系统用户数据集
编辑系统用户数据集
编辑此功能处于测试阶段,可能会发生变化。其设计和代码不如正式 GA 功能成熟,按“原样”提供,不附带任何担保。测试版功能不受正式 GA 功能的支持服务级别协议 (SLA) 的约束。
这是系统模块的user数据集。
它仅在 Linux 上实现。
示例仪表盘
编辑该数据集附带一个示例仪表盘。
字段
编辑有关数据集中每个字段的描述,请参阅导出字段部分。
这是一个由该数据集生成的示例文档。
{
"@timestamp": "2017-10-12T08:05:34.853Z",
"event": {
"action": "user_added",
"dataset": "user",
"kind": "event",
"module": "system"
},
"message": "New user elastic (UID: 1001, Groups: elastic,docker)",
"service": {
"type": "system"
},
"system": {
"audit": {
"user": {
"dir": "/home/elastic",
"gid": "1001",
"group": [
{
"gid": "1001",
"name": "elastic"
},
{
"gid": "1002",
"name": "docker"
}
],
"name": "elastic",
"shell": "/bin/bash",
"uid": "1001"
}
}
},
"user": {
"entity_id": "FgDfgeDptvvfdX+L",
"id": "1001",
"name": "elastic"
}
}