普遍活动来源
只要您将产品的日志输出转换为匹配通用事件格式(Universal Event Format, UEF)合同的JSON, InsightIDR就可以普遍支持任何产品日志中的选定数据类型。
这允许您将数据从其他非InsightIDR事件源发送到InsightIDR,并仍然体验到与InsightIDR事件源相同的功能,如用户行为分析。所有符合UEF合同的日志也将出现在日志搜索中。
要求的格式
场地 |
必需的? |
验证 |
描述 |
|---|---|---|---|
版本 |
是的 |
必须是通用事件event_type的文档版本字符串。 |
每个event_type都是版本的。此版本反映了通用事件的特定Event_type的版本。 |
event_type |
是的 |
任何已记录的支持值。 |
这个通用事件的事件类型。 |
时间 |
是的 |
必须是有效的ISO 8601扩展时间戳,具有毫秒精度,如以下内容: |
ISO 8601扩展时间戳。 |
custom_data |
没有 |
必须是json对象。 |
使用此字段发送任何其他信息。此数据可用于日志搜索和LEQL查询。 |
请参阅每个event_type的文档,以查看适用的其他必需和可选字段。
时间戳
在子第二部分中具有少于3个有效数字的时间戳将增加到3个有效数字。例如,2018-06-07T12:34:56.1Z将被解释为2018-06-07T12:34:56.100Z.
此外,2018-06-07T12:34:56Z(仅秒精度)将被解释为2018-06-07T12:34:56.000Z.
在子第二部分中具有大于3个有效位的时间戳将被截断为3个有效数字。例如,2018-06-07T12:34:56.123456Z(毫秒级精度)将被解释为2018-06-07T12:34:56.123Z.
预期格式
您必须以UTF-8格式将事件发送到InsightIDR收集器,每个日志行表示单个事件,并用换行分隔每个事件。
例如,DHCP事件将表示为:{“event_type”:“DHCP_LEASE”、“版本”:“v1”,“时间”:“2018 - 06 - 08 - t18:18:18.123z”、“client_hostname”:“pc.acme.com”,“client_ip”:“10.6.102.53”,“操作”:“获得”}
扩展JSON格式的相同事件将是:
1
{
2
“版本”:“v1”,
3.
“event_type”:“DHCP_LEASE”,
4.
“时间”:“2018-06-07T18:18:31.000123 + 0100”,
5.
6.
//事件类型特定的字段
7.
“client_hostname”:“pc.acme.com”,
8.
“client_ip”:“10.6.102.53”,
9.
“操作”:“获得”
10
}
日志格式要求
InsightIdr只会处理UEF事件,符合给定的确切格式event_type和版本.如果日志不包含所需信息或违反UEF合同,InsightIDR将不会对日志进行解析,InsightIDR分析引擎将不会对日志进行处理,也不会出现在日志搜索中。
可能的UEF违规
可能违反UEF合同的行为包括:
- 畸形的JSON对象
- 包含UEF事件的多个或仅部分的日志行
- UEF事件,具有根成员对象上的无法识别的子字段
- 没有所有必需字段的UEF事件
- UEF事件包含可选或必填字段的无效值
- 例如:如果字段是根成员对象的子组,并且合同要求该值是IPv4地址,但该字段的值不是有效的IPv4地址
支持的事件类型
InsightIDR支持以下通用事件源: