这些字段是由系统模块生成的。
-
event.origin -
事件的来源。这可以是文件路径(例如
/var/log/log.1),也可以是提供数据的系统组件的名称(例如netlink)。类型:keyword
-
user.entity_id -
唯一标识主机上用户的 ID。它是通过计算主机 ID、用户 ID 和用户名 SHA-256 哈希值计算得出的。
类型:keyword
-
user.terminal -
用户的终端。
类型:keyword
-
process.thread.capabilities.effective -
这是内核用于对线程执行权限检查的功能集。
类型:keyword
示例:["CAP_BPF", "CAP_SYS_ADMIN"]
-
process.thread.capabilities.permitted -
这是线程可能承担的有效功能的限制性超集。
类型:keyword
示例:["CAP_BPF", "CAP_SYS_ADMIN"]
可执行文件的哈希值。键是算法名称,值是十六进制编码的摘要值。
-
process.hash.blake2b_256 -
可执行文件的 BLAKE2b-256 哈希值。
类型:keyword
-
process.hash.blake2b_384 -
可执行文件的 BLAKE2b-384 哈希值。
类型:keyword
-
process.hash.blake2b_512 -
可执行文件的 BLAKE2b-512 哈希值。
类型:keyword
-
process.hash.sha224 -
可执行文件的 SHA224 哈希值。
类型:keyword
-
process.hash.sha384 -
可执行文件的 SHA384 哈希值。
类型:keyword
-
process.hash.sha3_224 -
可执行文件的 SHA3_224 哈希值。
类型:keyword
-
process.hash.sha3_256 -
可执行文件的 SHA3_256 哈希值。
类型:keyword
-
process.hash.sha3_384 -
可执行文件的 SHA3_384 哈希值。
类型:keyword
-
process.hash.sha3_512 -
可执行文件的 SHA3_512 哈希值。
类型:keyword
-
process.hash.sha512_224 -
可执行文件的 SHA512/224 哈希值。
类型:keyword
-
process.hash.sha512_256 -
可执行文件的 SHA512/256 哈希值。
类型:keyword
-
process.hash.xxh64 -
可执行文件的 XX64 哈希值。
类型:keyword
host 包含常规的主机信息。
-
system.audit.host.uptime -
以纳秒为单位的运行时间。
类型:long
格式:duration
-
system.audit.host.boottime -
启动时间。
类型:date
-
system.audit.host.containerized -
如果主机是容器,则设置为 true。
类型:boolean
-
system.audit.host.timezone.name -
主机时区的名称,例如 BST。
类型:keyword
-
system.audit.host.timezone.offset.sec -
时区偏移量(以秒为单位)。
类型:long
-
system.audit.host.hostname -
主机名。
类型:keyword
-
system.audit.host.id -
主机 ID。
类型:keyword
-
system.audit.host.architecture -
主机架构(例如 x86_64)。
类型:keyword
-
system.audit.host.mac -
MAC 地址。
类型:keyword
-
system.audit.host.ip -
IP 地址。
类型:ip
os 包含有关操作系统的的信息。
-
system.audit.host.os.codename -
操作系统代号(如果存在)(例如 stretch)。
类型:keyword
-
system.audit.host.os.platform -
操作系统平台(例如 centos、ubuntu、windows)。
类型:keyword
-
system.audit.host.os.name -
操作系统名称(例如 Mac OS X)。
类型:keyword
-
system.audit.host.os.family -
操作系统系列(例如 redhat、debian、freebsd、windows)。
类型:keyword
-
system.audit.host.os.version -
操作系统版本。
类型:keyword
-
system.audit.host.os.kernel -
操作系统的内核版本。
类型:keyword
-
system.audit.host.os.type -
操作系统类型(参见 ECS os.type)。
类型:keyword
package 包含有关已安装或已删除软件包的信息。
-
system.audit.package.entity_id -
唯一标识软件包的 ID。它是通过计算主机 ID、软件包名称和软件包版本的 SHA-256 哈希值计算得出的。
类型:keyword
-
system.audit.package.name -
软件包名称。
类型:keyword
-
system.audit.package.version -
软件包版本。
类型:keyword
-
system.audit.package.release -
软件包发行版。
类型:keyword
-
system.audit.package.arch -
软件包架构。
类型:keyword
-
system.audit.package.license -
软件包许可证。
类型:keyword
-
system.audit.package.installtime -
软件包安装时间。
类型:date
-
system.audit.package.size -
软件包大小。
类型:long
-
system.audit.package.summary -
软件包摘要。
-
system.audit.package.url -
软件包 URL。
类型:keyword
user 包含有关系统上用户的信息。
-
system.audit.user.name -
用户名。
类型:keyword
-
system.audit.user.uid -
用户 ID。
类型:keyword
-
system.audit.user.gid -
组 ID。
类型:keyword
-
system.audit.user.dir -
用户的家目录。
类型:keyword
-
system.audit.user.shell -
登录时运行的程序。
类型:keyword
-
system.audit.user.user_information -
常规用户信息。在 Linux 上,这是 gecos 字段。
类型:keyword
-
system.audit.user.group -
group包含有关用户所属的任何组(超出用户的首要组)的信息。类型:object
password 包含有关用户密码的信息(而不是密码本身)。
-
system.audit.user.password.type -
用户的密码类型。可能的值为
shadow_password(密码哈希位于 shadow 文件中)、password_disabled、no_password(这很危险,因为任何人都可以登录)和crypt_password(当 /etc/passwd 中的密码字段似乎包含加密的密码时)。类型:keyword
-
system.audit.user.password.last_changed -
用户上次更改密码的日期。
类型:date