Rapid7 Universal DHCP.
如果Rapid7不支持您的DHCP服务器的日志格式,您仍然可以将数据发送到InsightIDR,只要您转换您的日志,以满足通用事件格式(UEF)合同。
必填字段
确保您的DHCP日志包含以下字段,以便您可以构造一个有效的UEF DHCP对象。违反UEF的对象将不会被InsightIDR吸收,并且日志搜索将不可用。
看到https://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol有关DHCP协议的更多信息。
场 |
需要吗? |
验证 |
描述 |
|---|---|---|---|
event_type |
是的 |
该字段必须是DHCP_LEASE,以表示通用事件的类型。 |
此通用事件的事件类型。 |
版本 |
是的 |
目前唯一支持的DHCP_LEASE event_type版本是v1。 |
DHCP_LEASE event_type被版本化。将来可能会添加新版本,并添加、删除或修改文档字段。 |
时间 |
是的 |
必须是有效的ISO 8601扩展时间戳,毫秒精度,例如: |
ISO 8601扩展时间戳。 |
client_hostname. |
是的 |
如果可能的话,使用完全限定的域名。否则,接受短主机名。 |
DHCP客户端的主机名,如DHCP option 12所示。 |
client_ip |
是的 |
必须是IPv4地址或IPv4映射的IPv6地址。 |
DHCPACK中YIADDR字段中存在的DHCP客户端的地址。 |
操作 |
是的 |
这个字段必须是 |
DHCP操作。 |
client_mac_address |
没有 |
这必须是一个6字节的MAC地址编码为6个十六进制的八位元。 |
DHCP客户端的mac地址。 |
custom_data |
没有 |
必须是json对象。 |
使用此字段发送任何附加信息。这些数据将用于日志搜索和LEQL查询。 |
例子的格式
注:区分大小写
请注意,InsightIDR认为这些日志线是区分大小写的。
您必须以UTF-8格式将事件发送到InsightIDR收集器,每个日志行表示单个事件,并用换行分隔每个事件。例如,{“event_type”:“DHCP_LEASE”、“版本”:“v1”,“时间”:“2018 - 06 - 07年t18:18:31.1z”、“client_hostname”:“pc.acme.com”,“client_ip”:“10.6.102.53”,“操作”:“获得”}
发送到InsightIDR的每个事件不能包含换行符。
下面是一些具有可读格式的通用DHCP事件的例子:
1
2
{
3.
“版本”:“v1”,
4
:“event_type DHCP_LEASE”,
5
“时间”:“2018 - 06 - 07 - t18:18:31.1234 + 0300”,
6
“client_hostname”:“pc.acme.com”,
7
:“client_ip 10.6.102.53”,
8
“操作”:“获得”
9
}
或者:
1
{
2
“版本”:“v1”,
3.
:“event_type DHCP_LEASE”,
4
“时间”:“2018 - 06 - 07年t18:18:31.123z”,
5
“client_hostname”:“pc.acme.com”,
6
:“client_ip 10.6.102.53”,
7
“操作”:“获得”,
8
“client_mac_address”:“02:42:C9:A9:CD:B6”,
9
" custom_data ": {
10
“位置”:“温哥华办公室”,
11
“dhcp_server_number”:1
12
}
13
}