普遍活动来源

只要您将产品的日志输出转换为匹配通用事件格式(Universal Event Format, UEF)合同的JSON, InsightIDR就可以普遍支持任何产品日志中的选定数据类型。

这允许您将数据从其他非InsightIDR事件源发送到InsightIDR,并仍然体验到与InsightIDR事件源相同的功能,如用户行为分析。所有符合UEF合同的日志也将出现在日志搜索中。

需要帮助转换日志?

请在此阅读转换日志的说明Rapid7博客或者在转换日志到UEF帮助页面。

要求的格式

场地

必需的?

验证

描述

版本

是的

必须是通用事件event_type的文档版本字符串。

每个event_type都是版本的。此版本反映了通用事件的特定Event_type的版本。

event_type

是的

任何已记录的支持值。

这个通用事件的事件类型。

时间

是的

必须是有效的ISO 8601扩展时间戳,具有毫秒精度,如以下内容:
yyyy-MM-ddTHH: mm: SS。SSSZ

ISO 8601扩展时间戳。


时间验证为更多的信息。

custom_data

没有

必须是json对象。

使用此字段发送任何其他信息。此数据可用于日志搜索和LEQL查询。

请参阅每个event_type的文档,以查看适用的其他必需和可选字段。

时间戳

在子第二部分中具有少于3个有效数字的时间戳将增加到3个有效数字。例如,2018-06-07T12:34:56.1Z将被解释为2018-06-07T12:34:56.100Z

此外,2018-06-07T12:34:56Z(仅秒精度)将被解释为2018-06-07T12:34:56.000Z

在子第二部分中具有大于3个有效位的时间戳将被截断为3个有效数字。例如,2018-06-07T12:34:56.123456Z(毫秒级精度)将被解释为2018-06-07T12:34:56.123Z

预期格式

您必须以UTF-8格式将事件发送到InsightIDR收集器,每个日志行表示单个事件,并用换行分隔每个事件。

例如,DHCP事件将表示为:{“event_type”:“DHCP_LEASE”、“版本”:“v1”,“时间”:“2018 - 06 - 08 - t18:18:18.123z”、“client_hostname”:“pc.acme.com”,“client_ip”:“10.6.102.53”,“操作”:“获得”}

扩展JSON格式的相同事件将是:

         
1
{
2
“版本”:“v1”,
3.
“event_type”:“DHCP_LEASE”,
4.
“时间”:“2018-06-07T18:18:31.000123 + 0100”,
5.
6.
//事件类型特定的字段
7.
“client_hostname”:“pc.acme.com”,
8.
“client_ip”:“10.6.102.53”,
9.
“操作”:“获得”
10
}

日志格式要求

InsightIdr只会处理UEF事件,符合给定的确切格式event_type版本.如果日志不包含所需信息或违反UEF合同,InsightIDR将不会对日志进行解析,InsightIDR分析引擎将不会对日志进行处理,也不会出现在日志搜索中。

可能的UEF违规

可能违反UEF合同的行为包括:

  • 畸形的JSON对象
  • 包含UEF事件的多个或仅部分的日志行
  • UEF事件,具有根成员对象上的无法识别的子字段
  • 没有所有必需字段的UEF事件
  • UEF事件包含可选或必填字段的无效值
  • 例如:如果字段是根成员对象的子组,并且合同要求该值是IPv4地址,但该字段的值不是有效的IPv4地址

支持的事件类型

InsightIDR支持以下通用事件源: