什么是数据源?

Data Source表示将日志发送到收集器或Insight Agent的资产。必威体育app登录然后,这些数据在被InsightOps摄取之前被转换成规范化的JSON。

基本

添加数据源

  1. 单击任何页面顶部的“添加数据”按钮。
  2. 确保安装Insight Agent和/或Co必威体育app登录llector以便从您的资产中收集日志。在右上角菜单中选择“Setup Agent”或“Setup Collectors”。
  3. 从应用程序库、系统数据或安全数据中选择要添加的数据源。

日志收集

以下是InsightOps允许您在添加数据源时选择的日志收集方法。

最常见的

  • 侦听系统日志-日志通过网络上的特定端口定向。告诉InsightOps在哪个端口“侦听”,它将收集日志。
  • 日志聚合器-日志当前聚合在其他地方的单个位置,但可以转发到InsightOps

其他方法

  • 尾文件——InsightOps将监视日志文件并接收添加到其中的任何新数据。
  • 监视目录-InsightOps将监视目录并接收添加到其中的任何新数据。
  • WMI-仅用于原始数据中的通用Windows数据日志。

端口和协议

  • 端口:单个日志可以通过网络上的一个端口进行定向;配置insight tops从该端口收集数据
  • UDP协议:通过网络发送单个数据包的无连接协议。被称为“尽力而为”协议,但不保证数据传输。
  • TCP协议:一种以字节流的形式将数据从一台计算机发送到另一台计算机的协议,它保证数据的完整性与发送顺序相同。

请参阅令牌TCP,HTTP POST,普通TCP/UDP获取更多输入信息。

InsightOps如何存储数据

InsightOps通过Amazon Web服务(AWS)存储数据,您可以通过该服务进行配置S3存档.

由insighttops收集的数据

收藏家数据源是生成日志事件并由Collector接收的数据流。

InsightOps监视数据源日志中的以下字段集:

活动目录

  • 时间戳
  • 行动
  • 源用户
  • 源帐户
  • 目标用户
  • 目标客户
  • 团体
  • 组范围
  • 组域

资产认证

  • 时间戳
  • 资产来源
  • 目标资产
  • 源资产地址
  • 目标资产地址
  • 目标用户
  • 目的地帐户
  • 目的域
  • 目标帐户SID
  • 登录类型
  • 结果
  • 新身份验证
  • 新源身份验证
  • 新账户来源
  • 服务

云服务管理员活动

  • 时间戳
  • 服务
  • 行动
  • 源用户
  • 源帐户
  • 目标用户
  • 目标客户

域名服务器

  • 时间戳
  • 资产
  • 用户
  • 源地址
  • 查询
  • 公共后缀
  • 顶级私人领域

文件访问活动

  • 时间戳
  • 用户
  • 账户
  • 帐户域
  • 源地址
  • 服务
  • 目标地址
  • 文件路径
  • 文件名称
  • 文件扩展名
  • 文件共享
  • 访问类型

防火墙的活动

  • 时间戳
  • 资产
  • 用户
  • 源地址
  • 源端口
  • 目的地址
  • 目的港
  • 连接状态
  • 方向
  • GEOIP组织
  • GEOIP国家代码
  • 国家名称
  • GEOIP的城市
  • GEOIP区域

主持IP观察

  • 时间戳
  • 行动
  • HostID
  • 知识产权
  • 观察状态

IDS警报

  • 时间戳
  • 资产
  • 用户
  • 签名
  • 源IP
  • 目的地
  • 描述
  • 严重程度
  • 协议
  • 发电机ID
  • 源端口
  • 目的港

进入认证(OWA / ActiveSync)

  • 时间戳
  • 用户
  • 账户
  • 结果
  • 源IP
  • 服务
  • GEOIP组织
  • GEOIP国家代码
  • 国家名称
  • GEOIP的城市
  • GEOIP区域

原始日志(通用Syslog和Windows事件日志)

  • 时间戳
  • 主机名
  • 事件代码
  • 描述
  • 包名
  • 目标用户名
  • 工作站
  • 地位

单点登录认证

  • 时间戳
  • 用户
  • 账户
  • 源IP
  • 服务
  • SSO提供者
  • GEOIP组织
  • GEOIP国家代码
  • 国家名称
  • GEOIP的城市
  • GEOIP区域