Přeskočit obsah

Event Lane

Integrace jsou deklarovány v event lanech. Každý event lane může poskytovat jednu nebo více integrací. Události jsou odesílány z Kafka events tématu, které musí být přítomno v deklaraci event lane.

/EventLanes/mytenant/my-event-lane.yaml
---
define:
  type: lmio/event-lane
  name: Fortinet FortiGate (10040)

...

integrations:

  # Odesílá události pomocí TCP syslog protokolu
  - bsd_syslog:
      output_type: tcp
      address: 1.2.3.4 514
      # filtry:  # viz níže
      # rate_limiter:  # viz níže

  # Odesílá události ve formátu CEF
  - cef:
      output_type: tcp
      address: 1.2.3.4 1234
      # filtry:  # viz níže
      # rate_limiter:  # viz níže

Podporované integrace:

  • json: Odesílá příchozí událost jako JSON řetězec
  • bsd_syslog: Odesílá původní událost nebo JSON pomocí BSD Syslog
  • cef: Odesílá událost pomocí CEF formátu vhodného např. pro Micro Focus ArcSight
  • raw: Odesílá původní událost bez jakýchkoli hlaviček nebo formátování
  • events: Odesílá (analyzované) události z vnitřku Event Lane
  • mapping: Mapuje atributy z události na vlastní názvy polí pomocí mapping konfigurační možnosti

output_type:

  • tcp: Odesílá zprávy prostřednictvím TCP protokolu. Vyžaduje address (host port).
  • kafka: Odesílá zprávy do vyhrazeného Kafka tématu, ze kterého je může spotřebovat jiná služba.
  • unix-stream: Odesílá zprávy prostřednictvím UNIX stream socketu.
  • script: Odesílá zprávy do skriptu specifikovaného v script: konfigurační možnosti, skript by měl být umístěn v /Integrations/Scripts uvnitř knihovny

Rate limiter

Když je použit tcp typ výstupu, může být použita možnost rate limiter nazvaná rate_limiter pro danou integraci následujícím způsobem, aby se omezil počet EPS (událostí za sekundu):

  bsd_syslog:
    output_type: tcp
    address: 127.0.0.1 7999
    rate_limiter: 20000  # EPS

Rate limiter tak nastavuje maximum 20 000 EPS pro danou integraci, takže technologie výstupu, která bude data spotřebovávat, se může vyhnout problémům s výkonem.

Raw forwarding

Konfigurace:

raw:
  output_type: tcp
  address: 1.2.3.4 2345
  • delimiter: Volitelný argument, který specifikuje, jaký oddělovač připojit k každé odeslané události, je to znak nebo CR, LF nebo CRLF.

Tato integrace používá raw pole ze schématu.

Tip

Použijte tuto integraci, pokud chcete jednoduše odeslat příchozí zprávy v jejich původní podobě do jiných aplikací.

JSON

Konfigurace:

json:
  output_type: tcp
  address: 1.2.3.4 2345

Tato integrace transformuje událost na JSON řetězec a odešle ji na specifikovaný (zde tcp) výstup.

BSD Syslog

Integrace, která produkuje události ve formátu BSD Syslog (RFC 3164).

Konfigurace:

bsd_syslog:
  output_type: tcp
  address: 1.2.3.4 514
  • delimiter: Volitelný argument, který specifikuje, jaký oddělovač připojit k každé odeslané události, je to znak nebo CR, LF nebo CRLF.

Tato integrace používá raw a principal_datetime pole ze schématu.

Příklad výstupu

<14> Oct 01 12:43:25 instance-1 lmio-integ[1]: <30>Oct 01 12:43:13 bradavice-hagrid ntopng[1007416]: ....

Všimněte si hlavičky BSD syslog přidané TeskaLabs LogMan.io.

Field forwarding

Integrace pole produkuje události se specifickým polem, typicky event.original, v jednoduchém JSON.

field:
  output_type: tcp
  address: 1.2.3.4
  field_name: event.original

Příklad výstupu

{
    "event.original": <30>Oct 01 12:43:13 bradavice-hagrid ntopng[1007416]: ....
}

CEF

CEF integrace (např. s Micro Focus ArcSight) odesílá zpracované události z events tématu ve formátu ArcSight Common CEF.

Konfigurace:

cef:
  output_type: tcp
  address: 1.2.3.4 1234

Předpokládá se, že Micro Focus ArcSight naslouchá na TCP 1.2.3.4:1234.

Tato integrace používá deviceEventClassId_field, name_field a severity_field pole ze schématu:

---
define:
  type: lmio/schema

  deviceEventClassId_field: deviceEventClassId
  name_field: name
  severity_field: severity

...

Příklad výstupu

CEF:0|TeskaLabs|LogMan.io|1.0|<deviceEventClassId_field>|<name_field>|<severity_field>| {
"@timestamp": "2024-09-30T02:30:13.343068Z",
"ecs.version": "1.10.0",
"event.action": "high-download-rate",
"event.dataset": "complex",
"event.kind": "alert",
"related.events": [],
"rule.description": "Tento baseliner sleduje protokoly, které naznačují aktivitu stahování souborů, a kontroluje, zda uživatel překračuje očekávanou rychlost stahování. Sledování aktivity stahování probíhá v definovaném období (den) a regionu (Česká republika), analyzující vzorce na základě pracovních dnů, víkendů a svátků. Když rychlost stahování uživatele překročí normální chování o významnou hodnotu (3 směrodatné odchylky nad průměrem), spustí se upozornění pro další vyšetřování.\n",
"rule.id": "",
"rule.name": "Vysoká rychlost stahování",
"rule.ruleset": "lmio-library",
"tenant": "plus",
"threat.indicator.sightings": 22,
"user.id": "dolores_umbridge@hogwarts.uk",
"_id": "9c15c30d30b3b813df94393288310d17ff06364f6e9cb5bb8d374ec1ca6dd6a0"
}

Filters

Pro nastavení filtrů pro příchozí události viz sekci Filters.