10.
}
日志格式化要求
InsightIDR将只处理符合指定格式的UEF事件事件类型和版本.如果日志不包含所需信息或违反UEF的合同,InsightIdr将不会解析日志,并且InsightIdr Analytics引擎不会处理它们或在日志搜索中出现。
可能违反UEF
可能违反UEF合同的行为包括:
- 畸形的JSON对象
- 包含UEF事件的多个或仅部分的日志行
- 根成员对象上具有无法识别的子字段的UEF事件
- 没有所有必填字段的UEF事件
- 包含可选或必需字段无效值的UEF事件
- 例如:如果一个字段是根成员对象的子字段,并且契约要求该值是IPv4地址,但该字段的值不是有效的IPv4地址
支持的事件类型
InsightIdr支持以下通用事件来源: