› ›

ECS 字段

本节定义 Elastic 通用架构 (ECS) 字段——在 Elasticsearch 中存储事件数据时使用的通用字段集。

这是一个详尽的列表，此处列出的字段并不一定被 Auditbeat 使用。ECS 的目标是使和鼓励 Elasticsearch 用户规范化他们的事件数据，以便他们能够更好地分析、可视化和关联事件中表示的数据。

有关更多信息，请参阅 ECS 参考。

@timestamp

事件发源的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由事件第一次被管道接收的时间填充。所有事件的必需字段。

类型：date

示例：2016-05-23T08:05:34.853Z

必需：True

labels

自定义键值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。例如：docker 和 k8s 标签。

类型：object

示例：{"application": "foo-bar", "env": "production"}

message

对于日志事件，message 字段包含日志消息，经过优化可在日志查看器中查看。对于没有原始 message 字段的结构化日志，可以将其他字段连接起来，形成事件的可读摘要。如果存在多个消息，可以将它们组合成一个消息。

类型：match_only_text

示例：Hello World

tags

用于标记每个事件的关键字列表。

类型：keyword

示例：["production", "env2"]

agent

agent 字段包含有关软件实体的数据（如果有），这些实体收集、检测或观察主机上的事件，或对主机进行测量。例如 Beats。代理程序也可能在观察者上运行。ECS agent.* 字段应填充在发生事件或进行测量的主机或观察者上运行的代理程序的详细信息。

agent.build.original

代理程序的扩展构建信息。此字段旨在包含任何数据源可能提供的构建信息，不需要任何特定格式。

类型：keyword

示例：metricbeat 版本 7.6.0 (amd64), libbeat 7.6.0 [6a23e8f8f30f5001ba344e4e54d8d9cb82cb107c built 2020-02-05 23:10:10 +0000 UTC]

agent.ephemeral_id

此代理程序的临时标识符（如果存在）。此 ID 通常在重启时发生变化，但 agent.id 不会。

类型：keyword

示例：8a4f500f

agent.id

此代理程序的唯一标识符（如果存在）。例如：对于 Beats，这将是 beat.id。

类型：keyword

示例：8a4f500d

agent.name

代理程序的自定义名称。这是一个可以赋予代理程序的名称。例如，如果在同一主机上运行两个 Filebeat 实例，但需要对来自哪个 Filebeat 实例的数据进行人工可读的分离，这将很有帮助。如果没有给出名称，则名称通常为空。

类型：keyword

示例：foo

agent.type

代理程序的类型。代理程序类型始终保持不变，应由使用的代理程序给出。如果是 Filebeat，即使在同一台机器上运行两个 Filebeat 实例，代理程序也始终为 Filebeat。

类型：keyword

示例：filebeat

agent.version

代理程序的版本。

类型：keyword

示例：6.0.0-rc2

as

自治系统 (AS) 是一个连接的互联网协议 (IP) 路由前缀的集合，由一个或多个网络运营商代表单个管理实体或域控制，向互联网呈现共同的、明确定义的路由策略。

as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

as.organization.name

组织名称。

类型：keyword

示例：Google LLC

as.organization.name.text

类型：match_only_text

client

对于关于会话、连接或双向流记录的事件，客户端定义为网络连接的发起者。对于 TCP 事件，客户端是发送 SYN 数据包的 TCP 连接的发起者。对于其他协议，客户端通常是网络事务中的发起者或请求者。某些系统使用术语“发起者”来指代 TCP 连接中的客户端。客户端字段描述有关充当网络事件中客户端的系统的详细信息。客户端字段通常与服务器字段一起填充。通常不为数据包级别事件填充客户端字段。客户端/服务器表示可以向交换添加语义上下文，这有助于在某些情况下可视化数据。如果您的上下文属于该类别，您仍应确保正确填充源和目标。

client.address

某些事件客户端地址定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后应根据其类型将其复制到 .ip 或 .domain。

类型：keyword

client.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

client.as.organization.name

组织名称。

类型：keyword

示例：Google LLC

client.as.organization.name.text

类型：match_only_text

client.bytes

从客户端发送到服务器的字节数。

类型：long

示例：184

格式：bytes

client.domain

客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。此值可能来自原始事件或从丰富中添加。

类型：keyword

示例：foo.example.com

client.geo.city_name

城市名称。

类型：keyword

示例：Montreal

client.geo.continent_code

表示大陆名称的两位代码。

类型：keyword

示例：NA

client.geo.continent_name

大陆名称。

类型：keyword

示例：北美洲

client.geo.country_iso_code

国家/地区 ISO 代码。

类型：keyword

示例：CA

client.geo.country_name

国家/地区名称。

类型：keyword

示例：加拿大

client.geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

client.geo.name

用户定义的位置描述，处于他们关心的粒度级别。可以是其数据中心的名称、楼层编号（如果这是对本地物理实体的描述）、城市名称。通常不用于自动地理定位。

类型：keyword

示例：boston-dc

client.geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或邮政编码，并且在不同国家/地区会有很大差异。

类型：keyword

示例：94040

client.geo.region_iso_code

地区 ISO 代码。

类型：keyword

示例：CA-QC

client.geo.region_name

地区名称。

类型：keyword

示例：魁北克

client.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

client.ip

客户端的 IP 地址（IPv4 或 IPv6）。

类型：ip

client.mac

客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）都由两个[大写]十六进制数字表示，这些数字表示八位字节作为无符号整数的值。连续的八位字节用连字符隔开。

类型：keyword

示例：00-00-5E-00-53-23

client.nat.ip

基于源 NAT 会话的转换后的 IP（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

类型：ip

client.nat.port

基于源 NAT 会话的转换后的端口（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

类型：long

格式：string

client.packets

从客户端发送到服务器的数据包。

类型：long

示例：12

client.port

客户端的端口。

类型：long

格式：string

client.registered_domain

剥离子域的最高注册客户端域。例如，“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定此值。简单地获取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 来说效果不佳。

类型：keyword

示例：example.com

client.subdomain

完全限定域名中的子域部分包括除注册域下的主机名之外的所有名称。在部分限定域中，或者如果无法确定全名的限定级别，则子域包含注册域以下的所有名称。例如，“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个子域级别，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，没有尾随句点。

类型：keyword

示例：east

client.top_level_domain

有效的顶级域 (eTLD)，也称为域后缀，是域名中的最后一部分。例如，example.com 的顶级域是“com”。可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定此值。简单地获取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 来说效果不佳。

类型：keyword

示例：co.uk

client.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

client.user.email

用户电子邮件地址。

类型：keyword

client.user.full_name

用户的全名（如果可用）。

类型：keyword

示例：Albert Einstein

client.user.full_name.text

类型：match_only_text

client.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

client.user.group.id

系统/平台上组的唯一标识符。

类型：keyword

client.user.group.name

组的名称。

类型：keyword

client.user.hash

唯一的用户哈希值，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型：keyword

client.user.id

用户的唯一标识符。

类型：keyword

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

client.user.name

用户的简称或登录名。

类型：keyword

示例：a.einstein

client.user.name.text

类型：match_only_text

client.user.roles

事件发生时用户的角色数组。

类型：keyword

示例：["kibana_admin", "reporting_user"]

cloud

与事件来自的云或基础设施相关的字段。

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。例如：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：keyword

示例：666777888999

cloud.account.name

用于在多租户环境中标识不同实体的云帐户名称或别名。例如：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：keyword

示例：elastic-dev

cloud.availability_zone

此主机、资源或服务所在的可用区。

类型：keyword

示例：us-east-1c

cloud.instance.id

主机实例 ID。

类型：keyword

示例：i-1234567890abcdef0

cloud.instance.name

主机实例名称。

类型：keyword

cloud.machine.type

主机实例类型。

类型：keyword

示例：t2.medium

cloud.origin.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。例如：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：keyword

示例：666777888999

cloud.origin.account.name

用于在多租户环境中标识不同实体的云帐户名称或别名。例如：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：keyword

示例：elastic-dev

cloud.origin.availability_zone

此主机、资源或服务所在的可用区。

类型：keyword

示例：us-east-1c

cloud.origin.instance.id

主机实例 ID。

类型：keyword

示例：i-1234567890abcdef0

cloud.origin.instance.name

主机实例名称。

类型：keyword

cloud.origin.machine.type

主机实例类型。

类型：keyword

示例：t2.medium

cloud.origin.project.id

云项目标识符。例如：Google Cloud 项目 ID，Azure 项目 ID。

类型：keyword

示例：my-project

cloud.origin.project.name

云项目名称。例如：Google Cloud 项目名称，Azure 项目名称。

类型：keyword

示例：my project

cloud.origin.provider

云提供商名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型：keyword

示例：aws

cloud.origin.region

此主机、资源或服务所在的区域。

类型：keyword

示例：us-east-1

cloud.origin.service.name

云服务名称用于区分在提供商内不同平台上运行的服务，例如 AWS EC2 与 Lambda，GCP GCE 与 App Engine，Azure VM 与 App Server。示例：app engine、app service、cloud run、fargate、lambda。

类型：keyword

示例：lambda

cloud.project.id

云项目标识符。例如：Google Cloud 项目 ID，Azure 项目 ID。

类型：keyword

示例：my-project

cloud.project.name

云项目名称。例如：Google Cloud 项目名称，Azure 项目名称。

类型：keyword

示例：my project

cloud.provider

云提供商名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型：keyword

示例：aws

cloud.region

此主机、资源或服务所在的区域。

类型：keyword

示例：us-east-1

cloud.service.name

类型：keyword

示例：lambda

cloud.target.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。例如：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：keyword

示例：666777888999

cloud.target.account.name

用于在多租户环境中标识不同实体的云帐户名称或别名。例如：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：keyword

示例：elastic-dev

cloud.target.availability_zone

此主机、资源或服务所在的可用区。

类型：keyword

示例：us-east-1c

cloud.target.instance.id

主机实例 ID。

类型：keyword

示例：i-1234567890abcdef0

cloud.target.instance.name

主机实例名称。

类型：keyword

cloud.target.machine.type

主机实例类型。

类型：keyword

示例：t2.medium

cloud.target.project.id

云项目标识符。例如：Google Cloud 项目 ID，Azure 项目 ID。

类型：keyword

示例：my-project

cloud.target.project.name

云项目名称。例如：Google Cloud 项目名称，Azure 项目名称。

类型：keyword

示例：my project

cloud.target.provider

云提供商名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型：keyword

示例：aws

cloud.target.region

此主机、资源或服务所在的区域。

类型：keyword

示例：us-east-1

cloud.target.service.name

类型：keyword

示例：lambda

code_signature

这些字段包含有关二进制代码签名的信息。

code_signature.digest_algorithm

用于签署进程的哈希算法。当同一签名者使用不同的摘要算法多次签署文件时，此值可以区分签名。

类型：keyword

示例：sha256

code_signature.exists

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

code_signature.signing_id

用于签署进程的标识符。用于标识软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型：keyword

示例：com.apple.xpc.proxy

code_signature.status

有关证书状态的附加信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任度，则保持为空。

类型：keyword

示例：ERROR_UNTRUSTED_ROOT

code_signature.subject_name

代码签名者的主题名称

类型：keyword

示例：Microsoft Corporation

code_signature.team_id

用于签署进程的团队标识符。用于标识软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型：keyword

示例：EQHXZ8M8AV

code_signature.timestamp

生成和签署代码签名的时间和日期。

类型：date

示例：2021-01-01T12:10:30Z

code_signature.trusted

存储证书链的信任状态。验证证书链的信任度可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

code_signature.valid

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，则保持为空。

类型：布尔值

示例：true

container

容器字段用于关于作为信息来源的特定容器的元信息。这些字段有助于根据任何运行时的容器关联数据。

container.cpu.usage

CPU 使用率百分比，已根据 CPU 内核数量进行标准化，范围为 0 到 1。缩放因子：1000。

类型：scaled_float

container.disk.read.bytes

自上次指标收集以来成功读取的总字节数（来自所有磁盘的聚合）（规格）。

类型：long

container.disk.write.bytes

自上次指标收集以来成功写入的总字节数（来自所有磁盘的聚合）（规格）。

类型：long

container.id

唯一的容器 ID。

类型：keyword

container.image.name

容器构建所基于的镜像名称。

类型：keyword

container.image.tag

容器镜像标签。

类型：keyword

container.labels

镜像标签。

类型：object

container.memory.usage

内存使用率百分比，范围为 0 到 1。缩放因子：1000。

类型：scaled_float

container.name

容器名称。

类型：keyword

container.network.egress.bytes

自上次指标收集以来，容器在所有网络接口上发送出的字节数（规格）。

类型：long

container.network.ingress.bytes

自上次指标收集以来，容器在所有网络接口上接收到的字节数（规格）。

类型：long

container.runtime

管理此容器的运行时。

类型：keyword

示例：docker

data_stream

data_stream 字段参与定义新的数据流命名方案。在新数据流命名方案中，data_stream 字段的值将以下列方式组合成实际数据流的名称：{data_stream.type}-{data_stream.dataset}-{data_stream.namespace}。这意味着这些字段只能包含作为数据流名称一部分的有效字符。更多详细信息可以在此博客文章中找到。Elasticsearch 数据流由一个或多个后端索引组成，数据流名称构成后端索引名称的一部分。由于此约定，数据流还必须遵循索引命名限制。例如，数据流名称不能包含\、/、*、?、"、<、>、|、 ` `（空格字符）、,或#。有关其他限制，请参阅 Elasticsearch 参考。

data_stream.dataset

此字段可以包含任何有意义的内容来表示数据的来源。示例包括nginx.access、prometheus、endpoint等。对于其他方面符合但未设置数据集的数据流，我们对数据集值使用“generic”值。event.dataset的值应与data_stream.dataset的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，dataset值还有其他限制：* 必须不包含- * 不超过 100 个字符

类型：constant_keyword

示例：nginx.access

data_stream.namespace

用户定义的命名空间。命名空间有助于允许对数据进行分组。许多用户已经以这种方式组织他们的索引，并且数据流命名方案现在提供此最佳实践作为默认值。许多用户将使用default填充此字段。如果未使用任何值，则回退到default。除了上面提到的 Elasticsearch 索引命名标准之外，namespace值还有其他限制：* 必须不包含- * 不超过 100 个字符

类型：constant_keyword

示例：production

data_stream.type

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。

类型：constant_keyword

示例：logs

destination

目标字段捕获有关网络交换/数据包接收者的详细信息。这些字段是从网络事件、数据包或其他包含网络事务详细信息的事件中填充的。目标字段通常与源字段一起填充。源字段和目标字段被认为是基线，如果事件包含来自网络事务的源和目标详细信息，则应始终填充它们。如果事件还包含客户端和服务器角色的标识，则还应填充客户端和服务器字段。

destination.address

某些事件目标地址定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在.address字段中。然后应根据情况将其复制到.ip或.domain，具体取决于它是哪一个。

类型：keyword

destination.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

destination.as.organization.name

组织名称。

类型：keyword

示例：Google LLC

destination.as.organization.name.text

类型：match_only_text

destination.bytes

从目标发送到源的字节数。

类型：long

示例：184

格式：bytes

destination.domain

目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件或从丰富中添加。

类型：keyword

示例：foo.example.com

destination.geo.city_name

城市名称。

类型：keyword

示例：Montreal

destination.geo.continent_code

表示大陆名称的两位代码。

类型：keyword

示例：NA

destination.geo.continent_name

大陆名称。

类型：keyword

示例：北美洲

destination.geo.country_iso_code

国家/地区 ISO 代码。

类型：keyword

示例：CA

destination.geo.country_name

国家/地区名称。

类型：keyword

示例：加拿大

destination.geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

destination.geo.name

类型：keyword

示例：boston-dc

destination.geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或邮政编码，并且在不同国家/地区会有很大差异。

类型：keyword

示例：94040

destination.geo.region_iso_code

地区 ISO 代码。

类型：keyword

示例：CA-QC

destination.geo.region_name

地区名称。

类型：keyword

示例：魁北克

destination.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

destination.ip

目标的 IP 地址（IPv4 或 IPv6）。

类型：ip

destination.mac

目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位位组（即 8 位字节）由两个[大写]十六进制数字表示，表示八位位组的值为无符号整数。连续的八位位组用连字符分隔。

类型：keyword

示例：00-00-5E-00-53-23

destination.nat.ip

基于 NAT 会话的目标转换后的 IP（例如，互联网到专用 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

类型：ip

destination.nat.port

源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。

类型：long

格式：string

destination.packets

从目标发送到源的数据包。

类型：long

示例：12

destination.port

目标的端口。

类型：long

格式：string

destination.registered_domain

最高注册的目标域，已去除子域。例如，“foo.example.com”的注册域为“example.com”。可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定此值。尝试通过简单地获取最后两个标签来近似此值对于诸如“co.uk”之类的顶级域名将无法很好地工作。

类型：keyword

示例：example.com

destination.subdomain

类型：keyword

示例：east

destination.top_level_domain

类型：keyword

示例：co.uk

destination.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

destination.user.email

用户电子邮件地址。

类型：keyword

destination.user.full_name

用户的全名（如果可用）。

类型：keyword

示例：Albert Einstein

destination.user.full_name.text

类型：match_only_text

destination.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

destination.user.group.id

系统/平台上组的唯一标识符。

类型：keyword

destination.user.group.name

组的名称。

类型：keyword

destination.user.hash

唯一的用户哈希值，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型：keyword

destination.user.id

用户的唯一标识符。

类型：keyword

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

destination.user.name

用户的简称或登录名。

类型：keyword

示例：a.einstein

destination.user.name.text

类型：match_only_text

destination.user.roles

事件发生时用户的角色数组。

类型：keyword

示例：["kibana_admin", "reporting_user"]

dll

这些字段包含有关动态加载到进程中的代码库的信息。

许多操作系统使用不同的名称来指代“共享代码库”，但此字段集指代以下所有内容：* 动态链接库（.dll），通常用于 Windows * 共享对象（.so），通常用于类 Unix 操作系统 * 动态库（.dylib），通常用于 macOS

dll.code_signature.digest_algorithm

用于签署进程的哈希算法。当同一签名者使用不同的摘要算法多次签署文件时，此值可以区分签名。

类型：keyword

示例：sha256

dll.code_signature.exists

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

dll.code_signature.signing_id

用于签署进程的标识符。用于标识软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型：keyword

示例：com.apple.xpc.proxy

dll.code_signature.status

有关证书状态的附加信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任度，则保持为空。

类型：keyword

示例：ERROR_UNTRUSTED_ROOT

dll.code_signature.subject_name

代码签名者的主题名称

类型：keyword

示例：Microsoft Corporation

dll.code_signature.team_id

用于签署进程的团队标识符。用于标识软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型：keyword

示例：EQHXZ8M8AV

dll.code_signature.timestamp

生成和签署代码签名的时间和日期。

类型：date

示例：2021-01-01T12:10:30Z

dll.code_signature.trusted

存储证书链的信任状态。验证证书链的信任度可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

dll.code_signature.valid

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，则保持为空。

类型：布尔值

示例：true

dll.hash.md5

MD5 哈希值。

类型：keyword

dll.hash.sha1

SHA1 哈希值。

类型：keyword

dll.hash.sha256

SHA256 哈希值。

类型：keyword

dll.hash.sha512

SHA512 哈希值。

类型：keyword

dll.hash.ssdeep

SSDEEP 哈希值。

类型：keyword

dll.name

库的名称。这通常映射到磁盘上文件的名称。

类型：keyword

示例：kernel32.dll

dll.path

库的完整文件路径。

类型：keyword

示例：C:\Windows\System32\kernel32.dll

dll.pe.architecture

文件的 CPU 架构目标。

类型：keyword

示例：x64

dll.pe.company

编译时提供的文件内部公司名称。

类型：keyword

示例：Microsoft Corporation

dll.pe.description

编译时提供的文件内部描述。

类型：keyword

示例：画图

dll.pe.file_version

编译时提供的文件内部版本。

类型：keyword

示例：6.3.9600.17415

dll.pe.imphash

PE 文件导入项的哈希值。即使在重新编译或进行其他代码级转换后（这些转换会更改更传统的哈希值），imphash（或导入哈希）也可以用于识别二进制文件。更多信息请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

类型：keyword

示例：0c6803c4e922103c4dca5963aad36ddf

dll.pe.original_file_name

编译时提供的文件内部名称。

类型：keyword

示例：MSPAINT.EXE

dll.pe.product

编译时提供的文件内部产品名称。

类型：keyword

示例：Microsoft® Windows® 操作系统

dns

描述 DNS 查询和应答的字段。DNS 事件应表示获取应答之前的单个 DNS 查询（dns.type:query），或者应表示完整的交换，并包含查询详细信息以及为此查询提供的全部应答（dns.type:answer）。

dns.answers

一个数组，包含服务器返回的每个应答部分的对象。这些对象中应存在的关键键由 ECS 定义。包含更多信息的记录可能包含比 ECS 定义的更多键。并非所有 DNS 数据源都提供 DNS 应答的全部详细信息。至少，应答对象必须包含 data 键。如果提供更多信息，请尽可能多地将其映射到 ECS，并将任何其他字段作为自定义字段添加到应答对象中。

类型：object

dns.answers.class

此资源记录中包含的 DNS 数据的类别。

类型：keyword

示例：IN

dns.answers.data

描述资源的数据。此数据的含义取决于资源记录的类型和类别。

类型：keyword

示例：10.10.10.10

dns.answers.name

此资源记录相关的域名。如果正在解析 CNAME 链，则每个应答的 name 应与应答的 data 相对应。它不应仅仅是重复的原始 question.name。

类型：keyword

示例：www.example.com

dns.answers.ttl

此资源记录在应将其丢弃之前可以缓存的时间间隔（以秒为单位）。零值表示不应缓存数据。

类型：long

示例：180

dns.answers.type

此资源记录中包含的数据类型。

类型：keyword

示例：CNAME

dns.header_flags

包含两个字母的 DNS 头部标志的数组。预期值为：AA、TC、RD、RA、AD、CD、DO。

类型：keyword

示例：["RD", "RA"]

dns.id

由生成查询的程序分配的 DNS 数据包标识符。此标识符将复制到响应中。

类型：keyword

示例：62111

dns.op_code

DNS 操作代码，指定消息中查询的类型。此值由查询的发起者设置，并复制到响应中。

类型：keyword

示例：QUERY

dns.question.class

正在查询的记录类别。

类型：keyword

示例：IN

dns.question.name

正在查询的名称。如果名称字段包含不可打印字符（小于 32 或大于 126），则应将其表示为转义的十进制整数 (\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

类型：keyword

示例：www.example.com

dns.question.registered_domain

已注册的最高域名，已去除子域名。例如，“foo.example.com”的注册域名是“example.com”。可以使用公共后缀列表（例如 http://publicsuffix.org）精确确定此值。仅仅通过获取最后两个标签来近似此值对于“co.uk”之类的顶级域名 (TLD) 并不适用。

类型：keyword

示例：example.com

dns.question.subdomain

子域名是已注册域名下方的所有标签。如果域名具有多个级别的子域名，例如“sub2.sub1.example.com”，则子域名字段应包含“sub2.sub1”，没有尾随句点。

类型：keyword

示例：www

dns.question.top_level_domain

类型：keyword

示例：co.uk

dns.question.type

正在查询的记录类型。

类型：keyword

示例：AAAA

dns.resolved_ip

包含在 answers.data 中看到的全部 IP 地址的数组。answers 数组可能难以使用，因为它可以包含各种数据格式。将 answers 中看到的所有 IP 地址提取到 dns.resolved_ip 中，可以将它们作为 IP 地址进行索引，并使它们更容易可视化和查询。

类型：ip

示例：["10.10.10.10", "10.10.10.11"]

dns.response_code

DNS 响应代码。

类型：keyword

示例：NOERROR

dns.type

捕获的 DNS 事件类型，查询或应答。如果您的 DNS 事件源仅提供 DNS 查询，则应仅创建类型为 dns.type:query 的 dns 事件。如果您的 DNS 事件源也提供应答，则应为每个查询创建一个事件（可选，一旦看到查询）。以及包含所有查询详细信息和应答数组的第二个事件。

类型：keyword

示例：answer

ecs

特定于 ECS 的元信息。

ecs.version

此事件符合的 ECS 版本。ecs.version 是必需字段，必须存在于所有事件中。跨多个索引（可能符合略微不同的 ECS 版本）进行查询时，此字段使集成可以适应事件的模式版本。

类型：keyword

示例：1.0.0

必需：True

elf

这些字段包含 Linux 可执行链接格式 (ELF) 元数据。

elf.architecture

ELF 文件的机器架构。

类型：keyword

示例：x86-64

elf.byte_order

ELF 文件的字节顺序。

类型：keyword

示例：小端序

elf.cpu_type

ELF 文件的 CPU 类型。

类型：keyword

示例：Intel

elf.creation_date

尽可能从文件的元数据中提取。指示其构建或编译的时间。恶意软件创建者也可以伪造它。

类型：date

elf.exports

导出的元素名称和类型的列表。

类型：扁平化

elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：keyword

elf.header.class

ELF 文件的头部类别。

类型：keyword

elf.header.data

ELF 头部的數據表。

类型：keyword

elf.header.entrypoint

ELF 文件的头部入口点。

类型：long

格式：string

elf.header.object_version

原始 ELF 文件为“0x1”。

类型：keyword

elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：keyword

elf.header.type

ELF 文件的头部类型。

类型：keyword

elf.header.version

ELF 头部的版本。

类型：keyword

elf.imports

导入的元素名称和类型的列表。

类型：扁平化

elf.sections

一个数组，包含 ELF 文件每个节的对象。这些对象中应存在的键由 elf.sections.* 下面的子字段定义。

类型：嵌套

elf.sections.chi2

节的卡方概率分布。

类型：long

格式：数字

elf.sections.entropy

来自节的香农熵计算。

类型：long

格式：数字

elf.sections.flags

ELF 节列表标志。

类型：keyword

elf.sections.name

ELF 节列表名称。

类型：keyword

elf.sections.physical_offset

ELF 节列表偏移量。

类型：keyword

elf.sections.physical_size

ELF 节列表物理大小。

类型：long

格式：bytes

elf.sections.type

ELF 节列表类型。

类型：keyword

elf.sections.virtual_address

ELF 节列表虚拟地址。

类型：long

格式：string

elf.sections.virtual_size

ELF 节列表虚拟大小。

类型：long

格式：string

elf.segments

一个数组，包含 ELF 文件每个段的对象。这些对象中应存在的键由 elf.segments.* 下面的子字段定义。

类型：嵌套

elf.segments.sections

ELF 对象段节。

类型：keyword

elf.segments.type

ELF 对象段类型。

类型：keyword

elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：keyword

elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型：keyword

error

这些字段可以表示任何类型的错误。将它们用于获取事件时发生的错误或事件本身包含错误的情况。

error.code

描述错误的错误代码。

类型：keyword

error.id

错误的唯一标识符。

类型：keyword

error.message

错误消息。

类型：match_only_text

error.stack_trace

此错误的堆栈跟踪（纯文本）。

类型：通配符

error.stack_trace.text

类型：match_only_text

error.type

错误的类型，例如异常的类名。

类型：keyword

示例：java.lang.NullPointerException

event

事件字段用于关于日志或指标事件本身的上下文信息。日志定义为包含某事发生细节的事件。日志事件必须包含事件发生的时间。日志事件的示例包括主机上启动进程、从源到目标发送网络数据包或客户端和服务器之间的网络连接启动或关闭。指标定义为包含一个或多个数值测量值和测量时间点的事件。指标事件的示例包括主机上测量的内存压力和设备温度。有关指标和状态事件的更多详细信息，请参见本节中的 event.kind 定义。

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例是 group-add、process-started、file-created。该值通常由实现者定义。

类型：keyword

示例：user-password-change

event.agent_id_status

代理通常负责填充agent.id字段的值。如果接收事件的系统能够基于客户端的认证信息验证该值，则此字段可以用来反映该验证的结果。例如，如果代理的连接通过mTLS进行了身份验证，并且客户端证书包含颁发该证书的代理的ID，则可以将事件中的agent.id值与证书进行比较。如果值匹配，则将event.agent_id_status: verified添加到事件中，否则应使用其他允许的值之一。如果未执行验证，则应省略该字段。允许的值为：verified - agent.id字段的值与从身份验证元数据中获得的预期值匹配。 mismatch - agent.id字段的值与从身份验证元数据中获得的预期值不匹配。 missing - 事件中没有要验证的agent.id字段。 auth_metadata_missing - 没有身份验证元数据，或者缺少关于代理ID的信息。

类型：keyword

示例：verified

event.category

这是四个ECS分类字段之一，表示ECS类别层次结构中的第二级。event.category代表ECS类别的“大类别”。例如，根据event.category:process进行过滤将产生所有与进程活动相关的事件。此字段与event.type密切相关，后者用作子类别。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。

类型：keyword

示例：authentication

event.code

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确标识消息，而不管消息语言或措辞随时间的调整如何。Windows事件ID就是一个例子。

类型：keyword

示例：4648

event.created

event.created包含代理或您的管道首次读取事件的日期/时间。此字段与@timestamp不同，因为@timestamp通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳略有不同。差异可以用来计算您的来源生成事件与您的代理首次处理事件之间的时间延迟。这可以用来监控您的代理或管道的处理事件来源的能力。如果这两个时间戳相同，则应使用@timestamp。

类型：date

示例：2016-05-23T08:05:34.857Z

event.dataset

数据集的名称。如果事件源发布多个类型的日志或事件（例如，访问日志、错误日志），则数据集用于指定事件来自哪个日志或事件。建议但不要求数据集名称以模块名称开头，后跟一个点，然后是数据集名称。

类型：keyword

示例：apache.access

event.duration

事件持续时间（纳秒）。如果已知event.start和event.end，则此值应为结束时间和开始时间之间的差值。

类型：long

格式：duration

event.end

event.end包含事件结束或最后一次观察到活动的时间。

类型：date

event.hash

原始字段的哈希值（可能是logstash指纹），用于证明日志完整性。

类型：keyword

示例：123456789012345678901234567890ABCD

event.id

描述事件的唯一ID。

类型：keyword

示例：8a4f500d

event.ingested

事件到达中央数据存储的时间戳。这与@timestamp不同，后者是事件最初发生的时间。它也与event.created不同，后者旨在捕获代理第一次看到事件的时间。在正常情况下，假设没有篡改，时间戳的顺序应如下所示：@timestamp < event.created < event.ingested。

类型：date

示例：2016-05-23T08:05:35.101Z

event.kind

这是四个ECS分类字段之一，表示ECS类别层次结构中的最高级别。event.kind提供有关事件包含的信息类型的较高信息，而不会具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制，也可能有助于了解数据是否定期传入。

类型：keyword

示例：alert

event.module

此数据来自的模块名称。如果您的监控代理支持模块或插件的概念来处理给定来源的事件（例如，Apache日志），则event.module应包含此模块的名称。

类型：keyword

示例：apache

event.original

整个事件的原始文本消息。用于证明日志完整性或可能需要完整日志消息（在将其拆分为多个部分之前）的情况，例如重新索引。此字段未被索引，并且禁用了doc_values。它无法被搜索，但可以从_source中检索。如果用户希望覆盖此项并索引此字段，请参阅Elasticsearch Reference中的Field data types。

类型：keyword

字段未被索引。

event.outcome

这是四个ECS分类字段之一，表示ECS类别层次结构中的最低级别。event.outcome简单地表示事件从产生事件的实体的角度来看是否表示成功或失败。请注意，当单个事务在多个事件中描述时，每个事件都可能填充event.outcome的不同值，这取决于它们的角度。还要注意，对于复合事件（包含多个逻辑事件的单个事件），此字段应填充最能捕获事件生产者角度的整体成功或失败的值。此外，并非所有事件都具有相关的结果。例如，此字段通常不填充指标事件、event.type:info的事件或任何结果没有逻辑意义的事件。

类型：keyword

示例：success

event.provider

事件的来源。Syslog或Windows事件日志等事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd），也可以是操作系统的子系统的名称（内核、Microsoft-Windows-Security-Auditing）。

类型：keyword

示例：kernel

event.reason

根据来源，此事件发生的原因。这描述了事件中捕获的特定操作或结果的“原因”。其中event.action捕获事件中的操作，event.reason描述了为什么采取该操作。例如，具有event.action拒绝请求的Web代理还可以使用event.reason填充原因（例如blocked site）。

类型：keyword

示例：终止了意外进程

event.reference

链接到有关此事件的附加信息的参考URL。此URL链接到此事件的静态定义。由event.kind:alert指示的警报事件是此字段的常见用例。

类型：keyword

示例：https://system.example.com/event/#0001234

event.risk_score

事件的风险评分或优先级（例如，安全解决方案）。在此处使用您系统的原始值。

类型：float

event.risk_score_norm

事件的标准化风险评分或优先级，范围为0到100。如果您使用多个分配风险评分的系统，并且您希望看到所有系统的标准化值，这主要很有用。

类型：float

event.sequence

事件的序列号。序列号是由某些事件源发布的值，用于使事件的精确顺序明确无误，而不管时间戳精度如何。

类型：long

格式：string

event.severity

根据您的事件源，事件的数字严重性。不同的严重性值含义在不同来源和用例之间可能不同。实施者有责任确保来自同一来源的事件的严重性一致。Syslog严重性属于log.syslog.severity.code。event.severity旨在表示根据事件源（例如，防火墙、IDS）的严重性。如果事件源未发布其自身的严重性，则您可以选择将log.syslog.severity.code复制到event.severity。

类型：long

示例：7

格式：string

event.start

event.start包含事件开始或首次观察到活动的时间。

类型：date

event.timezone

当事件的时间戳不包含时区信息时（例如，默认的Syslog时间戳），应填充此字段。否则为可选。可接受的时区格式为：规范ID（例如，“Europe/Amsterdam”）、缩写（例如，“EST”）或HH:mm差值（例如，“-05:00”）。

类型：keyword

event.type

这是四个ECS分类字段之一，表示ECS类别层次结构中的第三级。event.type表示一个分类“子类别”，当与event.category字段值一起使用时，它能够将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的某些事件进行正确的分类。

类型：keyword

event.url

链接到外部系统以继续调查此事件的URL。此URL链接到另一个系统，在该系统中可以对事件的特定发生进行深入调查。由event.kind:alert指示的警报事件是此字段的常见用例。

类型：keyword

示例：https://mysystem.example.com/alert/5271dedb-f5b0-4218-87f0-4ac4870a38fe

faas

用户字段描述与事件相关的函数即服务信息。

faas.coldstart

布尔值，指示函数的冷启动。

类型：布尔值

faas.execution

当前函数执行的执行ID。

类型：keyword

示例：af9d5aa4-a685-4c5f-a22b-444f80b3cc28

faas.trigger

有关函数触发器的详细信息。

类型：嵌套

faas.trigger.request_id

触发器请求、消息、事件等的ID。

类型：keyword

示例：123456789

faas.trigger.type

函数执行的触发器。预期值为：* http * pubsub * datasource * timer * other

类型：keyword

示例：http

file

文件定义为已在文件系统上创建或已存在于文件系统上的一组信息。文件对象可以与主机事件、网络事件和/或文件事件相关联（例如，由文件完整性监控 [FIM] 产品或服务生成的事件）。文件字段提供有关与事件或指标相关联的受影响文件的详细信息。

file.accessed

上次访问文件的时间。请注意，并非所有文件系统都跟踪访问时间。

类型：date

file.attributes

文件属性数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表：存档、压缩、目录、加密、执行、隐藏、读取、只读、系统、写入。

类型：keyword

示例：["readonly", "system"]

file.code_signature.digest_algorithm

用于签署进程的哈希算法。当同一签名者使用不同的摘要算法多次签署文件时，此值可以区分签名。

类型：keyword

示例：sha256

file.code_signature.exists

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

file.code_signature.signing_id

用于签署进程的标识符。用于标识软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型：keyword

示例：com.apple.xpc.proxy

file.code_signature.status

有关证书状态的附加信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任度，则保持为空。

类型：keyword

示例：ERROR_UNTRUSTED_ROOT

file.code_signature.subject_name

代码签名者的主题名称

类型：keyword

示例：Microsoft Corporation

file.code_signature.team_id

用于签署进程的团队标识符。用于标识软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型：keyword

示例：EQHXZ8M8AV

file.code_signature.timestamp

生成和签署代码签名的时间和日期。

类型：date

示例：2021-01-01T12:10:30Z

file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任度可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

file.code_signature.valid

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，则保持为空。

类型：布尔值

示例：true

file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型：date

file.ctime

上次修改文件属性或元数据的时间。请注意，对文件内容的更改将更新mtime。这意味着ctime将同时调整，因为mtime是文件的属性。

类型：date

file.device

作为文件来源的设备。

类型：keyword

示例：sda

file.directory

文件所在的目录。在适当情况下，应包含驱动器号。

类型：keyword

示例：/home/alice

file.drive_letter

文件所在的驱动器号。此字段仅与 Windows 相关。值应为大写，不包括冒号。

类型：keyword

示例：C

file.elf.architecture

ELF 文件的机器架构。

类型：keyword

示例：x86-64

file.elf.byte_order

ELF 文件的字节顺序。

类型：keyword

示例：小端序

file.elf.cpu_type

ELF 文件的 CPU 类型。

类型：keyword

示例：Intel

file.elf.creation_date

尽可能从文件的元数据中提取。指示其构建或编译的时间。恶意软件创建者也可以伪造它。

类型：date

file.elf.exports

导出的元素名称和类型的列表。

类型：扁平化

file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：keyword

file.elf.header.class

ELF 文件的头部类别。

类型：keyword

file.elf.header.data

ELF 头部的數據表。

类型：keyword

file.elf.header.entrypoint

ELF 文件的头部入口点。

类型：long

格式：string

file.elf.header.object_version

原始 ELF 文件为“0x1”。

类型：keyword

file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：keyword

file.elf.header.type

ELF 文件的头部类型。

类型：keyword

file.elf.header.version

ELF 头部的版本。

类型：keyword

file.elf.imports

导入的元素名称和类型的列表。

类型：扁平化

file.elf.sections

一个数组，包含 ELF 文件每个节的对象。这些对象中应存在的键由 elf.sections.* 下面的子字段定义。

类型：嵌套

file.elf.sections.chi2

节的卡方概率分布。

类型：long

格式：数字

file.elf.sections.entropy

来自节的香农熵计算。

类型：long

格式：数字

file.elf.sections.flags

ELF 节列表标志。

类型：keyword

file.elf.sections.name

ELF 节列表名称。

类型：keyword

file.elf.sections.physical_offset

ELF 节列表偏移量。

类型：keyword

file.elf.sections.physical_size

ELF 节列表物理大小。

类型：long

格式：bytes

file.elf.sections.type

ELF 节列表类型。

类型：keyword

file.elf.sections.virtual_address

ELF 节列表虚拟地址。

类型：long

格式：string

file.elf.sections.virtual_size

ELF 节列表虚拟大小。

类型：long

格式：string

file.elf.segments

一个数组，包含 ELF 文件每个段的对象。这些对象中应存在的键由 elf.segments.* 下面的子字段定义。

类型：嵌套

file.elf.segments.sections

ELF 对象段节。

类型：keyword

file.elf.segments.type

ELF 对象段类型。

类型：keyword

file.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：keyword

file.elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型：keyword

file.extension

文件扩展名，不包括开头的点。请注意，当文件名具有多个扩展名（例如 example.tar.gz）时，只应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型：keyword

示例：png

file.fork_name

fork 是与文件系统对象关联的附加数据。在 Linux 上，资源 fork 用于与文件系统对象一起存储附加数据。文件至少有一个用于数据部分的 fork，并且可能存在其他 fork。在 NTFS 上，这类似于备用数据流 (ADS)，文件的默认数据流仅称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 通常采用以下形式：C:\path\to\filename.extension:some_fork_name，而some_fork_name 是应填充fork_name的值。filename.extension 应填充file.name，而extension 应填充file.extension。完整路径file.path 将包含 fork 名称。

类型：keyword

示例：Zone.Identifer

file.gid

文件的组 ID (GID)。

类型：keyword

示例：1001

file.group

文件的组名。

类型：keyword

示例：alice

file.hash.md5

MD5 哈希值。

类型：keyword

file.hash.sha1

SHA1 哈希值。

类型：keyword

file.hash.sha256

SHA256 哈希值。

类型：keyword

file.hash.sha512

SHA512 哈希值。

类型：keyword

file.hash.ssdeep

SSDEEP 哈希值。

类型：keyword

file.inode

在文件系统中表示文件的文件索引节点。

类型：keyword

示例：256383

file.mime_type

MIME 类型应使用IANA 官方类型（如果可能）标识文件或字节流的格式。当多个类型适用时，应使用最具体的类型。

类型：keyword

file.mode

文件的八进制表示模式。

类型：keyword

示例：0640

file.mtime

上次修改文件内容的时间。

类型：date

file.name

包含扩展名的文件名，不包括目录。

类型：keyword

示例：example.png

file.owner

文件所有者的用户名。

类型：keyword

示例：alice

file.path

文件的完整路径，包括文件名。在适当情况下，应包含驱动器号。

类型：keyword

示例：/home/alice/example.png

file.path.text

类型：match_only_text

file.pe.architecture

文件的 CPU 架构目标。

类型：keyword

示例：x64

file.pe.company

编译时提供的文件内部公司名称。

类型：keyword

示例：Microsoft Corporation

file.pe.description

编译时提供的文件内部描述。

类型：keyword

示例：画图

file.pe.file_version

编译时提供的文件内部版本。

类型：keyword

示例：6.3.9600.17415

file.pe.imphash

类型：keyword

示例：0c6803c4e922103c4dca5963aad36ddf

file.pe.original_file_name

编译时提供的文件内部名称。

类型：keyword

示例：MSPAINT.EXE

file.pe.product

编译时提供的文件内部产品名称。

类型：keyword

示例：Microsoft® Windows® 操作系统

file.size

文件大小（字节）。仅当file.type 为“file”时才相关。

类型：long

示例：16384

file.target_path

符号链接的目标路径。

类型：keyword

file.target_path.text

类型：match_only_text

file.type

文件类型（文件、目录或符号链接）。

类型：keyword

示例：file

file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型：keyword

示例：1001

file.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：keyword

示例：*.elastic.co

file.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型：keyword

示例：Example SHA2 High Assurance Server CA

file.x509.issuer.country

国家/地区代码列表。

类型：keyword

示例：US

file.x509.issuer.distinguished_name

颁发证书颁发机构的区分名称 (DN)。

类型：keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

file.x509.issuer.locality

地区名称列表 (L)

类型：keyword

示例：Mountain View

file.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：keyword

示例：Example Inc

file.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：keyword

示例：www.example.com

file.x509.issuer.state_or_province

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

file.x509.not_after

证书不再被认为有效的日期和时间。

类型：date

示例：2020-07-16 03:15:39+00:00

file.x509.not_before

证书首次被认为有效的日期和时间。

类型：date

示例：2019-08-16 01:40:25+00:00

file.x509.public_key_algorithm

用于生成公钥的算法。

类型：keyword

示例：RSA

file.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：keyword

示例：nistp521

file.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型：long

示例：65537

字段未被索引。

file.x509.public_key_size

公钥空间的大小（位）。

类型：long

示例：2048

file.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式化为不带冒号且为大写字符。

类型：keyword

示例：55FBB9C7DEBF09809D12CCAA

file.x509.signature_algorithm

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：keyword

示例：SHA256-RSA

file.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型：keyword

示例：shared.global.example.net

file.x509.subject.country

国家/地区代码列表

类型：keyword

示例：US

file.x509.subject.distinguished_name

证书主题实体的区分名称 (DN)。

类型：keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

file.x509.subject.locality

地区名称列表 (L)

类型：keyword

示例：San Francisco

file.x509.subject.organization

主题的组织 (O) 列表。

类型：keyword

示例：Example, Inc.

file.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型：keyword

file.x509.subject.state_or_province

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

file.x509.version_number

x509 格式的版本。

类型：keyword

示例：3

geo

地理字段可以携带与事件相关的特定位置的数据。此地理位置信息可以源自诸如 Geo IP 之类的技术，也可以是用户提供的。

geo.city_name

城市名称。

类型：keyword

示例：Montreal

geo.continent_code

表示大陆名称的两位代码。

类型：keyword

示例：NA

geo.continent_name

大陆名称。

类型：keyword

示例：北美洲

geo.country_iso_code

国家/地区 ISO 代码。

类型：keyword

示例：CA

geo.country_name

国家/地区名称。

类型：keyword

示例：加拿大

geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

geo.name

类型：keyword

示例：boston-dc

geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或邮政编码，并且在不同国家/地区会有很大差异。

类型：keyword

示例：94040

geo.region_iso_code

地区 ISO 代码。

类型：keyword

示例：CA-QC

geo.region_name

地区名称。

类型：keyword

示例：魁北克

geo.timezone

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

group

group 字段旨在表示与事件相关的组。

group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

group.id

系统/平台上组的唯一标识符。

类型：keyword

group.name

组的名称。

类型：keyword

hash

hash 字段表示不同的位哈希算法及其值。常用哈希的字段名称（例如 MD5、SHA1）是预定义的。通过将哈希算法名称小写并使用下划线分隔符（蛇形大小写，例如 sha3_512）来添加其他哈希的字段。请注意，此字段集用于可能在一系列通用字节上计算的常用哈希。实体特定的哈希（例如 ja3 或 imphash）放置在其相关的字段集中（分别为 tls 和 pe）。

hash.md5

MD5 哈希值。

类型：keyword

hash.sha1

SHA1 哈希值。

类型：keyword

hash.sha256

SHA256 哈希值。

类型：keyword

hash.sha512

SHA512 哈希值。

类型：keyword

hash.ssdeep

SSDEEP 哈希值。

类型：keyword

host

主机定义为一般的计算实例。ECS host.* 字段应填充有关发生事件的主机或从中获取测量的主机的详细信息。主机类型包括硬件、虚拟机、Docker 容器和 Kubernetes 节点。

host.architecture

操作系统架构。

类型：keyword

示例：x86_64

host.cpu.usage

CPU 使用率百分比，通过 CPU 核心数进行归一化，范围为 0 到 1。缩放系数：1000。例如：对于双核主机，此值应为两个核心的平均值，介于 0 和 1 之间。

类型：scaled_float

host.disk.read.bytes

自上次指标收集以来成功读取的总字节数（来自所有磁盘的聚合）（规格）。

类型：long

host.disk.write.bytes

自上次指标收集以来成功写入的总字节数（来自所有磁盘的聚合）（规格）。

类型：long

host.domain

主机所属域的名称。例如，在 Windows 上，这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可能是主机 LDAP 提供程序的域。

类型：keyword

示例：CONTOSO

host.geo.city_name

城市名称。

类型：keyword

示例：Montreal

host.geo.continent_code

表示大陆名称的两位代码。

类型：keyword

示例：NA

host.geo.continent_name

大陆名称。

类型：keyword

示例：北美洲

host.geo.country_iso_code

国家/地区 ISO 代码。

类型：keyword

示例：CA

host.geo.country_name

国家/地区名称。

类型：keyword

示例：加拿大

host.geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

host.geo.name

类型：keyword

示例：boston-dc

host.geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或邮政编码，并且在不同国家/地区会有很大差异。

类型：keyword

示例：94040

host.geo.region_iso_code

地区 ISO 代码。

类型：keyword

示例：CA-QC

host.geo.region_name

地区名称。

类型：keyword

示例：魁北克

host.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

host.hostname

主机的主机名。它通常包含主机机器上hostname命令返回的内容。

类型：keyword

host.id

唯一的主机 ID。由于主机名并不总是唯一的，因此请使用在您的环境中有意义的值。示例：beat.name 的当前用法。

类型：keyword

host.ip

主机 IP 地址。

类型：ip

host.mac

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节由连字符隔开。

类型：keyword

示例：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

host.name

主机名称。可以包含Unix系统上hostname命令的返回值、完全限定域名或用户指定的名称。发送者决定使用哪个值。

类型：keyword

host.network.egress.bytes

自上次指标收集以来，主机通过所有网络接口发送的字节数（规约型计数器）。

类型：long

host.network.egress.packets

自上次指标收集以来，主机通过所有网络接口发送的数据包数（规约型计数器）。

类型：long

host.network.ingress.bytes

自上次指标收集以来，主机通过所有网络接口接收的字节数（规约型计数器）。

类型：long

host.network.ingress.packets

自上次指标收集以来，主机通过所有网络接口接收的数据包数（规约型计数器）。

类型：long

host.os.family

操作系统系列（例如redhat、debian、freebsd、windows）。

类型：keyword

示例：debian

host.os.full

操作系统名称，包括版本或代号。

类型：keyword

示例：Mac OS Mojave

host.os.full.text

类型：match_only_text

host.os.kernel

操作系统内核版本，原始字符串。

类型：keyword

示例：4.4.0-112-generic

host.os.name

操作系统名称，不包括版本。

类型：keyword

示例：Mac OS X

host.os.name.text

类型：match_only_text

host.os.platform

操作系统平台（例如centos、ubuntu、windows）。

类型：keyword

示例：darwin

host.os.type

使用os.type字段将操作系统分类到主要的商业系列之一。应使用以下值之一（小写）：linux、macos、unix、windows。如果您使用的操作系统不在列表中，则不应填充此字段。请通过创建ECS问题来告知我们，以便提出添加建议。

类型：keyword

示例：macos

host.os.version

操作系统版本，原始字符串。

类型：keyword

示例：10.14.1

host.type

主机类型。对于云提供商，这可以是机器类型，例如t2.medium。如果是虚拟机，这可能是容器，或者是在您的环境中有意义的其他信息。

类型：keyword

host.uptime

主机运行的秒数。

类型：long

示例：1325

http

与HTTP活动相关的字段。使用设置为url字段来存储请求的URL。

http.request.body.bytes

请求正文的字节大小。

类型：long

示例：887

格式：bytes

http.request.body.content

完整的HTTP请求正文。

类型：通配符

示例：Hello world

http.request.body.content.text

类型：match_only_text

http.request.bytes

请求的总字节大小（正文和标头）。

类型：long

示例：1437

格式：bytes

http.request.id

每个HTTP请求的唯一标识符，用于关联客户端和服务器之间的交易日志。ID可能包含在非标准HTTP标头中，例如X-Request-ID或X-Correlation-ID。

类型：keyword

示例：123e4567-e89b-12d3-a456-426614174000

http.request.method

HTTP请求方法。该值应保留其原始事件中的大小写。例如，GET、get和GeT都被认为是此字段的有效值。

类型：keyword

示例：POST

http.request.mime_type

请求正文的MIME类型。此值必须仅根据请求正文的内容填充，而不是根据Content-Type标头填充。将请求的MIME类型与请求的Content-Type标头进行比较有助于检测威胁或配置错误的客户端。

类型：keyword

示例：image/gif

http.request.referrer

此HTTP请求的来源。

类型：keyword

示例：https://blog.example.com/

http.response.body.bytes

响应正文的字节大小。

类型：long

示例：887

格式：bytes

http.response.body.content

完整的HTTP响应正文。

类型：通配符

示例：Hello world

http.response.body.content.text

类型：match_only_text

http.response.bytes

响应的总字节大小（正文和标头）。

类型：long

示例：1437

格式：bytes

http.response.mime_type

响应正文的MIME类型。此值必须仅根据响应正文的内容填充，而不是根据Content-Type标头填充。将响应的MIME类型与响应的Content-Type标头进行比较有助于检测配置错误的服务器。

类型：keyword

示例：image/gif

http.response.status_code

HTTP响应状态码。

类型：long

示例：404

格式：string

http.version

HTTP版本。

类型：keyword

示例：1.1

interface

接口字段用于记录观察者（例如防火墙、路由器、负载均衡器）在处理网络连接的上下文中报告的入口和出口接口信息。对于单个观察者接口（例如跨端口上的网络传感器），只应填充observer.ingress信息。

interface.alias

系统报告的接口别名，通常用于防火墙实现中，例如inside、outside或dmz逻辑接口命名。

类型：keyword

示例：outside

interface.id

观察者报告的接口ID（通常是SNMP接口ID）。

类型：keyword

示例：10

interface.name

系统报告的接口名称。

类型：keyword

示例：eth0

log

有关事件日志机制或日志传输的详细信息。log.*字段通常填充有关用于创建和/或传输事件的日志机制的详细信息。例如，syslog详细信息位于log.syslog.*下。事件源的特定详细信息通常不会记录在log.*下，而是在event.*或其他ECS字段中。

log.file.path

此事件来自的日志文件的完整路径，包括文件名。在适当情况下，应包含驱动器号。如果事件不是从日志文件读取的，则不要填充此字段。

类型：keyword

示例：/var/log/fun-times.log

log.level

日志事件的原始日志级别。如果事件的来源提供日志级别或文本严重性，则这是进入log.level的级别。如果您的来源没有指定一个，您可以将事件传输的严重性放在此处（例如Syslog严重性）。一些例子是warn、err、i、informational。

类型：keyword

示例：error

log.logger

应用程序内记录器的名称。这通常是初始化记录器的类的名称，或者可以是自定义名称。

类型：keyword

示例：org.elasticsearch.bootstrap.Bootstrap

log.origin.file.line

包含生成日志事件的源代码的文件的行号。

类型：long

示例：42

log.origin.file.name

包含生成日志事件的源代码的文件名。请注意，此字段并非旨在捕获日志文件。捕获日志文件的正确字段是log.file.path。

类型：keyword

示例：Bootstrap.java

log.origin.function

生成日志事件的函数或方法的名称。

类型：keyword

示例：init

log.syslog

事件的Syslog元数据，如果事件是通过Syslog传输的。请参见RFC 5424或3164。

类型：object

log.syslog.facility.code

如果可用，日志事件的Syslog数字设备。根据RFC 5424和3164，此值应为0到23之间的整数。

类型：long

示例：23

格式：string

log.syslog.facility.name

如果可用，日志事件的Syslog基于文本的设备。

类型：keyword

示例：local7

log.syslog.priority

如果可用，事件的Syslog数字优先级。根据RFC 5424和3164，优先级为8 * 设备 + 严重性。因此，此数字应包含0到191之间的值。

类型：long

示例：135

格式：string

log.syslog.severity.code

如果可用，日志事件的Syslog数字严重性。如果通过Syslog发布的事件源提供不同的数字严重性值（例如防火墙、IDS），则源的数字严重性应转到event.severity。如果事件源未指定不同的严重性，则可以选择将Syslog严重性复制到event.severity。

类型：long

示例：3

log.syslog.severity.name

如果可用，日志事件的Syslog文本严重性。如果通过Syslog发布的事件源提供不同的严重性值（例如防火墙、IDS），则源的文本严重性应转到log.level。如果事件源未指定不同的严重性，则可以选择将Syslog严重性复制到log.level。

类型：keyword

示例：Error

network

网络定义为主机或网络事件发生的通信路径。network.*字段应填充有关与事件关联的网络活动的详细信息。

network.application

当从网络连接详细信息（源/目标IP、端口、证书或线路格式）识别特定应用程序或服务时，此字段捕获应用程序或服务的名称。例如，原始事件标识网络连接来自https网络连接中的特定Web服务，例如facebook或twitter。为了查询，字段值必须规范化为小写。

类型：keyword

示例：aim

network.bytes

双向传输的总字节数。如果已知source.bytes和destination.bytes，则network.bytes是它们的总和。

类型：long

示例：368

格式：bytes

network.community_id

源和目标IP和端口以及通信中使用的协议的哈希值。这是一个与工具无关的标准，用于识别流。更多信息请访问https://github.com/corelight/community-id-spec。

类型：keyword

示例：1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0=

network.direction

网络流量的方向。推荐的值为：* 入口 * 出口 * 入站 * 出站 * 内部 * 外部 * 未知

从基于主机的监控上下文映射事件时，请根据主机的角度使用“入口”或“出口”值填充此字段。从基于网络或周边的监控上下文映射事件时，请根据网络周边的角度使用“入站”、“出站”、“内部”或“外部”值填充此字段。请注意，“内部”不跨越周边边界，旨在描述周边内两台主机之间的通信。另请注意，“外部”旨在描述两台主机之间的流量，这两台主机都在周边的外部。例如，这对于ISP或VPN服务提供商可能很有用。

类型：keyword

示例：inbound

network.forwarded_ip

当源IP地址是代理时，主机IP地址。

类型：ip

示例：192.1.1.2

network.iana_number

IANA协议号(https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。标准化的协议列表。这与使用IANA协议号的NetFlow和sFlow相关日志非常吻合。

类型：keyword

示例：6

network.inner

network.inner字段是除了network.vlan字段之外添加的，用于描述存在q-in-q VLAN标记时的最内层VLAN。允许的字段包括vlan.id和vlan.name。内部vlan字段通常用于将具有多个802.1q封装的流量发送到网络传感器（例如Zeek、Wireshark）。

类型：object

network.inner.vlan.id

观察者报告的VLAN ID。

类型：keyword

示例：10

network.inner.vlan.name

观察者报告的可选VLAN名称。

类型：keyword

示例：outside

network.name

运营商为其网络部分指定的名称。

类型：keyword

示例：Guest Wifi

network.packets

双向传输的总数据包数。如果已知source.packets和destination.packets，则network.packets是它们的总和。

类型：long

示例：24

network.protocol

在OSI模型中，这将是应用层协议。例如，http、dns或ssh。为了查询，字段值必须规范化为小写。

类型：keyword

示例：http

network.transport

与network.iana_number相同，但使用传输层的关键字名称（udp、tcp、ipv6-icmp等）。为了查询，字段值必须规范化为小写。

类型：keyword

示例：tcp

network.type

在OSI模型中，这将是网络层。ipv4、ipv6、ipsec、pim等。为了查询，字段值必须规范化为小写。

类型：keyword

示例：ipv4

network.vlan.id

观察者报告的VLAN ID。

类型：keyword

示例：10

network.vlan.name

观察者报告的可选VLAN名称。

类型：keyword

示例：outside

observer

观察者定义为一种特殊的网络、安全或应用程序设备，用于检测、观察或创建与网络、安全或应用程序相关的事件和指标。这可以是自定义硬件设备，也可以是已配置为运行特殊网络、安全或应用程序软件的服务器。示例包括防火墙、Web 代理、入侵检测/防御系统、网络监控传感器、Web 应用防火墙、数据丢失防护系统和 APM 服务器。如果存在检测、观察和/或创建网络、安全或应用程序事件或指标的系统，则应填充 observer.* 字段以包含该系统的详细信息。在 ECS 中，用于处理事件或指标的消息队列和 ETL 组件不被视为观察者。

observer.egress

Observer.egress 包含诸如接口编号和名称、VLAN 和区域信息等信息，用于对出站流量进行分类。单臂监控（例如跨端口上的网络传感器）应仅使用 observer.ingress 对流量进行分类。

类型：object

observer.egress.interface.alias

系统报告的接口别名，通常用于防火墙实现中，例如inside、outside或dmz逻辑接口命名。

类型：keyword

示例：outside

observer.egress.interface.id

观察者报告的接口ID（通常是SNMP接口ID）。

类型：keyword

示例：10

observer.egress.interface.name

系统报告的接口名称。

类型：keyword

示例：eth0

observer.egress.vlan.id

观察者报告的VLAN ID。

类型：keyword

示例：10

observer.egress.vlan.name

观察者报告的可选VLAN名称。

类型：keyword

示例：outside

observer.egress.zone

观察者报告的出站流量的网络区域，用于对出站流量的目标区域进行分类，例如内部、外部、DMZ、人力资源、法律等。

类型：keyword

示例：Public_Internet

observer.geo.city_name

城市名称。

类型：keyword

示例：Montreal

observer.geo.continent_code

表示大陆名称的两位代码。

类型：keyword

示例：NA

observer.geo.continent_name

大陆名称。

类型：keyword

示例：北美洲

observer.geo.country_iso_code

国家/地区 ISO 代码。

类型：keyword

示例：CA

observer.geo.country_name

国家/地区名称。

类型：keyword

示例：加拿大

observer.geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

observer.geo.name

类型：keyword

示例：boston-dc

observer.geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或邮政编码，并且在不同国家/地区会有很大差异。

类型：keyword

示例：94040

observer.geo.region_iso_code

地区 ISO 代码。

类型：keyword

示例：CA-QC

observer.geo.region_name

地区名称。

类型：keyword

示例：魁北克

observer.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

observer.hostname

观察者的主机名。

类型：keyword

observer.ingress

Observer.ingress 包含诸如接口编号和名称、VLAN 和区域信息等信息，用于对入站流量进行分类。单臂监控（例如跨端口上的网络传感器）应仅使用 observer.ingress 对流量进行分类。

类型：object

observer.ingress.interface.alias

系统报告的接口别名，通常用于防火墙实现中，例如inside、outside或dmz逻辑接口命名。

类型：keyword

示例：outside

observer.ingress.interface.id

观察者报告的接口ID（通常是SNMP接口ID）。

类型：keyword

示例：10

observer.ingress.interface.name

系统报告的接口名称。

类型：keyword

示例：eth0

observer.ingress.vlan.id

观察者报告的VLAN ID。

类型：keyword

示例：10

observer.ingress.vlan.name

观察者报告的可选VLAN名称。

类型：keyword

示例：outside

observer.ingress.zone

观察者报告的入站流量的网络区域，用于对入站流量的源区域进行分类，例如内部、外部、DMZ、人力资源、法律等。

类型：keyword

示例：DMZ

observer.ip

观察者的IP地址。

类型：ip

observer.mac

观察者的MAC地址。建议使用RFC 7042中的表示法格式：每个八位字节（即8位字节）由两个[大写]十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节由连字符隔开。

类型：keyword

示例：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

observer.name

观察者的自定义名称。这是一个可以赋予观察者的名称。例如，如果组织中使用了多个相同型号的防火墙，这将非常有用。如果不需要自定义名称，则可以将该字段留空。

类型：keyword

示例：1_proxySG

observer.os.family

操作系统系列（例如redhat、debian、freebsd、windows）。

类型：keyword

示例：debian

observer.os.full

操作系统名称，包括版本或代号。

类型：keyword

示例：Mac OS Mojave

observer.os.full.text

类型：match_only_text

observer.os.kernel

操作系统内核版本，原始字符串。

类型：keyword

示例：4.4.0-112-generic

observer.os.name

操作系统名称，不包括版本。

类型：keyword

示例：Mac OS X

observer.os.name.text

类型：match_only_text

observer.os.platform

操作系统平台（例如centos、ubuntu、windows）。

类型：keyword

示例：darwin

observer.os.type

类型：keyword

示例：macos

observer.os.version

操作系统版本，原始字符串。

类型：keyword

示例：10.14.1

observer.product

观察者的产品名称。

类型：keyword

示例：s200

observer.serial_number

观察者序列号。

类型：keyword

observer.type

数据来源的观察者类型。没有预定义的观察者类型列表。一些示例是 forwarder、firewall、ids、ips、proxy、poller、sensor、APM server。

类型：keyword

示例：firewall

observer.vendor

观察者的厂商名称。

类型：keyword

示例：Symantec

observer.version

观察者版本。

类型：keyword

orchestrator

描述容器编排器管理或作用于的资源的字段。

orchestrator.api_version

用于执行操作的API版本

类型：keyword

示例：v1beta1

orchestrator.cluster.name

集群的名称。

类型：keyword

orchestrator.cluster.url

用于管理集群的API的URL。

类型：keyword

orchestrator.cluster.version

集群的版本。

类型：keyword

orchestrator.namespace

正在发生操作的命名空间。

类型：keyword

示例：kube-system

orchestrator.organization

受事件影响的组织（对于多租户编排器设置）。

类型：keyword

示例：elastic

orchestrator.resource.name

正在操作的资源的名称。

类型：keyword

示例：test-pod-cdcws

orchestrator.resource.type

正在操作的资源类型。

类型：keyword

示例：service

orchestrator.type

编排器集群类型（例如kubernetes、nomad或cloudfoundry）。

类型：keyword

示例：kubernetes

organization

组织字段使用与数据关联的公司或实体信息来丰富数据。这些字段可帮助您按一个或多个组织排列或筛选存储在索引中的数据。

organization.id

组织的唯一标识符。

类型：keyword

organization.name

组织名称。

类型：keyword

organization.name.text

类型：match_only_text

os

OS字段包含有关操作系统的信息。

os.family

操作系统系列（例如redhat、debian、freebsd、windows）。

类型：keyword

示例：debian

os.full

操作系统名称，包括版本或代号。

类型：keyword

示例：Mac OS Mojave

os.full.text

类型：match_only_text

os.kernel

操作系统内核版本，原始字符串。

类型：keyword

示例：4.4.0-112-generic

os.name

操作系统名称，不包括版本。

类型：keyword

示例：Mac OS X

os.name.text

类型：match_only_text

os.platform

操作系统平台（例如centos、ubuntu、windows）。

类型：keyword

示例：darwin

os.type

类型：keyword

示例：macos

os.version

操作系统版本，原始字符串。

类型：keyword

示例：10.14.1

package

这些字段包含有关已安装软件包的信息。它包含有关包的一般信息，例如名称、版本或大小。它还包含安装详细信息，例如时间或位置。

package.architecture

软件包架构。

类型：keyword

示例：x86_64

package.build_version

有关已安装软件包的构建版本的附加信息。例如，使用未发布软件包的提交 SHA。

类型：keyword

示例：36f4f7e89dd61b0988b12ee000b98966867710cd

package.checksum

已安装软件包的校验和，用于验证。

类型：keyword

示例：68b329da9893e34099c7d8ad5cb9c940

package.description

软件包的描述。

类型：keyword

示例：构建简单/可靠/高效软件的开源编程语言。

package.install_scope

指示软件包的安装方式，例如用户本地、全局。

类型：keyword

示例：global

package.installed

软件包安装时间。

类型：date

package.license

软件包发布的许可证。尽可能使用简短名称，例如来自 SPDX 许可证列表的许可证标识符 (https://spdx.org/licenses/)。

类型：keyword

示例：Apache License 2.0

package.name

软件包名称

类型：keyword

示例：go

package.path

软件包安装的路径。

类型：keyword

示例：/usr/local/Cellar/go/1.12.9/

package.reference

如果可用，此软件包中软件的主页或参考URL。

类型：keyword

示例：https://golang.ac.cn

package.size

软件包大小（以字节为单位）。

类型：long

示例：62231

格式：string

package.type

软件包类型。这应包含软件包文件类型，而不是软件包管理器名称。示例：rpm、dpkg、brew、npm、gem、nupkg、jar。

类型：keyword

示例：rpm

package.version

软件包版本

类型：keyword

示例：1.12.9

pe

这些字段包含 Windows 可移植执行文件 (PE) 元数据。

pe.architecture

文件的 CPU 架构目标。

类型：keyword

示例：x64

pe.company

编译时提供的文件内部公司名称。

类型：keyword

示例：Microsoft Corporation

pe.description

编译时提供的文件内部描述。

类型：keyword

示例：画图

pe.file_version

编译时提供的文件内部版本。

类型：keyword

示例：6.3.9600.17415

pe.imphash

类型：keyword

示例：0c6803c4e922103c4dca5963aad36ddf

pe.original_file_name

编译时提供的文件内部名称。

类型：keyword

示例：MSPAINT.EXE

pe.product

编译时提供的文件内部产品名称。

类型：keyword

示例：Microsoft® Windows® 操作系统

process

这些字段包含有关进程的信息。这些字段可以帮助您将指标信息与日志消息中的进程 ID/名称关联起来。process.pid 通常保留在指标本身中，并复制到全局字段以进行关联。

process.args

进程参数数组，从可执行文件的绝对路径开始。可以进行过滤以保护敏感信息。

类型：keyword

示例：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.args_count

process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行桶分析。更多参数可能表明存在可疑活动。

类型：long

示例：4

process.code_signature.digest_algorithm

用于签署进程的哈希算法。当同一签名者使用不同的摘要算法多次签署文件时，此值可以区分签名。

类型：keyword

示例：sha256

process.code_signature.exists

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

process.code_signature.signing_id

用于签署进程的标识符。用于标识软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型：keyword

示例：com.apple.xpc.proxy

process.code_signature.status

有关证书状态的附加信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任度，则保持为空。

类型：keyword

示例：ERROR_UNTRUSTED_ROOT

process.code_signature.subject_name

代码签名者的主题名称

类型：keyword

示例：Microsoft Corporation

process.code_signature.team_id

用于签署进程的团队标识符。用于标识软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型：keyword

示例：EQHXZ8M8AV

process.code_signature.timestamp

生成和签署代码签名的时间和日期。

类型：date

示例：2021-01-01T12:10:30Z

process.code_signature.trusted

存储证书链的信任状态。验证证书链的信任度可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

process.code_signature.valid

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，则保持为空。

类型：布尔值

示例：true

process.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

类型：通配符

示例：/usr/bin/ssh -l user 10.0.0.16

process.command_line.text

类型：match_only_text

process.elf.architecture

ELF 文件的机器架构。

类型：keyword

示例：x86-64

process.elf.byte_order

ELF 文件的字节顺序。

类型：keyword

示例：小端序

process.elf.cpu_type

ELF 文件的 CPU 类型。

类型：keyword

示例：Intel

process.elf.creation_date

尽可能从文件的元数据中提取。指示其构建或编译的时间。恶意软件创建者也可以伪造它。

类型：date

process.elf.exports

导出的元素名称和类型的列表。

类型：扁平化

process.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：keyword

process.elf.header.class

ELF 文件的头部类别。

类型：keyword

process.elf.header.data

ELF 头部的數據表。

类型：keyword

process.elf.header.entrypoint

ELF 文件的头部入口点。

类型：long

格式：string

process.elf.header.object_version

原始 ELF 文件为“0x1”。

类型：keyword

process.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：keyword

process.elf.header.type

ELF 文件的头部类型。

类型：keyword

process.elf.header.version

ELF 头部的版本。

类型：keyword

process.elf.imports

导入的元素名称和类型的列表。

类型：扁平化

process.elf.sections

一个数组，包含 ELF 文件每个节的对象。这些对象中应存在的键由 elf.sections.* 下面的子字段定义。

类型：嵌套

process.elf.sections.chi2

节的卡方概率分布。

类型：long

格式：数字

process.elf.sections.entropy

来自节的香农熵计算。

类型：long

格式：数字

process.elf.sections.flags

ELF 节列表标志。

类型：keyword

process.elf.sections.name

ELF 节列表名称。

类型：keyword

process.elf.sections.physical_offset

ELF 节列表偏移量。

类型：keyword

process.elf.sections.physical_size

ELF 节列表物理大小。

类型：long

格式：bytes

process.elf.sections.type

ELF 节列表类型。

类型：keyword

process.elf.sections.virtual_address

ELF 节列表虚拟地址。

类型：long

格式：string

process.elf.sections.virtual_size

ELF 节列表虚拟大小。

类型：long

格式：string

process.elf.segments

一个数组，包含 ELF 文件每个段的对象。这些对象中应存在的键由 elf.segments.* 下面的子字段定义。

类型：嵌套

process.elf.segments.sections

ELF 对象段节。

类型：keyword

process.elf.segments.type

ELF 对象段类型。

类型：keyword

process.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：keyword

process.elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型：keyword

process.end

进程结束的时间。

类型：date

示例：2016-05-23T08:05:34.853Z

process.entity_id

进程的唯一标识符。这由数据源指定，但此处可以使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程的一些唯一标识组件的哈希值。构建全局唯一标识符是一种常见的做法，可以减轻 PID 重用并随着时间的推移跨多个监控主机识别特定进程。

类型：keyword

示例：c2c455d9f99375d

process.executable

进程可执行文件的绝对路径。

类型：keyword

示例：/usr/bin/ssh

process.executable.text

类型：match_only_text

process.exit_code

如果这是一个终止事件，则为进程的退出代码。如果事件没有退出代码（例如进程启动），则此字段应不存在。

类型：long

示例：137

process.hash.md5

MD5 哈希值。

类型：keyword

process.hash.sha1

SHA1 哈希值。

类型：keyword

process.hash.sha256

SHA256 哈希值。

类型：keyword

process.hash.sha512

SHA512 哈希值。

类型：keyword

process.hash.ssdeep

SSDEEP 哈希值。

类型：keyword

process.name

进程名称。有时称为程序名称或类似名称。

类型：keyword

示例：ssh

process.name.text

类型：match_only_text

process.parent.args

进程参数数组，从可执行文件的绝对路径开始。可以进行过滤以保护敏感信息。

类型：keyword

示例：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.parent.args_count

process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行桶分析。更多参数可能表明存在可疑活动。

类型：long

示例：4

process.parent.code_signature.digest_algorithm

用于签署进程的哈希算法。当同一签名者使用不同的摘要算法多次签署文件时，此值可以区分签名。

类型：keyword

示例：sha256

process.parent.code_signature.exists

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

process.parent.code_signature.signing_id

用于签署进程的标识符。用于标识软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型：keyword

示例：com.apple.xpc.proxy

process.parent.code_signature.status

有关证书状态的附加信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任度，则保持为空。

类型：keyword

示例：ERROR_UNTRUSTED_ROOT

process.parent.code_signature.subject_name

代码签名者的主题名称

类型：keyword

示例：Microsoft Corporation

process.parent.code_signature.team_id

用于签署进程的团队标识符。用于标识软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型：keyword

示例：EQHXZ8M8AV

process.parent.code_signature.timestamp

生成和签署代码签名的时间和日期。

类型：date

示例：2021-01-01T12:10:30Z

process.parent.code_signature.trusted

存储证书链的信任状态。验证证书链的信任度可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

process.parent.code_signature.valid

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，则保持为空。

类型：布尔值

示例：true

process.parent.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

类型：通配符

示例：/usr/bin/ssh -l user 10.0.0.16

process.parent.command_line.text

类型：match_only_text

process.parent.elf.architecture

ELF 文件的机器架构。

类型：keyword

示例：x86-64

process.parent.elf.byte_order

ELF 文件的字节顺序。

类型：keyword

示例：小端序

process.parent.elf.cpu_type

ELF 文件的 CPU 类型。

类型：keyword

示例：Intel

process.parent.elf.creation_date

尽可能从文件的元数据中提取。指示其构建或编译的时间。恶意软件创建者也可以伪造它。

类型：date

process.parent.elf.exports

导出的元素名称和类型的列表。

类型：扁平化

process.parent.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：keyword

process.parent.elf.header.class

ELF 文件的头部类别。

类型：keyword

process.parent.elf.header.data

ELF 头部的數據表。

类型：keyword

process.parent.elf.header.entrypoint

ELF 文件的头部入口点。

类型：long

格式：string

process.parent.elf.header.object_version

原始 ELF 文件为“0x1”。

类型：keyword

process.parent.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：keyword

process.parent.elf.header.type

ELF 文件的头部类型。

类型：keyword

process.parent.elf.header.version

ELF 头部的版本。

类型：keyword

进程.父进程.ELF.导入表

导入的元素名称和类型的列表。

类型：扁平化

进程.父进程.ELF.段

一个数组，包含 ELF 文件每个节的对象。这些对象中应存在的键由 elf.sections.* 下面的子字段定义。

类型：嵌套

进程.父进程.ELF.段.chi2

节的卡方概率分布。

类型：long

格式：数字

进程.父进程.ELF.段.熵

来自节的香农熵计算。

类型：long

格式：数字

进程.父进程.ELF.段.标志

ELF 节列表标志。

类型：keyword

进程.父进程.ELF.段.名称

ELF 节列表名称。

类型：keyword

进程.父进程.ELF.段.物理偏移

ELF 节列表偏移量。

类型：keyword

进程.父进程.ELF.段.物理大小

ELF 节列表物理大小。

类型：long

格式：bytes

进程.父进程.ELF.段.类型

ELF 节列表类型。

类型：keyword

进程.父进程.ELF.段.虚拟地址

ELF 节列表虚拟地址。

类型：long

格式：string

进程.父进程.ELF.段.虚拟大小

ELF 节列表虚拟大小。

类型：long

格式：string

进程.父进程.ELF.段表

一个数组，包含 ELF 文件每个段的对象。这些对象中应存在的键由 elf.segments.* 下面的子字段定义。

类型：嵌套

进程.父进程.ELF.段表.段

ELF 对象段节。

类型：keyword

进程.父进程.ELF.段表.类型

ELF 对象段类型。

类型：keyword

进程.父进程.ELF.共享库

此 ELF 对象使用的共享库列表。

类型：keyword

进程.父进程.ELF.telfhash

ELF 文件的 telfhash 符号哈希。

类型：keyword

进程.父进程.结束时间

进程结束的时间。

类型：date

示例：2016-05-23T08:05:34.853Z

进程.父进程.实体ID

类型：keyword

示例：c2c455d9f99375d

进程.父进程.可执行文件

进程可执行文件的绝对路径。

类型：keyword

示例：/usr/bin/ssh

进程.父进程.可执行文件.文本段

类型：match_only_text

进程.父进程.退出码

如果这是一个终止事件，则为进程的退出代码。如果事件没有退出代码（例如进程启动），则此字段应不存在。

类型：long

示例：137

进程.父进程.哈希.MD5

MD5 哈希值。

类型：keyword

进程.父进程.哈希.SHA1

SHA1 哈希值。

类型：keyword

进程.父进程.哈希.SHA256

SHA256 哈希值。

类型：keyword

进程.父进程.哈希.SHA512

SHA512 哈希值。

类型：keyword

进程.父进程.哈希.SSDEEP

SSDEEP 哈希值。

类型：keyword

进程.父进程.名称

进程名称。有时称为程序名称或类似名称。

类型：keyword

示例：ssh

进程.父进程.名称.文本

类型：match_only_text

进程.父进程.PE.架构

文件的 CPU 架构目标。

类型：keyword

示例：x64

进程.父进程.PE.公司

编译时提供的文件内部公司名称。

类型：keyword

示例：Microsoft Corporation

进程.父进程.PE.描述

编译时提供的文件内部描述。

类型：keyword

示例：画图

进程.父进程.PE.文件版本

编译时提供的文件内部版本。

类型：keyword

示例：6.3.9600.17415

进程.父进程.PE.Import Hash

类型：keyword

示例：0c6803c4e922103c4dca5963aad36ddf

进程.父进程.PE.原始文件名

编译时提供的文件内部名称。

类型：keyword

示例：MSPAINT.EXE

进程.父进程.PE.产品

编译时提供的文件内部产品名称。

类型：keyword

示例：Microsoft® Windows® 操作系统

进程.父进程.进程组ID

进程所属进程组的标识符。

类型：long

格式：string

进程.父进程.进程ID

进程ID。

类型：long

示例：4242

格式：string

进程.父进程.启动时间

进程启动时间。

类型：date

示例：2016-05-23T08:05:34.853Z

进程.父进程.线程.ID

线程ID。

类型：long

示例：4242

格式：string

进程.父进程.线程.名称

线程名称。

类型：keyword

示例：thread-0

进程.父进程.标题

进程标题。进程标题，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

类型：keyword

进程.父进程.标题.文本

类型：match_only_text

进程.父进程.运行时间

进程运行的秒数。

类型：long

示例：1325

进程.父进程.工作目录

进程的工作目录。

类型：keyword

示例：/home/alice

进程.父进程.工作目录.文本

类型：match_only_text

进程.PE.架构

文件的 CPU 架构目标。

类型：keyword

示例：x64

进程.PE.公司

编译时提供的文件内部公司名称。

类型：keyword

示例：Microsoft Corporation

进程.PE.描述

编译时提供的文件内部描述。

类型：keyword

示例：画图

进程.PE.文件版本

编译时提供的文件内部版本。

类型：keyword

示例：6.3.9600.17415

进程.PE.Import Hash

类型：keyword

示例：0c6803c4e922103c4dca5963aad36ddf

进程.PE.原始文件名

编译时提供的文件内部名称。

类型：keyword

示例：MSPAINT.EXE

进程.PE.产品

编译时提供的文件内部产品名称。

类型：keyword

示例：Microsoft® Windows® 操作系统

进程.进程组ID

进程所属进程组的标识符。

类型：long

格式：string

进程.进程ID

进程ID。

类型：long

示例：4242

格式：string

进程.启动时间

进程启动时间。

类型：date

示例：2016-05-23T08:05:34.853Z

进程.线程.ID

线程ID。

类型：long

示例：4242

格式：string

进程.线程.名称

线程名称。

类型：keyword

示例：thread-0

进程.标题

进程标题。进程标题，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

类型：keyword

进程.标题.文本

类型：match_only_text

进程.运行时间

进程运行的秒数。

类型：long

示例：1325

进程.工作目录

进程的工作目录。

类型：keyword

示例：/home/alice

进程.工作目录.文本

类型：match_only_text

注册表

与Windows注册表操作相关的字段。

注册表.数据.字节

使用base64编码写入的原始字节。对于Windows注册表操作（例如SetValueEx和RegQueryValueEx），这对应于lp_data指向的数据。这是可选的，但提供了更好的恢复能力，应该为REG_BINARY编码的值填充此字段。

类型：keyword

示例：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

注册表.数据.字符串

写入字符串类型时的内容。写入字符串数据到注册表时，填充为数组。对于单个字符串注册表类型（REG_SZ，REG_EXPAND_SZ），这应该是一个包含一个字符串的数组。对于使用REG_MULTI_SZ的字符串序列，此数组的长度可变。对于数值数据，例如REG_DWORD和REG_QWORD，这应该使用十进制表示填充（例如"1"）。

类型：通配符

示例：["C:\rta\red_ttp\bin\myapp.exe"]

注册表.数据.类型

用于编码内容的标准注册表类型

类型：keyword

示例：REG_SZ

注册表.配置单元

配置单元的缩写名称。

类型：keyword

示例：HKLM

注册表.键

键的相对于配置单元的路径。

类型：keyword

示例：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

注册表.路径

完整路径，包括配置单元、键和值

类型：keyword

示例：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

注册表.值

写入的值的名称。

类型：keyword

示例：Debugger

规则

规则字段用于捕获生成警报或其他重要事件的任何观察者或代理规则的详细信息。将填充规则字段的数据源示例包括：网络准入控制平台、网络或主机IDS/IPS、网络防火墙、Web应用程序防火墙、URL过滤器、端点检测和响应（EDR）系统等。

规则.作者

创建用于生成此事件的规则的作者或作者的姓名、组织或笔名。

类型：keyword

示例：["Star-Lord"]

规则.类别

使用规则的实体用于检测此事件的分类值关键字。

类型：keyword

示例：尝试信息泄露

规则.描述

生成事件的规则的描述。

类型：keyword

示例：阻止对公共DNS over HTTPS/TLS协议的请求

规则.ID

在使用规则检测此事件的代理、观察者或其他实体的范围内唯一的规则ID。

类型：keyword

示例：101

规则.许可证

用于生成此事件的规则可用的许可证名称。

类型：keyword

示例：Apache 2.0

规则.名称

生成事件的规则或签名的名称。

类型：keyword

示例：BLOCK_DNS_over_TLS

规则.参考

指向有关用于生成此事件的规则的其他信息的参考URL。该URL可以指向供应商关于该规则的文档。如果不可用，它也可以是描述此类警报的更通用页面的链接。

类型：keyword

示例：https://en.wikipedia.org/wiki/DNS_over_TLS

规则.规则集

用于生成此事件的规则所属的规则集、策略、组或父类别的名称。

类型：keyword

示例：Standard_Protocol_Filters

规则.UUID

在使用规则检测此事件的一组或一组代理、观察者或其他实体的范围内唯一的规则ID。

类型：keyword

示例：1100110011

规则.版本

用于分析的规则的版本/修订版。

类型：keyword

示例：1.1

服务器

服务器定义为关于会话、连接或双向流记录的事件的网络连接中的响应者。对于TCP事件，服务器是TCP连接初始SYN数据包的接收者。对于其他协议，服务器通常是网络事务中的响应者。某些系统实际上使用术语“响应者”来指代TCP连接中的服务器。服务器字段描述充当网络事件中服务器的系统的详细信息。服务器字段通常与客户端字段一起填充。对于包级别事件，通常不填充服务器字段。客户端/服务器表示可以为交换添加语义上下文，这有助于在某些情况下可视化数据。如果您的上下文属于该类别，您仍应确保正确填充源和目标。

服务器.地址

某些事件服务器地址定义不明确。事件有时会列出IP、域名或Unix套接字。您应始终将原始地址存储在.address字段中。然后应根据其类型将其复制到.ip或.domain。

类型：keyword

服务器.AS.编号

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

服务器.AS.组织.名称

组织名称。

类型：keyword

示例：Google LLC

服务器.AS.组织.名称.文本

类型：match_only_text

服务器.字节

从服务器发送到客户端的字节数。

类型：long

示例：184

格式：bytes

服务器.域名

服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能来自丰富信息。

类型：keyword

示例：foo.example.com

服务器.地理位置.城市名称

城市名称。

类型：keyword

示例：Montreal

服务器.地理位置.洲代码

表示大陆名称的两位代码。

类型：keyword

示例：NA

服务器.地理位置.洲名称

大陆名称。

类型：keyword

示例：北美洲

服务器.地理位置.国家/地区ISO代码

国家/地区 ISO 代码。

类型：keyword

示例：CA

服务器.地理位置.国家/地区名称

国家/地区名称。

类型：keyword

示例：加拿大

服务器.地理位置.位置

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

服务器.地理位置.名称

类型：keyword

示例：boston-dc

服务器.地理位置.邮政编码

与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或邮政编码，并且在不同国家/地区会有很大差异。

类型：keyword

示例：94040

服务器.地理位置.地区ISO代码

地区 ISO 代码。

类型：keyword

示例：CA-QC

服务器.地理位置.地区名称

地区名称。

类型：keyword

示例：魁北克

服务器.地理位置.时区

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

服务器.IP

服务器的IP地址（IPv4或IPv6）。

类型：ip

服务器.MAC

服务器的MAC地址。建议使用RFC 7042中的表示法格式：每个八位字节（即8位字节）由两个[大写]十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节由连字符隔开。

类型：keyword

示例：00-00-5E-00-53-23

服务器.NAT.IP

基于 NAT 会话的目标转换后的 IP（例如，互联网到专用 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

类型：ip

服务器.NAT.端口

基于NAT会话的目标端口转换（例如，互联网到专用DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

类型：long

格式：string

服务器.数据包

从服务器发送到客户端的数据包数。

类型：long

示例：12

服务器.端口

服务器的端口。

类型：long

格式：string

服务器.注册域名

删除子域名后，最高的注册服务器域名。例如，“foo.example.com”的注册域名是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定此值。尝试简单地取最后两个标签来近似此值对于诸如“co.uk”之类的顶级域名将效果不佳。

类型：keyword

示例：example.com

服务器.子域名

类型：keyword

示例：east

服务器.顶级域名

类型：keyword

示例：co.uk

服务器.用户.域名

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

服务器.用户.邮箱

用户电子邮件地址。

类型：keyword

服务器.用户.全名

用户的全名（如果可用）。

类型：keyword

示例：Albert Einstein

服务器.用户.全名.文本

类型：match_only_text

服务器.用户.组.域名

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

服务器.用户.组.ID

系统/平台上组的唯一标识符。

类型：keyword

服务器.用户.组.名称

组的名称。

类型：keyword

服务器.用户.哈希

唯一的用户哈希值，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型：keyword

服务器.用户.ID

用户的唯一标识符。

类型：keyword

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

服务器.用户.名称

用户的简称或登录名。

类型：keyword

示例：a.einstein

服务器.用户.名称.文本

类型：match_only_text

服务器.用户.角色

事件发生时用户的角色数组。

类型：keyword

示例：["kibana_admin", "reporting_user"]

服务

服务字段描述收集数据的服务或来源。这些字段可帮助您查找和关联特定服务和版本的日志。

服务.地址

收集此服务相关数据的地址。这应为 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（sockets）。

类型：keyword

示例：172.26.0.2:5432

service.environment

标识服务运行的环境。如果同一服务在不同的环境（生产、预发布、QA、开发等）中运行，则环境可以标识同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。

类型：keyword

示例：production

service.ephemeral_id

此服务的临时标识符（如果存在）。此 ID 通常会在重启后发生变化，但service.id不会。

类型：keyword

示例：8a4f500f

service.id

正在运行服务的唯一标识符。如果服务由多个节点组成，则所有节点的service.id都应相同。此 ID 应唯一标识服务。这使得能够关联特定服务的日志和指标，无论哪个特定节点发出了事件。请注意，如果您需要查看服务的一个特定主机的事件，则应根据host.name或host.id进行过滤。

类型：keyword

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.name

收集数据服务的名称。服务的名称通常由用户提供。这允许在多个主机上运行的分布式服务基于名称关联相关的实例。在 Elasticsearch 的情况下，service.name可能包含集群名称。对于 Beats，如果未指定名称，则service.name默认情况下是service.type字段的副本。

类型：keyword

示例：elasticsearch-metrics

service.node.name

服务节点的名称。这允许区分在同一主机上运行的同一服务的两个节点。因此，service.node.name通常应在一个给定服务的节点之间唯一。在 Elasticsearch 的情况下，service.node.name可能包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下，可以使用主机名或容器名称来区分构成此服务的运行实例。如果这些名称不能提供唯一性（例如，在同一主机上运行服务的多个实例），则可以手动设置节点名称。

类型：keyword

示例：instance-0000000016

service.origin.address

收集此服务相关数据的地址。这应为 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（sockets）。

类型：keyword

示例：172.26.0.2:5432

service.origin.environment

类型：keyword

示例：production

service.origin.ephemeral_id

此服务的临时标识符（如果存在）。此 ID 通常会在重启后发生变化，但service.id不会。

类型：keyword

示例：8a4f500f

service.origin.id

类型：keyword

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.origin.name

类型：keyword

示例：elasticsearch-metrics

service.origin.node.name

类型：keyword

示例：instance-0000000016

service.origin.state

服务的当前状态。

类型：keyword

service.origin.type

收集数据服务的类型。类型可用于对来自一个服务类型的日志和指标进行分组和关联。例如：如果从 Elasticsearch 收集日志或指标，则service.type将为elasticsearch。

类型：keyword

示例：elasticsearch

service.origin.version

收集数据服务的版本。这允许仅查看特定服务版本的dataset。

类型：keyword

示例：3.2.4

service.state

服务的当前状态。

类型：keyword

service.target.address

收集此服务相关数据的地址。这应为 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（sockets）。

类型：keyword

示例：172.26.0.2:5432

service.target.environment

类型：keyword

示例：production

service.target.ephemeral_id

此服务的临时标识符（如果存在）。此 ID 通常会在重启后发生变化，但service.id不会。

类型：keyword

示例：8a4f500f

service.target.id

类型：keyword

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.target.name

类型：keyword

示例：elasticsearch-metrics

service.target.node.name

类型：keyword

示例：instance-0000000016

service.target.state

服务的当前状态。

类型：keyword

service.target.type

类型：keyword

示例：elasticsearch

service.target.version

收集数据服务的版本。这允许仅查看特定服务版本的dataset。

类型：keyword

示例：3.2.4

service.type

类型：keyword

示例：elasticsearch

service.version

收集数据服务的版本。这允许仅查看特定服务版本的dataset。

类型：keyword

示例：3.2.4

source

源字段捕获有关网络交换/数据包发送者的详细信息。这些字段是从网络事件、数据包或其他包含网络事务详细信息的事件中填充的。源字段通常与目标字段一起填充。源字段和目标字段被认为是基线，如果事件包含网络事务的源和目标详细信息，则应始终填充这些字段。如果事件还包含客户端和服务器角色的标识，则还应填充客户端和服务器字段。

source.address

某些事件源地址定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在.address字段中。然后，应根据其是哪个地址将其复制到.ip或.domain。

类型：keyword

source.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

source.as.organization.name

组织名称。

类型：keyword

示例：Google LLC

source.as.organization.name.text

类型：match_only_text

source.bytes

从源发送到目标的字节数。

类型：long

示例：184

格式：bytes

source.domain

源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。此值可能源自原始事件或从丰富中添加。

类型：keyword

示例：foo.example.com

source.geo.city_name

城市名称。

类型：keyword

示例：Montreal

source.geo.continent_code

表示大陆名称的两位代码。

类型：keyword

示例：NA

source.geo.continent_name

大陆名称。

类型：keyword

示例：北美洲

source.geo.country_iso_code

国家/地区 ISO 代码。

类型：keyword

示例：CA

source.geo.country_name

国家/地区名称。

类型：keyword

示例：加拿大

source.geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

source.geo.name

类型：keyword

示例：boston-dc

source.geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或邮政编码，并且在不同国家/地区会有很大差异。

类型：keyword

示例：94040

source.geo.region_iso_code

地区 ISO 代码。

类型：keyword

示例：CA-QC

source.geo.region_name

地区名称。

类型：keyword

示例：魁北克

source.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

source.ip

源的 IP 地址（IPv4 或 IPv6）。

类型：ip

source.mac

源的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节用连字符隔开。

类型：keyword

示例：00-00-5E-00-53-23

source.nat.ip

基于 NAT 会话的源转换后的 IP（例如，内部客户端到互联网）。通常情况下，连接会穿过负载均衡器、防火墙或路由器。

类型：ip

source.nat.port

基于 NAT 会话的源转换后的端口（例如，内部客户端到互联网）。通常与负载均衡器、防火墙或路由器一起使用。

类型：long

格式：string

source.packets

从源发送到目标的数据包。

类型：long

示例：12

source.port

源的端口。

类型：long

格式：string

source.registered_domain

剥离子域后，最高的注册源域。例如，“foo.example.com”的注册域为“example.com”。此值可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定。简单地取最后两个标签来近似此值对于“co.uk”等顶级域名不起作用。

类型：keyword

示例：example.com

source.subdomain

类型：keyword

示例：east

source.top_level_domain

类型：keyword

示例：co.uk

source.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

source.user.email

用户电子邮件地址。

类型：keyword

source.user.full_name

用户的全名（如果可用）。

类型：keyword

示例：Albert Einstein

source.user.full_name.text

类型：match_only_text

source.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

source.user.group.id

系统/平台上组的唯一标识符。

类型：keyword

source.user.group.name

组的名称。

类型：keyword

source.user.hash

唯一的用户哈希值，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型：keyword

source.user.id

用户的唯一标识符。

类型：keyword

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

source.user.name

用户的简称或登录名。

类型：keyword

示例：a.einstein

source.user.name.text

类型：match_only_text

source.user.roles

事件发生时用户的角色数组。

类型：keyword

示例：["kibana_admin", "reporting_user"]

threat

根据威胁分类法（例如 MITRE ATT&CK® 框架）对事件和警报进行分类的字段。这些字段供用户根据通用分类法对来自所有来源（例如 IDS、NGFW 等）的警报进行分类。threat.tactic.*字段旨在捕获威胁的高级类别（例如，“影响”）。threat.technique.*字段旨在捕获此检测到的威胁为实现目标（例如，“端点拒绝服务”）所使用的哪种方法。

threat.enrichments

与事件相关的指标对象的列表，以及该关联/丰富的上下文。

类型：嵌套

threat.enrichments.indicator

包含与事件相关的指标的对象。

类型：object

threat.enrichments.indicator.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

threat.enrichments.indicator.as.organization.name

组织名称。

类型：keyword

示例：Google LLC

threat.enrichments.indicator.as.organization.name.text

类型：match_only_text

threat.enrichments.indicator.confidence

使用 STIX 2.1 框架附录 A 中定义的无/低/中/高等级标识厂商中立的置信度评级。厂商特定的置信度等级可以作为自定义字段添加。预期值为：* 未指定 * 无 * 低 * 中 * 高

类型：keyword

示例：中

threat.enrichments.indicator.description

描述威胁进行的操作类型。

类型：keyword

示例：观察到 IP x.x.x.x 传递 Angler EK。

threat.enrichments.indicator.email.address

将威胁指标标识为电子邮件地址（与方向无关）。

类型：keyword

示例：[email protected]

threat.enrichments.indicator.file.accessed

上次访问文件的时间。请注意，并非所有文件系统都跟踪访问时间。

类型：date

threat.enrichments.indicator.file.attributes

文件属性数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表：存档、压缩、目录、加密、执行、隐藏、读取、只读、系统、写入。

类型：keyword

示例：["readonly", "system"]

threat.enrichments.indicator.file.code_signature.digest_algorithm

用于签署进程的哈希算法。当同一签名者使用不同的摘要算法多次签署文件时，此值可以区分签名。

类型：keyword

示例：sha256

threat.enrichments.indicator.file.code_signature.exists

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

threat.enrichments.indicator.file.code_signature.signing_id

用于签署进程的标识符。用于标识软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型：keyword

示例：com.apple.xpc.proxy

threat.enrichments.indicator.file.code_signature.status

有关证书状态的附加信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任度，则保持为空。

类型：keyword

示例：ERROR_UNTRUSTED_ROOT

threat.enrichments.indicator.file.code_signature.subject_name

代码签名者的主题名称

类型：keyword

示例：Microsoft Corporation

threat.enrichments.indicator.file.code_signature.team_id

用于签署进程的团队标识符。用于标识软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型：keyword

示例：EQHXZ8M8AV

threat.enrichments.indicator.file.code_signature.timestamp

生成和签署代码签名的时间和日期。

类型：date

示例：2021-01-01T12:10:30Z

threat.enrichments.indicator.file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任度可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

threat.enrichments.indicator.file.code_signature.valid

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，则保持为空。

类型：布尔值

示例：true

threat.enrichments.indicator.file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型：date

threat.enrichments.indicator.file.ctime

上次修改文件属性或元数据的时间。请注意，对文件内容的更改将更新mtime。这意味着ctime将同时调整，因为mtime是文件的属性。

类型：date

threat.enrichments.indicator.file.device

作为文件来源的设备。

类型：keyword

示例：sda

threat.enrichments.indicator.file.directory

文件所在的目录。在适当情况下，应包含驱动器号。

类型：keyword

示例：/home/alice

threat.enrichments.indicator.file.drive_letter

文件所在的驱动器号。此字段仅与 Windows 相关。值应为大写，不包括冒号。

类型：keyword

示例：C

threat.enrichments.indicator.file.elf.architecture

ELF 文件的机器架构。

类型：keyword

示例：x86-64

threat.enrichments.indicator.file.elf.byte_order

ELF 文件的字节顺序。

类型：keyword

示例：小端序

threat.enrichments.indicator.file.elf.cpu_type

ELF 文件的 CPU 类型。

类型：keyword

示例：Intel

threat.enrichments.indicator.file.elf.creation_date

尽可能从文件的元数据中提取。指示其构建或编译的时间。恶意软件创建者也可以伪造它。

类型：date

threat.enrichments.indicator.file.elf.exports

导出的元素名称和类型的列表。

类型：扁平化

threat.enrichments.indicator.file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：keyword

threat.enrichments.indicator.file.elf.header.class

ELF 文件的头部类别。

类型：keyword

threat.enrichments.indicator.file.elf.header.data

ELF 头部的數據表。

类型：keyword

threat.enrichments.indicator.file.elf.header.entrypoint

ELF 文件的头部入口点。

类型：long

格式：string

threat.enrichments.indicator.file.elf.header.object_version

原始 ELF 文件为“0x1”。

类型：keyword

threat.enrichments.indicator.file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：keyword

threat.enrichments.indicator.file.elf.header.type

ELF 文件的头部类型。

类型：keyword

threat.enrichments.indicator.file.elf.header.version

ELF 头部的版本。

类型：keyword

threat.enrichments.indicator.file.elf.imports

导入的元素名称和类型的列表。

类型：扁平化

threat.enrichments.indicator.file.elf.sections

一个数组，包含 ELF 文件每个节的对象。这些对象中应存在的键由 elf.sections.* 下面的子字段定义。

类型：嵌套

threat.enrichments.indicator.file.elf.sections.chi2

节的卡方概率分布。

类型：long

格式：数字

threat.enrichments.indicator.file.elf.sections.entropy

来自节的香农熵计算。

类型：long

格式：数字

threat.enrichments.indicator.file.elf.sections.flags

ELF 节列表标志。

类型：keyword

threat.enrichments.indicator.file.elf.sections.name

ELF 节列表名称。

类型：keyword

threat.enrichments.indicator.file.elf.sections.physical_offset

ELF 节列表偏移量。

类型：keyword

threat.enrichments.indicator.file.elf.sections.physical_size

ELF 节列表物理大小。

类型：long

格式：bytes

threat.enrichments.indicator.file.elf.sections.type

ELF 节列表类型。

类型：keyword

threat.enrichments.indicator.file.elf.sections.virtual_address

ELF 节列表虚拟地址。

类型：long

格式：string

threat.enrichments.indicator.file.elf.sections.virtual_size

ELF 节列表虚拟大小。

类型：long

格式：string

threat.enrichments.indicator.file.elf.segments

一个数组，包含 ELF 文件每个段的对象。这些对象中应存在的键由 elf.segments.* 下面的子字段定义。

类型：嵌套

threat.enrichments.indicator.file.elf.segments.sections

ELF 对象段节。

类型：keyword

threat.enrichments.indicator.file.elf.segments.type

ELF 对象段类型。

类型：keyword

threat.enrichments.indicator.file.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：keyword

threat.enrichments.indicator.file.elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型：keyword

threat.enrichments.indicator.file.extension

文件扩展名，不包括开头的点。请注意，当文件名具有多个扩展名（例如 example.tar.gz）时，只应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型：keyword

示例：png

threat.enrichments.indicator.file.fork_name

类型：keyword

示例：Zone.Identifer

threat.enrichments.indicator.file.gid

文件的组 ID (GID)。

类型：keyword

示例：1001

threat.enrichments.indicator.file.group

文件的组名。

类型：keyword

示例：alice

threat.enrichments.indicator.file.hash.md5

MD5 哈希值。

类型：keyword

threat.enrichments.indicator.file.hash.sha1

SHA1 哈希值。

类型：keyword

threat.enrichments.indicator.file.hash.sha256

SHA256 哈希值。

类型：keyword

threat.enrichments.indicator.file.hash.sha512

SHA512 哈希值。

类型：keyword

threat.enrichments.indicator.file.hash.ssdeep

SSDEEP 哈希值。

类型：keyword

threat.enrichments.indicator.file.inode

在文件系统中表示文件的文件索引节点。

类型：keyword

示例：256383

threat.enrichments.indicator.file.mime_type

MIME 类型应使用IANA 官方类型（如果可能）标识文件或字节流的格式。当多个类型适用时，应使用最具体的类型。

类型：keyword

threat.enrichments.indicator.file.mode

文件的八进制表示模式。

类型：keyword

示例：0640

threat.enrichments.indicator.file.mtime

上次修改文件内容的时间。

类型：date

threat.enrichments.indicator.file.name

包含扩展名的文件名，不包括目录。

类型：keyword

示例：example.png

threat.enrichments.indicator.file.owner

文件所有者的用户名。

类型：keyword

示例：alice

threat.enrichments.indicator.file.path

文件的完整路径，包括文件名。在适当情况下，应包含驱动器号。

类型：keyword

示例：/home/alice/example.png

threat.enrichments.indicator.file.path.text

类型：match_only_text

threat.enrichments.indicator.file.pe.architecture

文件的 CPU 架构目标。

类型：keyword

示例：x64

threat.enrichments.indicator.file.pe.company

编译时提供的文件内部公司名称。

类型：keyword

示例：Microsoft Corporation

threat.enrichments.indicator.file.pe.description

编译时提供的文件内部描述。

类型：keyword

示例：画图

threat.enrichments.indicator.file.pe.file_version

编译时提供的文件内部版本。

类型：keyword

示例：6.3.9600.17415

threat.enrichments.indicator.file.pe.imphash

类型：keyword

示例：0c6803c4e922103c4dca5963aad36ddf

threat.enrichments.indicator.file.pe.original_file_name

编译时提供的文件内部名称。

类型：keyword

示例：MSPAINT.EXE

threat.enrichments.indicator.file.pe.product

编译时提供的文件内部产品名称。

类型：keyword

示例：Microsoft® Windows® 操作系统

threat.enrichments.indicator.file.size

文件大小（字节）。仅当file.type 为“file”时才相关。

类型：long

示例：16384

threat.enrichments.indicator.file.target_path

符号链接的目标路径。

类型：keyword

threat.enrichments.indicator.file.target_path.text

类型：match_only_text

threat.enrichments.indicator.file.type

文件类型（文件、目录或符号链接）。

类型：keyword

示例：file

threat.enrichments.indicator.file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型：keyword

示例：1001

threat.enrichments.indicator.file.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：keyword

示例：*.elastic.co

threat.enrichments.indicator.file.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型：keyword

示例：Example SHA2 High Assurance Server CA

threat.enrichments.indicator.file.x509.issuer.country

国家/地区代码列表。

类型：keyword

示例：US

threat.enrichments.indicator.file.x509.issuer.distinguished_name

颁发证书颁发机构的区分名称 (DN)。

类型：keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.enrichments.indicator.file.x509.issuer.locality

地区名称列表 (L)

类型：keyword

示例：Mountain View

威胁.丰富信息.指标.文件.x509.颁发者.组织

颁发证书颁发机构的组织 (O) 列表。

类型：keyword

示例：Example Inc

威胁.丰富信息.指标.文件.x509.颁发者.组织单位

颁发证书颁发机构的组织单位 (OU) 列表。

类型：keyword

示例：www.example.com

威胁.丰富信息.指标.文件.x509.颁发者.州或省份

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

威胁.丰富信息.指标.文件.x509.有效期止

证书不再被认为有效的日期和时间。

类型：date

示例：2020-07-16 03:15:39+00:00

威胁.丰富信息.指标.文件.x509.有效期始

证书首次被认为有效的日期和时间。

类型：date

示例：2019-08-16 01:40:25+00:00

威胁.丰富信息.指标.文件.x509.公钥算法

用于生成公钥的算法。

类型：keyword

示例：RSA

威胁.丰富信息.指标.文件.x509.公钥曲线

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：keyword

示例：nistp521

威胁.丰富信息.指标.文件.x509.公钥指数

用于导出公钥的指数。这是特定于算法的。

类型：long

示例：65537

字段未被索引。

威胁.丰富信息.指标.文件.x509.公钥大小

公钥空间的大小（位）。

类型：long

示例：2048

威胁.丰富信息.指标.文件.x509.序列号

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式化为不带冒号且为大写字符。

类型：keyword

示例：55FBB9C7DEBF09809D12CCAA

威胁.丰富信息.指标.文件.x509.签名算法

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：keyword

示例：SHA256-RSA

威胁.丰富信息.指标.文件.x509.主体.通用名

主题的通用名称 (CN) 列表。

类型：keyword

示例：shared.global.example.net

威胁.丰富信息.指标.文件.x509.主体.国家

国家/地区代码列表

类型：keyword

示例：US

威胁.丰富信息.指标.文件.x509.主体.可分辨名称

证书主题实体的区分名称 (DN)。

类型：keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

威胁.丰富信息.指标.文件.x509.主体.地区

地区名称列表 (L)

类型：keyword

示例：San Francisco

威胁.丰富信息.指标.文件.x509.主体.组织

主题的组织 (O) 列表。

类型：keyword

示例：Example, Inc.

威胁.丰富信息.指标.文件.x509.主体.组织单位

主题的组织单位 (OU) 列表。

类型：keyword

威胁.丰富信息.指标.文件.x509.主体.州或省份

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

威胁.丰富信息.指标.文件.x509.版本号

x509 格式的版本。

类型：keyword

示例：3

威胁.丰富信息.指标.首次出现时间

情报来源首次报告发现此指标的日期和时间。

类型：date

示例：2020-11-05T17:25:47.000Z

威胁.丰富信息.指标.地理位置.城市名称

城市名称。

类型：keyword

示例：Montreal

威胁.丰富信息.指标.地理位置.洲代码

表示大陆名称的两位代码。

类型：keyword

示例：NA

威胁.丰富信息.指标.地理位置.洲名称

大陆名称。

类型：keyword

示例：北美洲

威胁.丰富信息.指标.地理位置.国家ISO代码

国家/地区 ISO 代码。

类型：keyword

示例：CA

威胁.丰富信息.指标.地理位置.国家名称

国家/地区名称。

类型：keyword

示例：加拿大

威胁.丰富信息.指标.地理位置.位置

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

威胁.丰富信息.指标.地理位置.名称

类型：keyword

示例：boston-dc

威胁.丰富信息.指标.地理位置.邮政编码

与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或邮政编码，并且在不同国家/地区会有很大差异。

类型：keyword

示例：94040

威胁.丰富信息.指标.地理位置.地区ISO代码

地区 ISO 代码。

类型：keyword

示例：CA-QC

威胁.丰富信息.指标.地理位置.地区名称

地区名称。

类型：keyword

示例：魁北克

威胁.丰富信息.指标.地理位置.时区

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

威胁.丰富信息.指标.IP地址

将威胁指标标识为IP地址（不考虑方向）。

类型：ip

示例：1.2.3.4

威胁.丰富信息.指标.最后出现时间

情报来源最后一次报告发现此指标的日期和时间。

类型：date

示例：2020-11-05T17:25:47.000Z

威胁.丰富信息.指标.标记.TLP

交通灯协议共享标记。推荐值：* 白色 * 绿色 * 黄色 * 红色

类型：keyword

示例：白色

威胁.丰富信息.指标.修改时间

情报来源最后一次修改此指标信息的日期和时间。

类型：date

示例：2020-11-05T17:25:47.000Z

威胁.丰富信息.指标.端口

将威胁指标标识为端口号（不考虑方向）。

类型：long

示例：443

威胁.丰富信息.指标.提供者

指标提供者的名称。

类型：keyword

示例：lrz_urlhaus

威胁.丰富信息.指标.参考

指向有关此指标的附加信息的参考URL。

类型：keyword

示例：https://system.example.com/indicator/0001234

威胁.丰富信息.指标.注册表.数据.字节

类型：keyword

示例：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

威胁.丰富信息.指标.注册表.数据.字符串

类型：通配符

示例：["C:\rta\red_ttp\bin\myapp.exe"]

威胁.丰富信息.指标.注册表.数据.类型

用于编码内容的标准注册表类型

类型：keyword

示例：REG_SZ

威胁.丰富信息.指标.注册表.蜂巢

配置单元的缩写名称。

类型：keyword

示例：HKLM

威胁.丰富信息.指标.注册表.键

键的相对于配置单元的路径。

类型：keyword

示例：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

威胁.丰富信息.指标.注册表.路径

完整路径，包括配置单元、键和值

类型：keyword

示例：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

威胁.丰富信息.指标.注册表.值

写入的值的名称。

类型：keyword

示例：Debugger

威胁.丰富信息.指标.扫描器统计

成功检测到恶意文件或URL的反病毒/EDR厂商数量。

类型：long

示例：4

威胁.丰富信息.指标.观察次数

观察到此指标进行威胁活动的次数。

类型：long

示例：20

威胁.丰富信息.指标.类型

STIX 2.0中表示的指标类型。推荐值：* 自治系统 * 工件 * 目录 * 域名 * 电子邮件地址 * 文件 * ipv4 地址 * ipv6 地址 * MAC 地址 * 互斥器 * 端口 * 进程 * 软件 * URL * 用户帐户 * Windows 注册表项 * x509 证书

类型：keyword

示例：ipv4-addr

威胁.丰富信息.指标.URL.域名

URL的域名，例如“www.elastic.co”。在某些情况下，URL可能直接引用IP和/或端口，而没有域名。在这种情况下，IP地址将转到domain字段。如果URL包含由[和]（IETF RFC 2732）括起来的文字IPv6地址，则[和]字符也应捕获到domain字段中。

类型：keyword

示例：www.elastic.co

威胁.丰富信息.指标.URL.扩展名

该字段包含原始请求URL中的文件扩展名，不包括前导点。只有在文件扩展名存在时才设置文件扩展名，因为并非每个URL都有文件扩展名。不能包含前导句点。例如，该值必须是“png”，而不是“.png”。请注意，当文件名有多个扩展名（例如example.tar.gz）时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型：keyword

示例：png

威胁.丰富信息.指标.URL.片段

URL中#之后的部分，例如“top”。#不是片段的一部分。

类型：keyword

威胁.丰富信息.指标.URL.完整URL

如果完整URL对您的用例很重要，则应将其存储在url.full中，无论此字段是重建的还是存在于事件源中。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top

威胁.丰富信息.指标.URL.完整URL.文本

类型：match_only_text

威胁.丰富信息.指标.URL.原始URL

在事件源中看到的未修改的原始URL。请注意，在网络监控中，观察到的URL可能是完整URL，而在访问日志中，URL通常仅表示为路径。此字段旨在表示观察到的URL，完整或不完整。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

威胁.丰富信息.指标.URL.原始URL.文本

类型：match_only_text

威胁.丰富信息.指标.URL.密码

请求的密码。

类型：keyword

威胁.丰富信息.指标.URL.路径

请求的路径，例如“/search”。

类型：通配符

威胁.丰富信息.指标.URL.端口

请求的端口，例如443。

类型：long

示例：443

格式：string

威胁.丰富信息.指标.URL.查询

查询字段描述请求的查询字符串，例如“q=elasticsearch”。?不包含在查询字符串中。如果URL不包含?，则没有查询字段。如果存在?但没有查询，则查询字段存在且包含空字符串。exists查询可用于区分这两种情况。

类型：keyword

威胁.丰富信息.指标.URL.注册域名

最高的注册URL域名，已去除子域名。例如，“foo.example.com”的注册域名是“example.com”。可以使用公共后缀列表（例如http://publicsuffix.org）来精确确定此值。仅通过获取最后两个标签来近似此值对于诸如“co.uk”之类的顶级域名将无法很好地工作。

类型：keyword

示例：example.com

威胁.丰富信息.指标.URL.方案

请求的方案，例如“https”。注意：:不是方案的一部分。

类型：keyword

示例：https

威胁.丰富信息.指标.URL.子域名

类型：keyword

示例：east

威胁.丰富信息.指标.URL.顶级域名

类型：keyword

示例：co.uk

威胁.丰富信息.指标.URL.用户名

请求的用户名。

类型：keyword

威胁.丰富信息.指标.x509.备用名称

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：keyword

示例：*.elastic.co

威胁.丰富信息.指标.x509.颁发者.通用名

颁发证书颁发机构的通用名称 (CN) 列表。

类型：keyword

示例：Example SHA2 High Assurance Server CA

威胁.丰富信息.指标.x509.颁发者.国家

国家/地区代码列表。

类型：keyword

示例：US

威胁.丰富信息.指标.x509.颁发者.可分辨名称

颁发证书颁发机构的区分名称 (DN)。

类型：keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

威胁.丰富信息.指标.x509.颁发者.地区

地区名称列表 (L)

类型：keyword

示例：Mountain View

威胁.丰富信息.指标.x509.颁发者.组织

颁发证书颁发机构的组织 (O) 列表。

类型：keyword

示例：Example Inc

威胁.丰富信息.指标.x509.颁发者.组织单位

颁发证书颁发机构的组织单位 (OU) 列表。

类型：keyword

示例：www.example.com

威胁.丰富信息.指标.x509.颁发者.州或省份

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

威胁.丰富信息.指标.x509.有效期止

证书不再被认为有效的日期和时间。

类型：date

示例：2020-07-16 03:15:39+00:00

威胁.丰富信息.指标.x509.有效期始

证书首次被认为有效的日期和时间。

类型：date

示例：2019-08-16 01:40:25+00:00

威胁.丰富信息.指标.x509.公钥算法

用于生成公钥的算法。

类型：keyword

示例：RSA

威胁.丰富信息.指标.x509.公钥曲线

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：keyword

示例：nistp521

威胁.丰富信息.指标.x509.公钥指数

用于导出公钥的指数。这是特定于算法的。

类型：long

示例：65537

字段未被索引。

威胁.丰富信息.指标.x509.公钥大小

公钥空间的大小（位）。

类型：long

示例：2048

威胁.丰富信息.指标.x509.序列号

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式化为不带冒号且为大写字符。

类型：keyword

示例：55FBB9C7DEBF09809D12CCAA

威胁.丰富信息.指标.x509.签名算法

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：keyword

示例：SHA256-RSA

威胁.丰富信息.指标.x509.主体.通用名

主题的通用名称 (CN) 列表。

类型：keyword

示例：shared.global.example.net

威胁.丰富信息.指标.x509.主体.国家

国家/地区代码列表

类型：keyword

示例：US

威胁.丰富信息.指标.x509.主体.可分辨名称

证书主题实体的区分名称 (DN)。

类型：keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

威胁.丰富信息.指标.x509.主体.地区

地区名称列表 (L)

类型：keyword

示例：San Francisco

威胁.丰富信息.指标.x509.主体.组织

主题的组织 (O) 列表。

类型：keyword

示例：Example, Inc.

威胁.丰富信息.指标.x509.主体.组织单位

主题的组织单位 (OU) 列表。

类型：keyword

威胁.丰富信息.指标.x509.主体.州或省份

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

威胁.丰富信息.指标.x509.版本号

x509 格式的版本。

类型：keyword

示例：3

威胁.匹配结果.原子指标

标识与本地环境端点或网络事件匹配的原子指标值。

类型：keyword

示例：bad-domain.com

威胁.匹配结果.字段

标识与本地环境端点或网络事件匹配的原子指标字段。

类型：keyword

示例：file.hash.sha256

威胁.匹配结果.ID

标识丰富事件的指标文档的_id。

类型：keyword

示例：ff93aee5-86a1-4a61-b0e6-0cdc313d01b5

威胁.匹配结果.索引

标识丰富事件的指标文档的_index。

类型：keyword

示例：filebeat-8.0.0-2021.05.23-000011

威胁.匹配结果.类型

标识导致事件使用给定指标进行丰富的匹配类型

类型：keyword

示例：indicator_match_rule

威胁框架

用于进一步分类和归类报告威胁的策略和技术的威胁框架名称。框架分类可以由检测系统提供，在摄取时进行评估，或者追溯性地标记到事件。

类型：keyword

示例：MITRE ATT&CK

威胁组织.别名

安全社区中通过通用名称跟踪的一组相关入侵活动的别名。虽然不是必需的，但您可以使用MITRE ATT&CK®组织别名。

类型：keyword

示例：["Magecart Group 6"]

威胁组织.ID

安全社区中通过通用名称跟踪的一组相关入侵活动的ID。虽然不是必需的，但您可以使用MITRE ATT&CK®组织ID。

类型：keyword

示例：G0037

威胁组织.名称

安全社区中通过通用名称跟踪的一组相关入侵活动的名称。虽然不是必需的，但您可以使用MITRE ATT&CK®组织名称。

类型：keyword

示例：FIN6

威胁组织.参考

安全社区中通过通用名称跟踪的一组相关入侵活动的参考URL。虽然不是必需的，但您可以使用MITRE ATT&CK®组织参考URL。

类型：keyword

示例：https://attack.mitre.org/groups/G0037/

威胁指标.AS号

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

威胁指标.AS组织.名称

组织名称。

类型：keyword

示例：Google LLC

威胁指标.AS组织.名称.文本

类型：match_only_text

威胁指标.置信度

类型：keyword

示例：中

威胁指标.描述

描述威胁进行的操作类型。

类型：keyword

示例：观察到 IP x.x.x.x 传递 Angler EK。

威胁指标.电子邮件.地址

将威胁指标标识为电子邮件地址（与方向无关）。

类型：keyword

示例：[email protected]

威胁指标.文件.访问时间

上次访问文件的时间。请注意，并非所有文件系统都跟踪访问时间。

类型：date

威胁指标.文件.属性

文件属性数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表：存档、压缩、目录、加密、执行、隐藏、读取、只读、系统、写入。

类型：keyword

示例：["readonly", "system"]

威胁指标.文件.代码签名.摘要算法

用于签署进程的哈希算法。当同一签名者使用不同的摘要算法多次签署文件时，此值可以区分签名。

类型：keyword

示例：sha256

威胁指标.文件.代码签名.是否存在

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

威胁指标.文件.代码签名.签名ID

用于签署进程的标识符。用于标识软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型：keyword

示例：com.apple.xpc.proxy

威胁指标.文件.代码签名.状态

有关证书状态的附加信息。这对于使用证书有效性或信任状态记录加密错误很有用。如果未检查证书的有效性或信任度，则保持为空。

类型：keyword

示例：ERROR_UNTRUSTED_ROOT

威胁指标.文件.代码签名.主体名称

代码签名者的主题名称

类型：keyword

示例：Microsoft Corporation

威胁指标.文件.代码签名.团队ID

用于签署进程的团队标识符。用于标识软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型：keyword

示例：EQHXZ8M8AV

威胁指标.文件.代码签名.时间戳

生成和签署代码签名的时间和日期。

类型：date

示例：2021-01-01T12:10:30Z

威胁指标.文件.代码签名.是否受信任

存储证书链的信任状态。验证证书链的信任度可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

威胁指标.文件.代码签名.是否有效

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，则保持为空。

类型：布尔值

示例：true

威胁指标.文件.创建时间

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型：date

威胁指标.文件.创建时间（ctime）

上次修改文件属性或元数据的时间。请注意，对文件内容的更改将更新mtime。这意味着ctime将同时调整，因为mtime是文件的属性。

类型：date

威胁指标.文件.设备

作为文件来源的设备。

类型：keyword

示例：sda

威胁指标.文件.目录

文件所在的目录。在适当情况下，应包含驱动器号。

类型：keyword

示例：/home/alice

威胁指标.文件.驱动器盘符

文件所在的驱动器号。此字段仅与 Windows 相关。值应为大写，不包括冒号。

类型：keyword

示例：C

威胁指标.文件.ELF.架构

ELF 文件的机器架构。

类型：keyword

示例：x86-64

威胁指标.文件.ELF.字节序

ELF 文件的字节顺序。

类型：keyword

示例：小端序

威胁指标.文件.ELF.CPU类型

ELF 文件的 CPU 类型。

类型：keyword

示例：Intel

威胁指标.文件.ELF.创建时间

尽可能从文件的元数据中提取。指示其构建或编译的时间。恶意软件创建者也可以伪造它。

类型：date

威胁指标.文件.ELF.导出函数

导出的元素名称和类型的列表。

类型：扁平化

威胁指标.文件.ELF.头部.ABI版本

ELF 应用程序二进制接口 (ABI) 的版本。

类型：keyword

威胁指标.文件.ELF.头部.类

ELF 文件的头部类别。

类型：keyword

威胁指标.文件.ELF.头部.数据

ELF 头部的數據表。

类型：keyword

威胁指标.文件.ELF.头部.入口点

ELF 文件的头部入口点。

类型：long

格式：string

威胁指标.文件.ELF.头部.对象版本

原始 ELF 文件为“0x1”。

类型：keyword

威胁指标.文件.ELF.头部.OS ABI

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：keyword

威胁指标.文件.ELF.头部.类型

ELF 文件的头部类型。

类型：keyword

威胁指标.文件.ELF.头部.版本

ELF 头部的版本。

类型：keyword

威胁指标.文件.ELF.导入函数

导入的元素名称和类型的列表。

类型：扁平化

威胁指标.文件.ELF.段

一个数组，包含 ELF 文件每个节的对象。这些对象中应存在的键由 elf.sections.* 下面的子字段定义。

类型：嵌套

威胁指标.文件.ELF.段.卡方值

节的卡方概率分布。

类型：long

格式：数字

威胁指标.文件.ELF.段.熵

来自节的香农熵计算。

类型：long

格式：数字

威胁指标.文件.ELF.段.标志

ELF 节列表标志。

类型：keyword

威胁指标.文件.ELF.段.名称

ELF 节列表名称。

类型：keyword

威胁指标.文件.ELF.段.物理偏移量

ELF 节列表偏移量。

类型：keyword

威胁指标.文件.ELF.段.物理大小

ELF 节列表物理大小。

类型：long

格式：bytes

威胁指标.文件.ELF.段.类型

ELF 节列表类型。

类型：keyword

威胁指标.文件.ELF.段.虚拟地址

ELF 节列表虚拟地址。

类型：long

格式：string

威胁指标.文件.ELF.段.虚拟大小

ELF 节列表虚拟大小。

类型：long

格式：string

威胁指标.文件.ELF.段

一个数组，包含 ELF 文件每个段的对象。这些对象中应存在的键由 elf.segments.* 下面的子字段定义。

类型：嵌套

威胁指标.文件.ELF.段.段

ELF 对象段节。

类型：keyword

威胁指标.文件.ELF.段.类型

ELF 对象段类型。

类型：keyword

威胁指标.文件.ELF.共享库

此 ELF 对象使用的共享库列表。

类型：keyword

威胁指标.文件.ELF.telfhash

ELF 文件的 telfhash 符号哈希。

类型：keyword

威胁指标.文件.扩展名

文件扩展名，不包括开头的点。请注意，当文件名具有多个扩展名（例如 example.tar.gz）时，只应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型：keyword

示例：png

威胁指标.文件.fork名称

类型：keyword

示例：Zone.Identifer

威胁指标.文件.GID

文件的组 ID (GID)。

类型：keyword

示例：1001

威胁指标.文件.组

文件的组名。

类型：keyword

示例：alice

威胁指标.文件.哈希.MD5

MD5 哈希值。

类型：keyword

威胁指标.文件.哈希.SHA1

SHA1 哈希值。

类型：keyword

威胁指标.文件.哈希.SHA256

SHA256 哈希值。

类型：keyword

威胁指标.文件.哈希.SHA512

SHA512 哈希值。

类型：keyword

威胁指标.文件.哈希.SSDEEP

SSDEEP 哈希值。

类型：keyword

威胁指标.文件.inode

在文件系统中表示文件的文件索引节点。

类型：keyword

示例：256383

威胁指标.文件.MIME类型

MIME 类型应使用IANA 官方类型（如果可能）标识文件或字节流的格式。当多个类型适用时，应使用最具体的类型。

类型：keyword

威胁指标.文件.模式

文件的八进制表示模式。

类型：keyword

示例：0640

威胁指标.文件.修改时间

上次修改文件内容的时间。

类型：date

威胁指标.文件.名称

包含扩展名的文件名，不包括目录。

类型：keyword

示例：example.png

威胁指标.文件.所有者

文件所有者的用户名。

类型：keyword

示例：alice

威胁指标.文件.路径

文件的完整路径，包括文件名。在适当情况下，应包含驱动器号。

类型：keyword

示例：/home/alice/example.png

威胁指标.文件.路径.文本

类型：match_only_text

威胁指标.文件.PE.架构

文件的 CPU 架构目标。

类型：keyword

示例：x64

威胁指标.文件.PE.公司

编译时提供的文件内部公司名称。

类型：keyword

示例：Microsoft Corporation

威胁指标.文件.PE.描述

编译时提供的文件内部描述。

类型：keyword

示例：画图

威胁指标.文件.PE.文件版本

编译时提供的文件内部版本。

类型：keyword

示例：6.3.9600.17415

威胁指标.文件.PE.imphash

类型：keyword

示例：0c6803c4e922103c4dca5963aad36ddf

威胁指标.文件.PE.原始文件名

编译时提供的文件内部名称。

类型：keyword

示例：MSPAINT.EXE

威胁指标.文件.PE.产品

编译时提供的文件内部产品名称。

类型：keyword

示例：Microsoft® Windows® 操作系统

威胁指标.文件.大小

文件大小（字节）。仅当file.type 为“file”时才相关。

类型：long

示例：16384

威胁指标.文件.目标路径

符号链接的目标路径。

类型：keyword

威胁指标.文件.目标路径.文本

类型：match_only_text

威胁指标.文件.类型

文件类型（文件、目录或符号链接）。

类型：keyword

示例：file

威胁指标.文件.UID

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型：keyword

示例：1001

威胁指标.文件.X509.备用名称

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：keyword

示例：*.elastic.co

威胁指标.文件.X509.颁发者.通用名称

颁发证书颁发机构的通用名称 (CN) 列表。

类型：keyword

示例：Example SHA2 High Assurance Server CA

威胁指标.文件.X509.颁发者.国家

国家/地区代码列表。

类型：keyword

示例：US

威胁指标.文件.X509.颁发者.可分辨名称

颁发证书颁发机构的区分名称 (DN)。

类型：keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

威胁指标.文件.X509.颁发者.地区

地区名称列表 (L)

类型：keyword

示例：Mountain View

威胁指标.文件.X509.颁发者.组织

颁发证书颁发机构的组织 (O) 列表。

类型：keyword

示例：Example Inc

威胁指标.文件.X509.颁发者.组织单位

颁发证书颁发机构的组织单位 (OU) 列表。

类型：keyword

示例：www.example.com

威胁指标.文件.X509.颁发者.州或省

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

威胁指标.文件.X509.有效期截止

证书不再被认为有效的日期和时间。

类型：date

示例：2020-07-16 03:15:39+00:00

威胁指标.文件.X509.有效期开始

证书首次被认为有效的日期和时间。

类型：date

示例：2019-08-16 01:40:25+00:00

威胁指标.文件.X509.公钥算法

用于生成公钥的算法。

类型：keyword

示例：RSA

威胁指标.文件.X509.公钥曲线

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：keyword

示例：nistp521

威胁指标.文件.X509.公钥指数

用于导出公钥的指数。这是特定于算法的。

类型：long

示例：65537

字段未被索引。

威胁指标.文件.X509.公钥大小

公钥空间的大小（位）。

类型：long

示例：2048

威胁指标.文件.X509.序列号

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式化为不带冒号且为大写字符。

类型：keyword

示例：55FBB9C7DEBF09809D12CCAA

威胁指标.文件.X509.签名算法

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：keyword

示例：SHA256-RSA

威胁指标.文件.X509.主体.通用名称

主题的通用名称 (CN) 列表。

类型：keyword

示例：shared.global.example.net

威胁指标.文件.X509.主体.国家

国家/地区代码列表

类型：keyword

示例：US

威胁指标.文件.X509.主体.可分辨名称

证书主题实体的区分名称 (DN)。

类型：keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

威胁指标.文件.X509.主体.地区

地区名称列表 (L)

类型：keyword

示例：San Francisco

威胁指标.文件.X509.主体.组织

主题的组织 (O) 列表。

类型：keyword

示例：Example, Inc.

威胁指标.文件.X509.主体.组织单位

主题的组织单位 (OU) 列表。

类型：keyword

威胁指标.文件.X509.主体.州或省

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

威胁指标.文件.X509.版本号

x509 格式的版本。

类型：keyword

示例：3

威胁指标.首次出现时间

情报来源首次报告发现此指标的日期和时间。

类型：date

示例：2020-11-05T17:25:47.000Z

威胁指标.地理位置.城市名称

城市名称。

类型：keyword

示例：Montreal

威胁指标.地理位置.大陆代码

表示大陆名称的两位代码。

类型：keyword

示例：NA

威胁指标.地理位置.大陆名称

大陆名称。

类型：keyword

示例：北美洲

威胁指标.地理位置.国家ISO代码

国家/地区 ISO 代码。

类型：keyword

示例：CA

威胁指标.地理位置.国家名称

国家/地区名称。

类型：keyword

示例：加拿大

威胁指标.地理位置.位置

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

威胁指标.地理位置.名称

类型：keyword

示例：boston-dc

威胁指标.地理位置.邮政编码

与位置关联的邮政编码。此字段的适当值也可能被称为邮政编码或邮政编码，并且在不同国家/地区会有很大差异。

类型：keyword

示例：94040

威胁指标.地理位置.地区ISO代码

地区 ISO 代码。

类型：keyword

示例：CA-QC

威胁指标.地理位置.地区名称

地区名称。

类型：keyword

示例：魁北克

威胁指标.地理位置.时区

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

威胁指标.IP地址

将威胁指标标识为IP地址（不考虑方向）。

类型：ip

示例：1.2.3.4

威胁指标.最后出现时间

情报来源最后一次报告发现此指标的日期和时间。

类型：date

示例：2020-11-05T17:25:47.000Z

威胁指标.标记.TLP

交通灯协议共享标记。推荐值：* 白色 * 绿色 * 黄色 * 红色

类型：keyword

示例：白色

威胁指标.修改时间

情报来源最后一次修改此指标信息的日期和时间。

类型：date

示例：2020-11-05T17:25:47.000Z

威胁指标.端口

将威胁指标标识为端口号（不考虑方向）。

类型：long

示例：443

威胁指标.提供者

指标提供者的名称。

类型：keyword

示例：lrz_urlhaus

威胁指标.参考

指向有关此指标的附加信息的参考URL。

类型：keyword

示例：https://system.example.com/indicator/0001234

威胁指标.注册表.数据.字节

类型：keyword

示例：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

威胁指标.注册表.数据.字符串

类型：通配符

示例：["C:\rta\red_ttp\bin\myapp.exe"]

威胁指标.注册表.数据.类型

用于编码内容的标准注册表类型

类型：keyword

示例：REG_SZ

威胁指标.注册表.蜂巢

配置单元的缩写名称。

类型：keyword

示例：HKLM

威胁指标.注册表.键

键的相对于配置单元的路径。

类型：keyword

示例：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

威胁指标.注册表.路径

完整路径，包括配置单元、键和值

类型：keyword

示例：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

威胁指标.注册表.值

写入的值的名称。

类型：keyword

示例：Debugger

威胁指标.扫描器统计信息

成功检测到恶意文件或URL的反病毒/EDR厂商数量。

类型：long

示例：4

威胁指标.观察

观察到此指标进行威胁活动的次数。

类型：long

示例：20

威胁指标.类型

类型：keyword

示例：ipv4-addr

威胁指标.URL.域名

类型：keyword

示例：www.elastic.co

威胁指标.URL.扩展名

类型：keyword

示例：png

威胁指标.URL.片段

URL中#之后的部分，例如“top”。#不是片段的一部分。

类型：keyword

威胁指标.URL.完整URL

如果完整URL对您的用例很重要，则应将其存储在url.full中，无论此字段是重建的还是存在于事件源中。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top

威胁指标.URL.完整URL.文本

类型：match_only_text

威胁指标.URL.原始URL

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

威胁指标.URL.原始URL.文本

类型：match_only_text

威胁指标.URL.密码

请求的密码。

类型：keyword

威胁指标.URL.路径

请求的路径，例如“/search”。

类型：通配符

威胁指标.URL.端口

请求的端口，例如443。

类型：long

示例：443

格式：string

威胁指标.URL.查询

类型：keyword

威胁指标.URL.注册域名

类型：keyword

示例：example.com

威胁指标.URL.方案

请求的方案，例如“https”。注意：:不是方案的一部分。

类型：keyword

示例：https

威胁指标.URL.子域名

类型：keyword

示例：east

威胁指标.URL.顶级域名

类型：keyword

示例：co.uk

威胁指标.URL.用户名

请求的用户名。

类型：keyword

威胁指标.X509.备用名称

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：keyword

示例：*.elastic.co

威胁指标.X509.颁发者.通用名称

颁发证书颁发机构的通用名称 (CN) 列表。

类型：keyword

示例：Example SHA2 High Assurance Server CA

威胁指标.X509.颁发者.国家

国家/地区代码列表。

类型：keyword

示例：US

威胁指标.X509.颁发者.可分辨名称

颁发证书颁发机构的区分名称 (DN)。

类型：keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

威胁指标.X509.颁发者.地区

地区名称列表 (L)

类型：keyword

示例：Mountain View

威胁指标.X509.颁发者.组织

颁发证书颁发机构的组织 (O) 列表。

类型：keyword

示例：Example Inc

威胁指标.X509.颁发者.组织单位

颁发证书颁发机构的组织单位 (OU) 列表。

类型：keyword

示例：www.example.com

威胁指标.X509.颁发者.州或省

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

威胁指标.X509.有效期截止

证书不再被认为有效的日期和时间。

类型：date

示例：2020-07-16 03:15:39+00:00

威胁指标.X509.有效期开始

证书首次被认为有效的日期和时间。

类型：date

示例：2019-08-16 01:40:25+00:00

威胁指标.X509.公钥算法

用于生成公钥的算法。

类型：keyword

示例：RSA

威胁指标.X509.公钥曲线

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：keyword

示例：nistp521

威胁指标.X509.公钥指数

用于导出公钥的指数。这是特定于算法的。

类型：long

示例：65537

字段未被索引。

威胁指标.X509.公钥大小

公钥空间的大小（位）。

类型：long

示例：2048

威胁指标.X509.序列号

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式化为不带冒号且为大写字符。

类型：keyword

示例：55FBB9C7DEBF09809D12CCAA

威胁指标.X509.签名算法

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：keyword

示例：SHA256-RSA

威胁指标.X509.主体.通用名称

主题的通用名称 (CN) 列表。

类型：keyword

示例：shared.global.example.net

威胁指标.X509.主体.国家

国家/地区代码列表

类型：keyword

示例：US

威胁指标.X509.主体.可分辨名称

证书主题实体的区分名称 (DN)。

类型：keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

威胁指标.X509.主体.地区

地区名称列表 (L)

类型：keyword

示例：San Francisco

威胁指标.X509.主体.组织

主题的组织 (O) 列表。

类型：keyword

示例：Example, Inc.

威胁指标.X509.主体.组织单位

主题的组织单位 (OU) 列表。

类型：keyword

威胁指标.X509.主体.州或省

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

威胁指标.X509.版本号

x509 格式的版本。

类型：keyword

示例：3

威胁.软件.别名

安全社区中通过通用名称跟踪的一组相关入侵活动的软件别名。虽然不是必需的，但您可以使用与 MITRE ATT&CK® 相关的软件描述。

类型：keyword

示例：["X-Agent"]

威胁.软件.ID

此威胁用来进行通常使用 MITRE ATT&CK® 建模的行为的软件ID。虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件ID。

类型：keyword

示例：S0552

威胁.软件.名称

此威胁用来进行通常使用 MITRE ATT&CK® 建模的行为的软件名称。虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件名称。

类型：keyword

示例：AdFind

威胁.软件.平台

此威胁用来进行通常使用 MITRE ATT&CK® 建模的行为的软件平台。推荐值：* AWS * Azure * Azure AD * GCP * Linux * macOS * 网络 * Office 365 * SaaS * Windows

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件平台。

类型：keyword

示例：["Windows"]

威胁.软件.参考

此威胁用来进行通常使用 MITRE ATT&CK® 建模的行为的软件参考URL。虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件参考URL。

类型：keyword

示例：https://attack.mitre.org/software/S0552/

威胁.软件.类型

此威胁用来进行通常使用 MITRE ATT&CK® 建模的行为的软件类型。推荐值 * 恶意软件 * 工具

While not required, you can use a MITRE ATT&CK® software type.

类型：keyword

示例：工具

威胁.策略.ID

此威胁使用的策略ID。例如，您可以使用 MITRE ATT&CK® 策略。（例如，https://attack.mitre.org/tactics/TA0002/）

类型：keyword

示例：TA0002

威胁.策略.名称

此威胁使用的策略类型名称。例如，您可以使用 MITRE ATT&CK® 策略。（例如，https://attack.mitre.org/tactics/TA0002/）

类型：keyword

示例：执行

威胁.策略.参考

此威胁使用的策略参考URL。例如，您可以使用 MITRE ATT&CK® 策略。（例如，https://attack.mitre.org/tactics/TA0002/）

类型：keyword

示例：https://attack.mitre.org/tactics/TA0002/

威胁.技术.ID

此威胁使用的技术ID。例如，您可以使用 MITRE ATT&CK® 技术。（例如，https://attack.mitre.org/techniques/T1059/）

类型：keyword

示例：T1059

威胁.技术.名称

此威胁使用的技术名称。例如，您可以使用 MITRE ATT&CK® 技术。（例如，https://attack.mitre.org/techniques/T1059/）

类型：keyword

示例：命令和脚本解释器

威胁.技术.名称.文本

类型：match_only_text

威胁.技术.参考

此威胁使用的技术参考URL。例如，您可以使用 MITRE ATT&CK® 技术。（例如，https://attack.mitre.org/techniques/T1059/）

类型：keyword

示例：https://attack.mitre.org/techniques/T1059/

威胁.技术.子技术.ID

此威胁使用的子技术完整ID。例如，您可以使用 MITRE ATT&CK® 子技术。（例如，https://attack.mitre.org/techniques/T1059/001/）

类型：keyword

示例：T1059.001

威胁.技术.子技术.名称

此威胁使用的子技术名称。例如，您可以使用 MITRE ATT&CK® 子技术。（例如，https://attack.mitre.org/techniques/T1059/001/）

类型：keyword

示例：PowerShell

威胁.技术.子技术.名称.文本

类型：match_only_text

威胁.技术.子技术.参考

此威胁使用的子技术参考URL。例如，您可以使用 MITRE ATT&CK® 子技术。（例如，https://attack.mitre.org/techniques/T1059/001/）

类型：keyword

示例：https://attack.mitre.org/techniques/T1059/001/

TLS

与 TLS 连接相关的字段。这些字段侧重于 TLS 协议本身，并有意避免对相关的 x.509 证书文件进行深入分析。

TLS.密码

指示当前连接中使用的密码的字符串。

类型：keyword

示例：TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS.客户端.证书

客户端提供的 PEM 编码的独立证书。这通常与client.certificate_chain互斥，因为此值也存在于该列表中。

类型：keyword

示例：MII…

TLS.客户端.证书链

构成客户端提供的证书链的 PEM 编码证书数组。这通常与client.certificate互斥，因为该值应该是链中的第一个证书。

类型：keyword

示例：["MII…", "MII…"]

TLS.客户端.哈希.MD5

使用客户端提供的证书的 DER 编码版本的 MD5 摘要生成的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：keyword

示例：0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC

TLS.客户端.哈希.SHA1

使用客户端提供的证书的 DER 编码版本的 SHA1 摘要生成的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：keyword

示例：9E393D93138888D288266C2D915214D1D1CCEB2A

TLS.客户端.哈希.SHA256

使用客户端提供的证书的 DER 编码版本的 SHA256 摘要生成的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：keyword

示例：0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0

TLS.客户端.颁发者

客户端提供的 x.509 证书颁发者主题的可分辨名称。

类型：keyword

示例：CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com

TLS.客户端.JA3

基于客户端执行 SSL/TLS 握手的方式识别客户端的哈希值。

类型：keyword

示例：d4e5b18d6b55c71272893221c96ba240

TLS.客户端.有效期截止

指示客户端证书不再被视为有效的日期/时间。

类型：date

示例：2021-01-01T00:00:00.000Z

TLS.客户端.有效期开始

指示客户端证书首次被视为有效的日期/时间。

类型：date

示例：1970-01-01T00:00:00.000Z

TLS.客户端.服务器名称

也称为 SNI，它告诉服务器客户端尝试连接到的主机名。当此值可用时，应将其复制到destination.domain。

类型：keyword

示例：www.elastic.co

TLS.客户端.主题

客户端提供的 x.509 证书主题的可分辨名称。

类型：keyword

示例：CN=myclient, OU=Documentation Team, DC=example, DC=com

TLS.客户端.支持的密码

客户端在客户端问候期间提供的密码数组。

类型：keyword

示例：["TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "…"]

TLS.客户端.X509.备用名称

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：keyword

示例：*.elastic.co

TLS.客户端.X509.颁发者.通用名称

颁发证书颁发机构的通用名称 (CN) 列表。

类型：keyword

示例：Example SHA2 High Assurance Server CA

TLS.客户端.X509.颁发者.国家

国家/地区代码列表。

类型：keyword

示例：US

tls.client.x509.issuer.distinguished_name

颁发证书颁发机构的区分名称 (DN)。

类型：keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

tls.client.x509.issuer.locality

地区名称列表 (L)

类型：keyword

示例：Mountain View

tls.client.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：keyword

示例：Example Inc

tls.client.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：keyword

示例：www.example.com

tls.client.x509.issuer.state_or_province

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

tls.client.x509.not_after

证书不再被认为有效的日期和时间。

类型：date

示例：2020-07-16 03:15:39+00:00

tls.client.x509.not_before

证书首次被认为有效的日期和时间。

类型：date

示例：2019-08-16 01:40:25+00:00

tls.client.x509.public_key_algorithm

用于生成公钥的算法。

类型：keyword

示例：RSA

tls.client.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：keyword

示例：nistp521

tls.client.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型：long

示例：65537

字段未被索引。

tls.client.x509.public_key_size

公钥空间的大小（位）。

类型：long

示例：2048

tls.client.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式化为不带冒号且为大写字符。

类型：keyword

示例：55FBB9C7DEBF09809D12CCAA

tls.client.x509.signature_algorithm

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：keyword

示例：SHA256-RSA

tls.client.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型：keyword

示例：shared.global.example.net

tls.client.x509.subject.country

国家/地区代码列表

类型：keyword

示例：US

tls.client.x509.subject.distinguished_name

证书主题实体的区分名称 (DN)。

类型：keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

tls.client.x509.subject.locality

地区名称列表 (L)

类型：keyword

示例：San Francisco

tls.client.x509.subject.organization

主题的组织 (O) 列表。

类型：keyword

示例：Example, Inc.

tls.client.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型：keyword

tls.client.x509.subject.state_or_province

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

tls.client.x509.version_number

x509 格式的版本。

类型：keyword

示例：3

tls.curve

指示所用曲线的字符串（如果适用）。

类型：keyword

示例：secp256r1

tls.established

布尔标志，指示 TLS 协商是否成功并转换为加密隧道。

类型：布尔值

tls.next_protocol

指示正在进行隧道传输的协议的字符串。根据 IANA 注册表中的值 (https://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml#alpn-protocol-ids)，此字符串应为小写。

类型：keyword

示例：http/1.1

tls.resumed

布尔标志，指示此 TLS 连接是否从现有 TLS 协商恢复。

类型：布尔值

tls.server.certificate

服务器提供的 PEM 编码的独立证书。由于此值也存在于该列表中，因此通常与 server.certificate_chain 相互排斥。

类型：keyword

示例：MII…

tls.server.certificate_chain

构成服务器提供的证书链的 PEM 编码证书数组。由于该值应该是链中的第一个证书，因此通常与 server.certificate 相互排斥。

类型：keyword

示例：["MII…", "MII…"]

tls.server.hash.md5

使用服务器提供的证书的 DER 编码版本的 MD5 摘要生成的证书指纹。为与其他哈希值保持一致，此值应格式化为大写哈希。

类型：keyword

示例：0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC

tls.server.hash.sha1

使用服务器提供的证书的 DER 编码版本的 SHA1 摘要生成的证书指纹。为与其他哈希值保持一致，此值应格式化为大写哈希。

类型：keyword

示例：9E393D93138888D288266C2D915214D1D1CCEB2A

tls.server.hash.sha256

使用服务器提供的证书的 DER 编码版本的 SHA256 摘要生成的证书指纹。为与其他哈希值保持一致，此值应格式化为大写哈希。

类型：keyword

示例：0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0

tls.server.issuer

服务器提供的 x.509 证书颁发者的主体。

类型：keyword

示例：CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com

tls.server.ja3s

基于服务器执行 SSL/TLS 握手的行为来识别服务器的哈希值。

类型：keyword

示例：394441ab65754e2207b1e1b457b3641d

tls.server.not_after

指示服务器证书不再被认为有效的日期时间戳。

类型：date

示例：2021-01-01T00:00:00.000Z

tls.server.not_before

指示服务器证书首次被认为有效的日期时间戳。

类型：date

示例：1970-01-01T00:00:00.000Z

tls.server.subject

服务器提供的 x.509 证书的主体。

类型：keyword

示例：CN=www.example.com, OU=Infrastructure Team, DC=example, DC=com

tls.server.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：keyword

示例：*.elastic.co

tls.server.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型：keyword

示例：Example SHA2 High Assurance Server CA

tls.server.x509.issuer.country

国家/地区代码列表。

类型：keyword

示例：US

tls.server.x509.issuer.distinguished_name

颁发证书颁发机构的区分名称 (DN)。

类型：keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

tls.server.x509.issuer.locality

地区名称列表 (L)

类型：keyword

示例：Mountain View

tls.server.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：keyword

示例：Example Inc

tls.server.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：keyword

示例：www.example.com

tls.server.x509.issuer.state_or_province

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

tls.server.x509.not_after

证书不再被认为有效的日期和时间。

类型：date

示例：2020-07-16 03:15:39+00:00

tls.server.x509.not_before

证书首次被认为有效的日期和时间。

类型：date

示例：2019-08-16 01:40:25+00:00

tls.server.x509.public_key_algorithm

用于生成公钥的算法。

类型：keyword

示例：RSA

tls.server.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：keyword

示例：nistp521

tls.server.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型：long

示例：65537

字段未被索引。

tls.server.x509.public_key_size

公钥空间的大小（位）。

类型：long

示例：2048

tls.server.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式化为不带冒号且为大写字符。

类型：keyword

示例：55FBB9C7DEBF09809D12CCAA

tls.server.x509.signature_algorithm

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：keyword

示例：SHA256-RSA

tls.server.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型：keyword

示例：shared.global.example.net

tls.server.x509.subject.country

国家/地区代码列表

类型：keyword

示例：US

tls.server.x509.subject.distinguished_name

证书主题实体的区分名称 (DN)。

类型：keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

tls.server.x509.subject.locality

地区名称列表 (L)

类型：keyword

示例：San Francisco

tls.server.x509.subject.organization

主题的组织 (O) 列表。

类型：keyword

示例：Example, Inc.

tls.server.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型：keyword

tls.server.x509.subject.state_or_province

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

tls.server.x509.version_number

x509 格式的版本。

类型：keyword

示例：3

tls.version

从原始字符串解析的版本的数字部分。

类型：keyword

示例：1.2

tls.version_protocol

从原始字符串解析的规范化小写协议名称。

类型：keyword

示例：tls

span.id

跨度在其跟踪范围内的唯一标识符。跨度表示事务中的一个操作，例如对另一个服务的请求或数据库查询。

类型：keyword

示例：3ff9a8981b7ccd5a

trace.id

跟踪的唯一标识符。跟踪将多个事件（例如属于一起的事务）分组在一起。例如，由多个互连服务处理的用户请求。

类型：keyword

示例：4bf92f3577b34da6a3ce929d0e0e4736

transaction.id

事务在其跟踪范围内的唯一标识符。事务是在服务中测量的最高级别的工作，例如对服务器的请求。

类型：keyword

示例：00f067aa0ba902b7

url

URL 字段支持完整或部分 URL，并支持将其分解为方案、域、路径等。

url.domain

类型：keyword

示例：www.elastic.co

url.extension

类型：keyword

示例：png

url.fragment

URL中#之后的部分，例如“top”。#不是片段的一部分。

类型：keyword

url.full

如果完整URL对您的用例很重要，则应将其存储在url.full中，无论此字段是重建的还是存在于事件源中。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top

url.full.text

类型：match_only_text

url.original

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

url.original.text

类型：match_only_text

url.password

请求的密码。

类型：keyword

url.path

请求的路径，例如“/search”。

类型：通配符

url.port

请求的端口，例如443。

类型：long

示例：443

格式：string

url.query

类型：keyword

url.registered_domain

类型：keyword

示例：example.com

url.scheme

请求的方案，例如“https”。注意：:不是方案的一部分。

类型：keyword

示例：https

url.subdomain

类型：keyword

示例：east

url.top_level_domain

类型：keyword

示例：co.uk

url.username

请求的用户名。

类型：keyword

user

用户字段描述与事件相关的用户信息。字段可以有一个条目或多个条目。如果用户有多个 ID，请提供包含所有 ID 的数组。

user.changes.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

user.changes.email

用户电子邮件地址。

类型：keyword

user.changes.full_name

用户的全名（如果可用）。

类型：keyword

示例：Albert Einstein

user.changes.full_name.text

类型：match_only_text

user.changes.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

user.changes.group.id

系统/平台上组的唯一标识符。

类型：keyword

user.changes.group.name

组的名称。

类型：keyword

user.changes.hash

唯一的用户哈希值，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型：keyword

user.changes.id

用户的唯一标识符。

类型：keyword

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

user.changes.name

用户的简称或登录名。

类型：keyword

示例：a.einstein

user.changes.name.text

类型：match_only_text

user.changes.roles

事件发生时用户的角色数组。

类型：keyword

示例：["kibana_admin", "reporting_user"]

user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

user.effective.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

user.effective.email

用户电子邮件地址。

类型：keyword

user.effective.full_name

用户的全名（如果可用）。

类型：keyword

示例：Albert Einstein

user.effective.full_name.text

类型：match_only_text

user.effective.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

user.effective.group.id

系统/平台上组的唯一标识符。

类型：keyword

user.effective.group.name

组的名称。

类型：keyword

user.effective.hash

唯一的用户哈希值，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型：keyword

user.effective.id

用户的唯一标识符。

类型：keyword

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

user.effective.name

用户的简称或登录名。

类型：keyword

示例：a.einstein

user.effective.name.text

类型：match_only_text

user.effective.roles

事件发生时用户的角色数组。

类型：keyword

示例：["kibana_admin", "reporting_user"]

user.email

用户电子邮件地址。

类型：keyword

user.full_name

用户的全名（如果可用）。

类型：keyword

示例：Albert Einstein

user.full_name.text

类型：match_only_text

user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

user.group.id

系统/平台上组的唯一标识符。

类型：keyword

user.group.name

组的名称。

类型：keyword

user.hash

唯一的用户哈希值，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型：keyword

user.id

用户的唯一标识符。

类型：keyword

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

user.name

用户的简称或登录名。

类型：keyword

示例：a.einstein

user.name.text

类型：match_only_text

user.roles

事件发生时用户的角色数组。

类型：keyword

示例：["kibana_admin", "reporting_user"]

user.target.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

user.target.email

用户电子邮件地址。

类型：keyword

user.target.full_name

用户的全名（如果可用）。

类型：keyword

示例：Albert Einstein

user.target.full_name.text

类型：match_only_text

user.target.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

user.target.group.id

系统/平台上组的唯一标识符。

类型：keyword

user.target.group.name

组的名称。

类型：keyword

user.target.hash

唯一的用户哈希值，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型：keyword

user.target.id

用户的唯一标识符。

类型：keyword

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

user.target.name

用户的简称或登录名。

类型：keyword

示例：a.einstein

user.target.name.text

类型：match_only_text

user.target.roles

事件发生时用户的角色数组。

类型：keyword

示例：["kibana_admin", "reporting_user"]

user_agent

user_agent 字段通常来自浏览器请求。它们通常出现在来自已解析 user agent 字符串的 Web 服务日志中。

user_agent.device.name

设备名称。

类型：keyword

示例：iPhone

user_agent.name

用户代理的名称。

类型：keyword

示例：Safari

user_agent.original

未解析的 user_agent 字符串。

类型：keyword

示例：Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

user_agent.original.text

类型：match_only_text

user_agent.os.family

操作系统系列（例如redhat、debian、freebsd、windows）。

类型：keyword

示例：debian

user_agent.os.full

操作系统名称，包括版本或代号。

类型：keyword

示例：Mac OS Mojave

user_agent.os.full.text

类型：match_only_text

user_agent.os.kernel

操作系统内核版本，原始字符串。

类型：keyword

示例：4.4.0-112-generic

user_agent.os.name

操作系统名称，不包括版本。

类型：keyword

示例：Mac OS X

user_agent.os.name.text

类型：match_only_text

user_agent.os.platform

操作系统平台（例如centos、ubuntu、windows）。

类型：keyword

示例：darwin

user_agent.os.type

类型：keyword

示例：macos

user_agent.os.version

操作系统版本，原始字符串。

类型：keyword

示例：10.14.1

user_agent.version

用户代理的版本。

类型：keyword

示例：12.0

vlan

VLAN 字段用于标识数据包的 802.1q 标记，以及观察者相对于特定数据包或连接的入口和出口 VLAN 关联。Network.vlan 字段用于记录观察到的数据包或连接的单个 VLAN 标记，或者在 q-in-q 封装的情况下记录外部标记，通常由被动报告流量的网络传感器（例如 Zeek、Wireshark）提供。Network.inner VLAN 字段用于报告观察到的内部 q-in-q 802.1q 标记（多个 802.1q 封装），通常由被动报告流量的网络传感器（例如 Zeek、Wireshark）提供。Network.inner VLAN 字段应仅与 network.vlan 字段一起使用以指示 q-in-q 标记。Observer.ingress 和 observer.egress VLAN 值用于记录观察者特定信息，当观察者事件包含离散的入口和出口 VLAN 信息时，通常由防火墙、路由器或负载均衡器提供。

vlan.id

观察者报告的VLAN ID。

类型：keyword

示例：10

vlan.name

观察者报告的可选VLAN名称。

类型：keyword

示例：outside

vulnerability

漏洞字段描述与事件相关的漏洞信息。

vulnerability.category

漏洞影响的系统或架构类型。这些可能是特定于平台的（例如，Debian 或 SUSE）或通用的（例如，数据库或防火墙）。例如 (Qualys 漏洞类别) 此字段必须是数组。

类型：keyword

示例：["Firewall"]

vulnerability.classification

漏洞评分系统的分类。例如 (https://www.first.org/cvss/)

类型：keyword

示例：CVSS

vulnerability.description

提供漏洞附加上下文的漏洞描述。例如 (常见漏洞和披露 CVE 描述)

类型：keyword

示例：在 2.12.6 之前的 macOS 中，RPC 中存在漏洞……

vulnerability.description.text

类型：match_only_text

vulnerability.enumeration

用于此漏洞的标识符类型。例如 (https://cve.mitre.org/about/)

类型：keyword

示例：CVE

vulnerability.id

标识符（ID）是漏洞条目的数字部分。它包含漏洞的唯一标识号。例如 (常见漏洞和披露 CVE ID

类型：keyword

示例：CVE-2019-00001

vulnerability.reference

提供已识别漏洞的附加信息、上下文和缓解措施的资源。

类型：keyword

示例：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6111

vulnerability.report_id

报告或扫描标识号。

类型：keyword

示例：20191018.0001

vulnerability.scanner.vendor

漏洞扫描程序供应商的名称。

类型：keyword

示例：Tenable

vulnerability.score.base

分数范围为 0.0 到 10.0，其中 10.0 为最严重的分数。基本分数涵盖对可利用性指标（攻击媒介、复杂性、权限和用户交互）、影响指标（机密性、完整性和可用性）和范围的评估。例如 (https://www.first.org/cvss/specification-document)

类型：float

示例：5.5

vulnerability.score.environmental

分数范围为 0.0 到 10.0，其中 10.0 为最严重的分数。环境分数涵盖对任何修改后的基本指标、机密性、完整性和可用性要求的评估。例如 (https://www.first.org/cvss/specification-document)

类型：float

示例：5.5

vulnerability.score.temporal

分数范围为 0.0 到 10.0，其中 10.0 为最严重的分数。时间分数涵盖对代码成熟度、修复级别和置信度的评估。例如 (https://www.first.org/cvss/specification-document)

类型：float

vulnerability.score.version

国家漏洞数据库 (NVD) 除了根据 CVSS v3.0 规范定义的 CVSS v3.0 严重性等级外，还为 CVSS v2.0 基本分数范围提供定性严重性等级“低”、“中”和“高”。CVSS 由 FIRST.Org, Inc. (FIRST) 拥有和管理，FIRST 是一个位于美国的非营利组织，其使命是帮助世界各地的计算机安全事件响应团队。例如 (https://nvd.nist.gov/vuln-metrics/cvss)

类型：keyword

示例：2.0

vulnerability.severity

漏洞的严重性可以帮助衡量和内部优先考虑修复问题。例如 (https://nvd.nist.gov/vuln-metrics/cvss)

类型：keyword

示例：严重

x509

本规范实现了x509证书的通用核心字段。这些信息可能记录在TLS会话、可执行二进制文件中找到的数字签名、电子邮件正文中的S/MIME信息或磁盘上文件的分析中。当证书与文件相关联时，请使用file.x509下的字段。当DER编码证书的哈希值可用时，也应填充hash数据集（例如file.hash.sha256）。包含关于网络连接的证书信息的事件，应使用相关TLS字段下的x509字段：tls.server.x509和/或tls.client.x509。

x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：keyword

示例：*.elastic.co

x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型：keyword

示例：Example SHA2 High Assurance Server CA

x509.issuer.country

国家/地区代码列表。

类型：keyword

示例：US

x509.issuer.distinguished_name

颁发证书颁发机构的区分名称 (DN)。

类型：keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

x509.issuer.locality

地区名称列表 (L)

类型：keyword

示例：Mountain View

x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：keyword

示例：Example Inc

x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：keyword

示例：www.example.com

x509.issuer.state_or_province

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

x509.not_after

证书不再被认为有效的日期和时间。

类型：date

示例：2020-07-16 03:15:39+00:00

x509.not_before

证书首次被认为有效的日期和时间。

类型：date

示例：2019-08-16 01:40:25+00:00

x509.public_key_algorithm

用于生成公钥的算法。

类型：keyword

示例：RSA

x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：keyword

示例：nistp521

x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型：long

示例：65537

字段未被索引。

x509.public_key_size

公钥空间的大小（位）。

类型：long

示例：2048

x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式化为不带冒号且为大写字符。

类型：keyword

示例：55FBB9C7DEBF09809D12CCAA

x509.signature_algorithm

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：keyword

示例：SHA256-RSA

x509.subject.common_name

主题的通用名称 (CN) 列表。

类型：keyword

示例：shared.global.example.net

x509.subject.country

国家/地区代码列表

类型：keyword

示例：US

x509.subject.distinguished_name

证书主题实体的区分名称 (DN)。

类型：keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

x509.subject.locality

地区名称列表 (L)

类型：keyword

示例：San Francisco

x509.subject.organization

主题的组织 (O) 列表。

类型：keyword

示例：Example, Inc.

x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型：keyword

x509.subject.state_or_province

州或省名称列表 (ST、S 或 P)

类型：keyword

示例：California

x509.version_number

x509 格式的版本。

类型：keyword

示例：3

« Docker 字段文件完整性字段 »

ECS 字段

ECS 字段

agent

as

client

cloud

code_signature

container

data_stream

destination

dll

dns

ecs

elf

error

event

faas

file

geo

group

hash

host

http

interface

log

network

observer

orchestrator

organization

os

package

pe

process

注册表

相关信息

规则

服务器

服务

source

threat

TLS

url

user

user_agent

vlan

vulnerability

x509