包含所有事件类型中可用的通用字段。
文件属性。
-
file.setuid -
如果文件设置了
setuid位则设置。否则省略。类型:布尔值
示例:True
-
file.setgid -
如果文件设置了
setgid位则设置。否则省略。类型:布尔值
示例:True
-
file.origin -
一个字符串数组,描述此文件的可能外部来源。例如,它下载自的 URL。仅在 macOS 中支持,通过 kMDItemWhereFroms 属性。如果来源信息不可用则省略。
类型:关键字
-
file.origin.text -
这是一个经过分析的字段,可用于对来源数据进行全文搜索。
类型:文本
文件的 SELinux 标识。
-
file.selinux.user -
对象的拥有者。
类型:关键字
-
file.selinux.role -
对象的 SELinux 角色。
类型:关键字
-
file.selinux.domain -
对象的 SELinux 域或类型。
类型:关键字
-
file.selinux.level -
对象的 SELinux 级别。
类型:关键字
示例:s0
用户信息。
审计用户信息。
-
user.audit.id -
审计用户 ID。
类型:关键字
-
user.audit.name -
审计用户名。
类型:关键字
文件系统用户信息。
-
user.filesystem.id -
文件系统用户 ID。
类型:关键字
-
user.filesystem.name -
文件系统用户名。
类型:关键字
文件系统组信息。
-
user.filesystem.group.id -
文件系统组 ID。
类型:关键字
-
user.filesystem.group.name -
文件系统组名。
类型:关键字
保存的用户信息。
-
user.saved.id -
保存的用户 ID。
类型:关键字
-
user.saved.name -
保存的用户名。
类型:关键字
保存的组信息。
-
user.saved.group.id -
保存的组 ID。
类型:关键字
-
user.saved.group.name -
保存的组名。
类型:关键字