Rapid7 Universal DHCP.

如果Rapid7不支持您的DHCP服务器的日志格式,您仍然可以将数据发送到InsightIDR,只要您转换您的日志,以满足通用事件格式(UEF)合同。

需要帮助转换日志吗?

请在此阅读转换日志的说明Rapid7博客或者在转换日志到UEF帮助页面。

必填字段

确保您的DHCP日志包含以下字段,以便您可以构造一个有效的UEF DHCP对象。违反UEF的对象将不会被InsightIDR吸收,并且日志搜索将不可用。

看到https://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol有关DHCP协议的更多信息。

需要吗?

验证

描述

event_type

是的

该字段必须是DHCP_LEASE,以表示通用事件的类型。

此通用事件的事件类型。

版本

是的

目前唯一支持的DHCP_LEASE event_type版本是v1。

DHCP_LEASE event_type被版本化。将来可能会添加新版本,并添加、删除或修改文档字段。

时间

是的

必须是有效的ISO 8601扩展时间戳,毫秒精度,例如:
yyyy-MM-ddTHH: mm: SS。SSSZ

ISO 8601扩展时间戳。

client_hostname.

是的

如果可能的话,使用完全限定的域名。否则,接受短主机名。

DHCP客户端的主机名,如DHCP option 12所示。

client_ip

是的

必须是IPv4地址或IPv4映射的IPv6地址。

DHCPACK中YIADDR字段中存在的DHCP客户端的地址。

操作

是的

这个字段必须是获得释放

DHCP操作。

获得直接与DHCP ACK相关联,或者如果DHCP服务器正在创建新的租约或更新现有租约。

释放将直接与DHCP释放相关联。

client_mac_address

没有

这必须是一个6字节的MAC地址编码为6个十六进制的八位元。

目前,格式如下:
02:42:C9:A9:CD:B6

DHCP客户端的mac地址。

这是DHCP ACK数据包中的CHADDR(客户端硬件地址)。

custom_data

没有

必须是json对象。

使用此字段发送任何附加信息。这些数据将用于日志搜索和LEQL查询。

例子的格式

注:区分大小写

请注意,InsightIDR认为这些日志线是区分大小写的。

您必须以UTF-8格式将事件发送到InsightIDR收集器,每个日志行表示单个事件,并用换行分隔每个事件。例如,{“event_type”:“DHCP_LEASE”、“版本”:“v1”,“时间”:“2018 - 06 - 07年t18:18:31.1z”、“client_hostname”:“pc.acme.com”,“client_ip”:“10.6.102.53”,“操作”:“获得”}

发送到InsightIDR的每个事件不能包含换行符。

下面是一些具有可读格式的通用DHCP事件的例子:

         
1
2
3.
“版本”:“v1”,
4
:“event_type DHCP_LEASE”,
5
“时间”:“2018 - 06 - 07 - t18:18:31.1234 + 0300”,
6
“client_hostname”:“pc.acme.com”,
7
:“client_ip 10.6.102.53”,
8
“操作”:“获得”
9

或者:

         
1
2
“版本”:“v1”,
3.
:“event_type DHCP_LEASE”,
4
“时间”:“2018 - 06 - 07年t18:18:31.123z”,
5
“client_hostname”:“pc.acme.com”,
6
:“client_ip 10.6.102.53”,
7
“操作”:“获得”,
8
“client_mac_address”:“02:42:C9:A9:CD:B6”,
9
" custom_data ": {
10
“位置”:“温哥华办公室”,
11
“dhcp_server_number”:1
12
13