这些是由 auditd 模块生成的字段。
-
user.auid -
类型: 别名
别名到: user.audit.id
-
user.uid -
类型: 别名
别名到: user.id
-
user.fsuid -
类型: 别名
别名到: user.filesystem.id
-
user.suid -
类型: 别名
别名到: user.saved.id
-
user.gid -
类型: 别名
别名到: user.group.id
-
user.sgid -
类型: 别名
别名到: user.saved.group.id
-
user.fsgid -
类型: 别名
别名到: user.filesystem.group.id
如果在配置中将 resolve_ids 设置为 true,则 name_map 将包含 uid 字段名称到解析名称的映射(例如,auid → root)。
-
user.name_map.auid -
类型: 别名
别名到: user.audit.name
-
user.name_map.uid -
类型: 别名
别名到: user.name
-
user.name_map.fsuid -
类型: 别名
别名到: user.filesystem.name
-
user.name_map.suid -
类型: 别名
别名到: user.saved.name
-
user.name_map.gid -
类型: 别名
别名到: user.group.name
-
user.name_map.sgid -
类型: 别名
别名到: user.saved.group.name
-
user.name_map.fsgid -
类型: 别名
别名到: user.filesystem.group.name
执行者的 SELinux 身份。
-
user.selinux.user -
提交以进行身份验证的帐户
类型: 关键字
-
user.selinux.role -
用户的 SELinux 角色
类型: 关键字
-
user.selinux.domain -
执行者的 SELinux 域或类型。
类型: 关键字
-
user.selinux.level -
执行者的 SELinux 级别。
类型: 关键字
示例: s0
-
user.selinux.category -
执行者的 SELinux 类别或组件。
类型: 关键字
进程属性。
-
process.cwd -
当前工作目录。
类型: 别名
别名到: process.working_directory
触发事件的源。
-
source.path -
这是与 Unix 套接字关联的路径。
类型: 关键字
触发事件的目标地址。
-
destination.path -
这是与 Unix 套接字关联的路径。
类型: 关键字
-
auditd.message_type -
审计消息类型(例如,syscall 或 apparmor_denied)。
类型: 关键字
示例: syscall
-
auditd.sequence -
内核分配的事件序列号。序列号在内核中存储为 uint32,可以回滚。
类型: long
-
auditd.session -
分配给登录的会话 ID。与登录会话相关的所有事件都将具有相同的值。
类型: 关键字
-
auditd.result -
审计操作的结果(成功/失败)。
类型: 关键字
示例: 成功或失败
执行者是触发审计事件的用户。
-
auditd.summary.actor.primary -
执行者的主要身份。这是执行者的原始登录 ID。即使用户更改为其他帐户,它也不会更改。
类型: 关键字
-
auditd.summary.actor.secondary -
执行者的次要身份。通常与主要身份相同,除非用户使用了
su。类型: 关键字
这是事件中被执行操作的事物或对象。
-
auditd.summary.object.type -
对“事物”的描述(例如,文件、套接字、用户会话)。
类型: 关键字
-
auditd.summary.object.primary -
类型: 关键字
-
auditd.summary.object.secondary -
类型: 关键字
-
auditd.summary.how -
这描述了如何执行该操作。通常这是触发该事件的正在执行的 exe 或命令。
类型: 关键字
与事件关联的路径列表。
-
auditd.paths.inode -
inode 号
类型: 关键字
-
auditd.paths.dev -
在 /dev 中找到的设备名称
类型: 关键字
-
auditd.paths.obj_user -
类型: 关键字
-
auditd.paths.obj_role -
类型: 关键字
-
auditd.paths.obj_domain -
类型: 关键字
-
auditd.paths.obj_level -
类型: 关键字
-
auditd.paths.objtype -
类型: 关键字
-
auditd.paths.ouid -
文件所有者用户 ID
类型: 关键字
-
auditd.paths.rdev -
设备标识符(仅限特殊文件)
类型: 关键字
-
auditd.paths.nametype -
正在引用的文件操作类型
类型: 关键字
-
auditd.paths.ogid -
文件所有者组 ID
类型: 关键字
-
auditd.paths.item -
正在记录哪个项目
类型: 关键字
-
auditd.paths.mode -
文件上的模式标志
类型: 关键字
-
auditd.paths.name -
avcs 中的文件名
类型: 关键字
来自审计消息的数据。
-
auditd.data.action -
netfilter 数据包处理
类型: 关键字
-
auditd.data.minor -
设备次要编号
类型: 关键字
-
auditd.data.acct -
用户的帐户名
类型: 关键字
-
auditd.data.addr -
用户连接的远程地址
类型: 关键字
-
auditd.data.cipher -
所选加密密码的名称
类型: 关键字
-
auditd.data.id -
在帐户更改期间
类型: 关键字
-
auditd.data.entries -
netfilter 表中的条目数
类型: 关键字
-
auditd.data.kind -
加密操作中的服务器或客户端
类型: 关键字
-
auditd.data.ksize -
加密操作的密钥大小
类型: 关键字
-
auditd.data.spid -
已发送的进程 ID
类型: 关键字
-
auditd.data.arch -
elf 架构标志
类型: 关键字
-
auditd.data.argc -
execve 系统调用的参数数量
类型: 关键字
-
auditd.data.major -
设备主要编号
类型: 关键字
-
auditd.data.unit -
systemd 单元
类型: 关键字
-
auditd.data.table -
netfilter 表名称
类型: 关键字
-
auditd.data.terminal -
用户在其上运行程序的终端名称
类型: 关键字
-
auditd.data.grantors -
批准操作的 pam 模块
类型: 关键字
-
auditd.data.direction -
加密操作的方向
类型: 关键字
-
auditd.data.op -
正在执行的审计操作
类型: 关键字
-
auditd.data.tty -
用户在其上运行程序的 tty udevice
类型: 关键字
-
auditd.data.syscall -
事件发生时生效的系统调用编号
类型: 关键字
-
auditd.data.data -
TTY 文本
类型: 关键字
-
auditd.data.family -
netfilter 协议
类型: 关键字
-
auditd.data.mac -
所选的加密 MAC 算法
类型: 关键字
-
auditd.data.pfs -
完全前向保密方法
类型: 关键字
-
auditd.data.items -
事件中的路径记录数
类型: 关键字
-
auditd.data.a0 -
类型: 关键字
-
auditd.data.a1 -
类型: 关键字
-
auditd.data.a2 -
类型: 关键字
-
auditd.data.a3 -
类型: 关键字
-
auditd.data.hostname -
用户连接的主机名
类型: 关键字
-
auditd.data.lport -
本地网络端口
类型: 关键字
-
auditd.data.rport -
远程端口号
类型: 关键字
-
auditd.data.exit -
系统调用退出代码
类型: 关键字
-
auditd.data.fp -
加密密钥指纹
类型: 关键字
-
auditd.data.laddr -
本地网络地址
类型: 关键字
-
auditd.data.sport -
本地端口号
类型: 关键字
-
auditd.data.capability -
posix 功能
类型: 关键字
-
auditd.data.nargs -
套接字调用的参数数量
类型: 关键字
-
auditd.data.new-enabled -
新的 TTY 审计启用设置
类型: 关键字
-
auditd.data.audit_backlog_limit -
审计系统的积压队列大小
类型: 关键字
-
auditd.data.dir -
目录名称
类型: 关键字
-
auditd.data.cap_pe -
进程有效功能映射
类型: 关键字
-
auditd.data.model -
用于 virt 的安全模型
类型: 关键字
-
auditd.data.new_pp -
新的进程允许功能映射
类型: 关键字
-
auditd.data.old-enabled -
当前的 TTY 审计启用设置
类型: 关键字
-
auditd.data.oauid -
对象的登录用户 ID
类型: 关键字
-
auditd.data.old -
旧值
类型: 关键字
-
auditd.data.banners -
在打印页面上使用的横幅
类型: 关键字
-
auditd.data.feature -
正在更改的内核功能
类型: 关键字
-
auditd.data.vm-ctx -
虚拟机的上下文字符串
类型: 关键字
-
auditd.data.opid -
对象的进程 ID
类型: 关键字
-
auditd.data.seperms -
正在使用的 SELinux 权限
类型: 关键字
-
auditd.data.seresult -
授予/拒绝的 SELinux AVC 决策
类型: 关键字
-
auditd.data.new-rng -
从虚拟机添加的 rng 的设备名称
类型: 关键字
-
auditd.data.old-net -
分配给虚拟机的当前 MAC 地址
类型: 关键字
-
auditd.data.sigev_signo -
信号编号
类型: 关键字
-
auditd.data.ino -
inode 号
类型: 关键字
-
auditd.data.old_enforcing -
旧的 MAC 强制状态
类型: 关键字
-
auditd.data.old-vcpu -
当前 CPU 核心数
类型: 关键字
-
auditd.data.range -
用户的 SELinux 范围
类型: 关键字
-
auditd.data.res -
审计操作的结果(成功/失败)
类型: 关键字
-
auditd.data.added -
检测到的新文件数
类型: 关键字
-
auditd.data.fam -
套接字地址族
类型: 关键字
-
auditd.data.nlnk-pid -
netlink 数据包发送者的 pid
类型: 关键字
-
auditd.data.subj -
lspp 主题的上下文字符串
类型: 关键字
-
auditd.data.a[0-3] -
系统调用的参数
类型: 关键字
-
auditd.data.cgroup -
sysfs 中 cgroup 的路径
类型: 关键字
-
auditd.data.kernel -
内核的版本号
类型: 关键字
-
auditd.data.ocomm -
对象的命令行名称
类型: 关键字
-
auditd.data.new-net -
正在分配给虚拟机的 MAC 地址
类型: 关键字
-
auditd.data.permissive -
SELinux 处于宽松模式
类型: 关键字
-
auditd.data.class -
分配给虚拟机的资源类
类型: 关键字
-
auditd.data.compat -
is_compat_task 结果
类型: 关键字
-
auditd.data.fi -
文件分配的继承功能映射
类型: 关键字
-
auditd.data.changed -
已更改的文件数
类型: 关键字
-
auditd.data.msg -
审计记录的有效负载
类型: 关键字
-
auditd.data.dport -
远程端口号
类型: 关键字
-
auditd.data.new-seuser -
新的 SELinux 用户
类型: 关键字
-
auditd.data.invalid_context -
SELinux 上下文
类型: 关键字
-
auditd.data.dmac -
远程 MAC 地址
类型: 关键字
-
auditd.data.ipx-net -
IPX 网络号
类型: 关键字
-
auditd.data.iuid -
ipc 对象的用户 ID
类型: 关键字
-
auditd.data.macproto -
以太网数据包类型 ID 字段
类型: 关键字
-
auditd.data.obj -
lspp 对象上下文字符串
类型: 关键字
-
auditd.data.ipid -
IP 数据报片段标识符
类型: 关键字
-
auditd.data.new-fs -
正在添加到虚拟机的文件系统
类型: 关键字
-
auditd.data.vm-pid -
虚拟机的进程 ID
类型: 关键字
-
auditd.data.cap_pi -
进程继承功能映射
类型: 关键字
-
auditd.data.old-auid -
之前的 auid 值
类型: 关键字
-
auditd.data.oses -
对象的会话 ID
类型: 关键字
-
auditd.data.fd -
文件描述符编号
类型: 关键字
-
auditd.data.igid -
ipc 对象的组 ID
类型: 关键字
-
auditd.data.new-disk -
正在添加到虚拟机的磁盘
类型: 关键字
-
auditd.data.parent -
父文件的 inode 号
类型: 关键字
-
auditd.data.len -
长度
类型: 关键字
-
auditd.data.oflag -
打开系统调用标志
类型: 关键字
-
auditd.data.uuid -
一个 UUID
类型: 关键字
-
auditd.data.code -
seccomp 操作代码
类型: 关键字
-
auditd.data.nlnk-grp -
netlink 组号
类型: 关键字
-
auditd.data.cap_fp -
文件允许功能映射
类型: 关键字
-
auditd.data.new-mem -
新的内存量(以 KB 为单位)
类型: 关键字
-
auditd.data.seperm -
正在决定的 SELinux 权限
类型: 关键字
-
auditd.data.enforcing -
新的 MAC 强制状态
类型: 关键字
-
auditd.data.new-chardev -
正在分配给虚拟机的新字符设备
类型: 关键字
-
auditd.data.old-rng -
从虚拟机删除的 rng 的设备名称
类型: 关键字
-
auditd.data.outif -
输出接口编号
类型: 关键字
-
auditd.data.cmd -
正在执行的命令
类型: 关键字
-
auditd.data.hook -
数据包来自的 netfilter 钩子
类型: 关键字
-
auditd.data.new-level -
新的运行级别
类型: 关键字
-
auditd.data.sauid -
已发送的登录用户 ID
类型: 关键字
-
auditd.data.sig -
信号编号
类型: 关键字
-
auditd.data.audit_backlog_wait_time -
审计系统的积压等待时间
类型: 关键字
-
auditd.data.printer -
打印机名称
类型: 关键字
-
auditd.data.old-mem -
当前内存大小,单位为 KB
类型: 关键字
-
auditd.data.perm -
正在使用的文件权限
类型: 关键字
-
auditd.data.old_pi -
旧进程继承的能力映射
类型: 关键字
-
auditd.data.state -
审计守护进程配置的结果状态
类型: 关键字
-
auditd.data.format -
审计日志的格式
类型: 关键字
-
auditd.data.new_gid -
正在分配的新组 ID
类型: 关键字
-
auditd.data.tcontext -
目标的或对象的上下文字符串
类型: 关键字
-
auditd.data.maj -
设备主要编号
类型: 关键字
-
auditd.data.watch -
监视记录中的文件名
类型: 关键字
-
auditd.data.device -
设备名称
类型: 关键字
-
auditd.data.grp -
组名称
类型: 关键字
-
auditd.data.bool -
SELinux 布尔值的名称
类型: 关键字
-
auditd.data.icmp_type -
icmp 消息的类型
类型: 关键字
-
auditd.data.new_lock -
功能锁的新值
类型: 关键字
-
auditd.data.old_prom -
网络混杂模式标志
类型: 关键字
-
auditd.data.acl -
分配给虚拟机的资源访问模式
类型: 关键字
-
auditd.data.ip -
打印机的网络地址
类型: 关键字
-
auditd.data.new_pi -
新进程继承的能力映射
类型: 关键字
-
auditd.data.default-context -
默认 MAC 上下文
类型: 关键字
-
auditd.data.inode_gid -
inode 所有者的组 ID
类型: 关键字
-
auditd.data.new-log_passwd -
TTY 密码日志记录的新值
类型: 关键字
-
auditd.data.new_pe -
新进程的有效能力映射
类型: 关键字
-
auditd.data.selected-context -
分配给会话的新 MAC 上下文
类型: 关键字
-
auditd.data.cap_fver -
文件系统能力版本号
类型: 关键字
-
auditd.data.file -
文件名
类型: 关键字
-
auditd.data.net -
网络 MAC 地址
类型: 关键字
-
auditd.data.virt -
引用的虚拟化类型
类型: 关键字
-
auditd.data.cap_pp -
进程允许的能力映射
类型: 关键字
-
auditd.data.old-range -
当前的 SELinux 范围
类型: 关键字
-
auditd.data.resrc -
正在分配的资源
类型: 关键字
-
auditd.data.new-range -
新的 SELinux 范围
类型: 关键字
-
auditd.data.obj_gid -
对象的组 ID
类型: 关键字
-
auditd.data.proto -
网络协议
类型: 关键字
-
auditd.data.old-disk -
正在从虚拟机中删除的磁盘
类型: 关键字
-
auditd.data.audit_failure -
审计系统的失败模式
类型: 关键字
-
auditd.data.inif -
输入接口编号
类型: 关键字
-
auditd.data.vm -
虚拟机名称
类型: 关键字
-
auditd.data.flags -
mmap 系统调用标志
类型: 关键字
-
auditd.data.nlnk-fam -
netlink 协议号
类型: 关键字
-
auditd.data.old-fs -
正在从虚拟机中删除的文件系统
类型: 关键字
-
auditd.data.old-ses -
先前的 ses 值
类型: 关键字
-
auditd.data.seqno -
序列号
类型: 关键字
-
auditd.data.fver -
文件系统能力版本号
类型: 关键字
-
auditd.data.qbytes -
ipc 对象字节数
类型: 关键字
-
auditd.data.seuser -
用户的 SE Linux 用户帐户
类型: 关键字
-
auditd.data.cap_fe -
文件分配的有效能力映射
类型: 关键字
-
auditd.data.new-vcpu -
新 CPU 核心数
类型: 关键字
-
auditd.data.old-level -
旧的运行级别
类型: 关键字
-
auditd.data.old_pp -
旧进程允许的能力映射
类型: 关键字
-
auditd.data.daddr -
远程 IP 地址
类型: 关键字
-
auditd.data.old-role -
当前的 SELinux 角色
类型: 关键字
-
auditd.data.ioctlcmd -
ioctl 系统调用的请求参数
类型: 关键字
-
auditd.data.smac -
本地 MAC 地址
类型: 关键字
-
auditd.data.apparmor -
apparmor 事件信息
类型: 关键字
-
auditd.data.fe -
文件分配的有效能力映射
类型: 关键字
-
auditd.data.perm_mask -
触发监视事件的文件权限掩码
类型: 关键字
-
auditd.data.ses -
登录会话 ID
类型: 关键字
-
auditd.data.cap_fi -
文件继承的能力映射
类型: 关键字
-
auditd.data.obj_uid -
对象的用户 ID
类型: 关键字
-
auditd.data.reason -
表示操作原因的文本字符串
类型: 关键字
-
auditd.data.list -
审计系统的过滤器列表编号
类型: 关键字
-
auditd.data.old_lock -
功能锁的当前值
类型: 关键字
-
auditd.data.bus -
虚拟机资源所属的子系统总线名称
类型: 关键字
-
auditd.data.old_pe -
旧进程的有效能力映射
类型: 关键字
-
auditd.data.new-role -
新的 SELinux 角色
类型: 关键字
-
auditd.data.prom -
网络混杂模式标志
类型: 关键字
-
auditd.data.uri -
指向打印机的 URI
类型: 关键字
-
auditd.data.audit_enabled -
审计系统的启用/禁用状态
类型: 关键字
-
auditd.data.old-log_passwd -
TTY 密码日志记录的当前值
类型: 关键字
-
auditd.data.old-seuser -
当前的 SELinux 用户
类型: 关键字
-
auditd.data.per -
Linux 个性
类型: 关键字
-
auditd.data.scontext -
主体的上下文字符串
类型: 关键字
-
auditd.data.tclass -
目标的对象分类
类型: 关键字
-
auditd.data.ver -
审计守护进程的版本号
类型: 关键字
-
auditd.data.new -
在功能中设置的值
类型: 关键字
-
auditd.data.val -
与操作关联的通用值
类型: 关键字
-
auditd.data.img-ctx -
虚拟机的磁盘映像上下文字符串
类型: 关键字
-
auditd.data.old-chardev -
分配给虚拟机的当前字符设备
类型: 关键字
-
auditd.data.old_val -
SELinux 布尔值的当前值
类型: 关键字
-
auditd.data.success -
系统调用是否成功
类型: 关键字
-
auditd.data.inode_uid -
inode 所有者的用户 ID
类型: 关键字
-
auditd.data.removed -
已删除文件的数量
类型: 关键字
-
auditd.data.socket.port -
端口号。
类型: 关键字
-
auditd.data.socket.saddr -
原始套接字地址结构。
类型: 关键字
-
auditd.data.socket.addr -
远程地址。
类型: 关键字
-
auditd.data.socket.family -
套接字族(unix、ipv4、ipv6、netlink)。
类型: 关键字
示例:unix
-
auditd.data.socket.path -
这是与 Unix 套接字关联的路径。
类型: 关键字
-
auditd.messages -
从内核接收并用于构造此文档的原始消息的有序列表。 如果处理数据时发生错误,或者在配置中设置了
include_raw_message,则会显示此字段。类型: 别名
别名为:event.original
-
auditd.warnings -
Beat 在构建事件期间生成的警告。 默认情况下禁用这些警告,仅用于开发和调试目的。
类型: 别名
别名为:error.message
geoip 字段被定义为方便起见,以防您决定在 Logstash 中使用 geoip 过滤器或 Elasticsearch geoip 提取处理器来丰富数据。
-
geoip.continent_name -
大洲的名称。
类型: 关键字
-
geoip.city_name -
城市的名称。
类型: 关键字
-
geoip.region_name -
区域的名称。
类型: 关键字
-
geoip.country_iso_code -
国家 ISO 代码。
类型: 关键字
-
geoip.location -
经度和纬度。
类型:geo_point