包含所有事件类型中可用的通用字段。
文件属性。
-
file.setuid -
如果文件设置了
setuid位,则设置。否则省略。type: boolean
example: True
-
file.setgid -
如果文件设置了
setgid位,则设置。否则省略。type: boolean
example: True
-
file.origin -
一个字符串数组,描述此文件可能的外部来源。例如,它从中下载的 URL。仅在 macOS 中支持,通过 kMDItemWhereFroms 属性。如果来源信息不可用,则省略。
type: keyword
-
file.origin.text -
这是一个分析过的字段,可用于对来源数据进行全文搜索。
type: text
文件的 SELinux 身份。
-
file.selinux.user -
对象的所有者。
type: keyword
-
file.selinux.role -
对象的 SELinux 角色。
type: keyword
-
file.selinux.domain -
对象的 SELinux 域或类型。
type: keyword
-
file.selinux.level -
对象的 SELinux 级别。
type: keyword
example: s0
用户信息。
审计用户信息。
-
user.audit.id -
审计用户 ID。
type: keyword
-
user.audit.name -
审计用户名。
type: keyword
文件系统用户信息。
-
user.filesystem.id -
文件系统用户 ID。
type: keyword
-
user.filesystem.name -
文件系统用户名。
type: keyword
文件系统组信息。
-
user.filesystem.group.id -
文件系统组 ID。
type: keyword
-
user.filesystem.group.name -
文件系统组名称。
type: keyword
保存的用户信息。
-
user.saved.id -
保存的用户 ID。
type: keyword
-
user.saved.name -
保存的用户名。
type: keyword
保存的组信息。
-
user.saved.group.id -
保存的组 ID。
type: keyword
-
user.saved.group.name -
保存的组名称。
type: keyword