自动日志结构

当启用自动日志结构时,InsightIDR会将日志从已知格式(如CEF和JSON)转换为人类可读的格式,这允许您编写LEQL查询和轻松搜索您的日志。

如果没有自动日志结构,InsightIDR将JSON或CEF日志文件编码为字符串,并将其放在source_data您日志的字段。这个结果source_data字段读取为单个日志行。

由于自动日志结构是可选的,如果您选择不使用它,日志收集将照常进行。

在你开始之前

如果您想利用自动日志结构,请确保配置您的设备或第三方设备以CEF或JSON格式发送数据。

如果您有警报、仪表板或基于source_data字段,请确保在启用自动结构后更新它们。否则,它们将无效。

启用自动日志结构

启用“自动日志结构”。

  1. 1 .登录InsightIDR。
  2. 在左边的菜单上,选择设置页面。
  3. 在表的底部,选择自动日志结构选项卡。
  4. 切换的启用按钮。