通用字段
包含所有事件类型中可用的通用字段。
文件属性。
file.setuid- 如果文件设置了
setuid位,则设置为此值。否则省略。
类型:boolean
示例:True
file.setgid- 如果文件设置了
setgid位,则设置为此值。否则省略。
类型:boolean
示例:True
file.origin- 描述此文件的可能外部来源的字符串数组。例如,下载它的 URL。仅在 macOS 中通过 kMDItemWhereFroms 属性支持。如果来源信息不可用,则省略。
类型:keyword
file.origin.text- 这是一个经过分析的字段,可用于对来源数据进行全文搜索。
类型:text
文件的 SELinux 身份。
file.selinux.user- 对象的拥有者。
类型:keyword
file.selinux.role- 对象的 SELinux 角色。
类型:keyword
file.selinux.domain- 对象的 SELinux 域或类型。
类型:keyword
file.selinux.level- 对象的 SELinux 级别。
类型:keyword
示例:s0
用户信息。
审计用户信息。
user.audit.id- 审计用户 ID。
类型:keyword
user.audit.name- 审计用户名。
类型:keyword
文件系统用户信息。
user.filesystem.id- 文件系统用户 ID。
类型:keyword
user.filesystem.name- 文件系统用户名。
类型:keyword
文件系统组信息。
user.filesystem.group.id- 文件系统组 ID。
类型:keyword
user.filesystem.group.name- 文件系统组名。
类型:keyword
保存的用户信息。
user.saved.id- 保存的用户 ID。
类型:keyword
user.saved.name- 保存的用户名。
类型:keyword
保存的组信息。
user.saved.group.id- 保存的组 ID。
类型:keyword
user.saved.group.name- 保存的组名。
类型:keyword