MAC Vendor Enricher

MAC Vendor obohacuje události o specifické atributy dodavatele na základě jejich hodnoty MAC adresy (pro detekci dodavatele se zohledňuje pouze prvních 6 znaků).

Příklad

Deklarace

---
define:
  name: MACVendor
  type: enricher/macvendor
  lookup: lmio_mac_vendor  # volitelné

attributes:
  MAC1: detectedVendor1
  MAC2: detectedVendor2
  ...

Vstup

Feb 5 10:50:01 0:0:0:0:0:ffff:1f1f:e001 %ASA-1-105043 5885E9001183

Výstup

{
    'rt': 1580899801.0,
    'MAC1': '5885E9001183',
    'detectedVendor1': 'Realme Chongqing Mobile Telecommunications Corp Ltd',
}

Sekce define

Tato sekce definuje název a typ obohacovače, který je v případě Mac Vendor vždy enricher/macvendor.

Položka name

Kratší, lidsky čitelný název této deklarace.

Položka type

Typ této deklarace, musí být enricher/macvendor.

Sekce attributes

Specifikujte slovník s MAC atributy eventu, ve kterých se vyhledává, jako například MAC1. Uvnitř slovníku zmíněte název atributu v události, kam bude uložen detekovaný dodavatel. Například:

  MAC1:
    detectedVendor1

prohledá MAC Vendor lookup pro MAC uložený v event["MAC1"], nahraje dodavatele do event["detectedVendor1"], pokud je úspěšně nalezen.

Lookup soubory

Lookup soubory pro MAC Vendor obohacovač jsou založeny na standardu OUI: standards-oui.ieee.org/oui.txt

Soubory jsou uloženy v výchozím adresáři (/lookups/macvendor), který může být přepsán v konfiguraci:

[lookup:lmio_mac_vendor]
path=...

lmio_mac_vendor je poskytované ID lookupu v definici obohacovače, které se výchozí nastavuje na lmio_mac_vendor.