包含所有事件类型中可用的通用字段。
文件
文件属性。
-
file.setuid -
如果文件设置了
setuid位,则设置。否则省略。类型:布尔值
示例:True
-
file.setgid -
如果文件设置了
setgid位,则设置。否则省略。类型:布尔值
示例:True
-
file.origin -
一个字符串数组,描述此文件的可能外部来源。例如,下载它的 URL。仅在 macOS 中通过 kMDItemWhereFroms 属性支持。如果来源信息不可用,则省略。
类型:关键字
-
file.origin.text -
这是一个分析字段,对来源数据的全文搜索很有用。
类型:文本
selinux
文件的 SELinux 标识。
-
file.selinux.user -
对象的所有者。
类型:关键字
-
file.selinux.role -
对象的 SELinux 角色。
类型:关键字
-
file.selinux.domain -
对象的 SELinux 域或类型。
类型:关键字
-
file.selinux.level -
对象的 SELinux 级别。
类型:关键字
示例:s0
用户
用户信息。
audit
审计用户信息。
-
user.audit.id -
审计用户 ID。
类型:关键字
-
user.audit.name -
审计用户名。
类型:关键字
filesystem
文件系统用户信息。
-
user.filesystem.id -
文件系统用户 ID。
类型:关键字
-
user.filesystem.name -
文件系统用户名。
类型:关键字
group
文件系统组信息。
-
user.filesystem.group.id -
文件系统组 ID。
类型:关键字
-
user.filesystem.group.name -
文件系统组名。
类型:关键字
saved
已保存用户信息。
-
user.saved.id -
已保存用户 ID。
类型:关键字
-
user.saved.name -
已保存用户名。
类型:关键字
group
已保存组信息。
-
user.saved.group.id -
已保存组 ID。
类型:关键字
-
user.saved.group.name -
已保存组名。
类型:关键字