文件名称:ecs-mapping:将Corelight或Zeek数据映射到Elastic Common Schema字段
文件大小:126KB
文件格式:ZIP
更新时间:2024-06-09 20:01:36
Shell
Corelight弹性通用架构映射 概述 Elastic Common Schema( )是一种在Elastic中跨多个数据源统一字段名称的方法。 该映射使用Elastic的摄取节点管道将Corelight或Zeek数据类型连接到相关的Elastic Common Schema字段名称。 有关映射如何工作的一些注意事项: 在此操作中替换字段名称(即,ECS不支持同时为同一记录使用原始字段名称和ECS字段名称)。 支持开源Zeek和Corelight源类型。 如果更改了源类型,则需要编辑这些映射文件以解决该问题。 可以使用ElasticSearch接收节点或直接在Kibana中完成映射,如下所述。 完成后,映射仅适用于新数据,应使用新索引来完成。 这是因为(由于Elastic的工作原理)如果在混合索引中进行提取,则将导致新旧字段名称之间的字段名称冲突。 如果这是一个特别令人担忧的问