› ›

ECS 字段

本节定义了 Elastic 通用模式 (ECS) 字段，这是一组用于在 Elasticsearch 中存储事件数据的通用字段。

这是一个详尽的列表，此处列出的字段不一定会被 Auditbeat 使用。ECS 的目标是启用和鼓励 Elasticsearch 用户规范化他们的事件数据，以便他们能够更好地分析、可视化和关联事件中表示的数据。

有关更多信息，请参阅ECS 参考。

@timestamp

事件发生的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次收到事件的时间填充。所有事件的必填字段。

类型：日期

示例：2016-05-23T08:05:34.853Z

必需：True

标签

自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例：docker 和 k8s 标签。

类型：对象

示例：{"application": "foo-bar", "env": "production"}

消息

对于日志事件，消息字段包含日志消息，已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志，可以连接其他字段以形成事件的人工可读摘要。如果存在多条消息，则可以将它们合并为一条消息。

类型：仅匹配文本

示例：Hello World

标签

用于标记每个事件的关键字列表。

类型：关键字

示例：["production", "env2"]

代理

代理字段包含有关软件实体（如果有）的数据，该软件实体在主机上收集、检测或观察事件，或在主机上进行测量。示例包括 Beats。代理也可以在观察者上运行。ECS agent.* 字段应填充在发生事件或进行测量的事件主机或观察者上运行的代理的详细信息。

agent.build.original

代理的扩展构建信息。此字段旨在包含数据源可能提供的任何构建信息，不需要特定的格式。

类型：关键字

示例：metricbeat version 7.6.0 (amd64), libbeat 7.6.0 [6a23e8f8f30f5001ba344e4e54d8d9cb82cb107c built 2020-02-05 23:10:10 +0000 UTC]

agent.ephemeral_id

此代理的临时标识符（如果存在）。此 ID 通常在重新启动后发生更改，但 agent.id 不会。

类型：关键字

示例：8a4f500f

agent.id

此代理的唯一标识符（如果存在）。示例：对于 Beats，这将是 beat.id。

类型：关键字

示例：8a4f500d

agent.name

代理的自定义名称。这是可以赋予代理的名称。例如，如果在同一台主机上运行两个 Filebeat 实例，但需要对来自哪个 Filebeat 实例的数据进行人工可读的分离，这将很有帮助。如果没有给出名称，则名称通常为空。

类型：关键字

示例：foo

agent.type

代理的类型。代理类型始终保持不变，并且应由使用的代理给出。在 Filebeat 的情况下，即使在同一台机器上运行两个 Filebeat 实例，代理也始终是 Filebeat。

类型：关键字

示例：filebeat

agent.version

代理的版本。

类型：关键字

示例：6.0.0-rc2

自治系统

自治系统 (AS) 是在代表单个管理实体或域的一个或多个网络运营商的控制下，向互联网呈现共同、明确定义的路由策略的一组连接的互联网协议 (IP) 路由前缀。

as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：长整型

示例：15169

as.organization.name

组织名称。

类型：关键字

示例：Google LLC

as.organization.name.text

类型：仅匹配文本

客户端

客户端定义为网络连接的发起者，用于有关会话、连接或双向流记录的事件。对于 TCP 事件，客户端是发送 SYN 数据包的 TCP 连接的发起者。对于其他协议，客户端通常是网络事务中的发起者或请求者。某些系统使用术语“发起者”来指代 TCP 连接中的客户端。客户端字段描述有关在网络事件中充当客户端的系统的详细信息。客户端字段通常与服务器字段一起填充。对于数据包级事件，通常不填充客户端字段。客户端/服务器表示可以为交换添加语义上下文，这有助于在某些情况下可视化数据。如果您的上下文属于该类别，您仍然应该确保源和目标都被适当地填充。

client.address

某些事件客户端地址的定义不明确。该事件有时会列出一个 IP、一个域名或一个 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后，应该将其复制到 .ip 或 .domain，具体取决于它是哪一个。

类型：关键字

client.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：长整型

示例：15169

client.as.organization.name

组织名称。

类型：关键字

示例：Google LLC

client.as.organization.name.text

类型：仅匹配文本

client.bytes

从客户端发送到服务器的字节数。

类型：长整型

示例：184

格式：字节

client.domain

客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可以来自原始事件，也可以从富集中添加。

类型：关键字

示例：foo.example.com

client.geo.city_name

城市名称。

类型：关键字

示例：蒙特利尔

client.geo.continent_code

表示洲名的两位字母代码。

类型：关键字

示例：NA

client.geo.continent_name

洲名。

类型：关键字

示例：北美洲

client.geo.country_iso_code

国家/地区 ISO 代码。

类型：关键字

示例：CA

client.geo.country_name

国家/地区名称。

类型：关键字

示例：加拿大

client.geo.location

经度和纬度。

类型：地理坐标

示例：{ "lon": -73.614830, "lat": 45.505918 }

client.geo.name

用户定义的位置描述，以他们关心的粒度级别。可能是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动地理定位。

类型：关键字

示例：boston-dc

client.geo.postal_code

与该位置关联的邮政编码。适合此字段的值也称为邮政编码或邮编，并且因国家/地区而异。

类型：关键字

示例：94040

client.geo.region_iso_code

地区 ISO 代码。

类型：关键字

示例：CA-QC

client.geo.region_name

地区名称。

类型：关键字

示例：魁北克

client.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

client.ip

客户端的 IP 地址（IPv4 或 IPv6）。

类型：IP

client.mac

客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节之间用连字符分隔。

类型：关键字

示例：00-00-5E-00-53-23

client.nat.ip

基于源 NAT 会话的转换后的 IP（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

类型：IP

client.nat.port

基于源 NAT 会话的转换后的端口（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

类型：长整型

格式：字符串

client.packets

从客户端发送到服务器的数据包数。

类型：长整型

示例：12

client.port

客户端的端口。

类型：长整型

格式：字符串

client.registered_domain

去除子域的最高注册客户端域。例如，“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确地确定此值。尝试通过简单地获取最后两个标签来近似此值对于“co.uk”之类的顶级域将无法很好地工作。

类型：关键字

示例：example.com

client.subdomain

完全限定域名中的子域部分包括注册域下的主机名以外的所有名称。在部分限定的域名中，或者如果无法确定全名的限定级别，则 subdomain 包含注册域下的所有名称。例如，“www.east.mydomain.co.uk”的子域部分是“east”。如果该域有多个级别的子域，例如“sub2.sub1.example.com”，则 subdomain 字段应包含“sub2.sub1”，不带尾随句点。

类型：关键字

示例：east

client.top_level_domain

有效顶级域 (eTLD) 也称为域后缀，是域名的最后一部分。例如，example.com 的顶级域是“com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确地确定此值。尝试通过简单地获取最后一个标签来近似此值对于“co.uk”之类的有效顶级域将无法很好地工作。

类型：关键字

示例：co.uk

client.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

client.user.email

用户电子邮件地址。

类型：关键字

client.user.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

client.user.full_name.text

类型：仅匹配文本

client.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

client.user.group.id

系统/平台上组的唯一标识符。

类型：关键字

client.user.group.name

组的名称。

类型：关键字

client.user.hash

用于以匿名形式关联用户信息的唯一用户哈希值。如果 user.id 或 user.name 包含机密信息且无法使用，则此字段很有用。

类型：关键字

client.user.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

client.user.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

client.user.name.text

类型：仅匹配文本

client.user.roles

事件发生时的用户角色数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

云

与事件来自的云或基础设施相关的字段。

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：关键字

示例：666777888999

cloud.account.name

用于在多租户环境中标识不同实体的云帐户名称或别名。示例：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：关键字

示例：elastic-dev

cloud.availability_zone

此主机、资源或服务所在的可用区。

类型：关键字

示例：us-east-1c

cloud.instance.id

主机实例 ID。

类型：关键字

示例：i-1234567890abcdef0

cloud.instance.name

主机实例名称。

类型：关键字

cloud.machine.type

主机实例的机器类型。

类型：关键字

示例：t2.medium

cloud.origin.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：关键字

示例：666777888999

cloud.origin.account.name

用于在多租户环境中标识不同实体的云帐户名称或别名。示例：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：关键字

示例：elastic-dev

cloud.origin.availability_zone

此主机、资源或服务所在的可用区。

类型：关键字

示例：us-east-1c

cloud.origin.instance.id

主机实例 ID。

类型：关键字

示例：i-1234567890abcdef0

cloud.origin.instance.name

主机实例名称。

类型：关键字

cloud.origin.machine.type

主机实例的机器类型。

类型：关键字

示例：t2.medium

cloud.origin.project.id

云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

类型：关键字

示例：my-project

cloud.origin.project.name

云项目名称。示例：Google Cloud 项目名称、Azure 项目名称。

类型：关键字

示例：我的项目

cloud.origin.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型：关键字

示例：aws

cloud.origin.region

此主机、资源或服务所在的区域。

类型：关键字

示例：us-east-1

cloud.origin.service.name

云服务名称旨在区分在提供商内的不同平台上运行的服务，例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。示例：app engine, app service, cloud run, fargate, lambda。

类型：关键字

示例：lambda

cloud.project.id

云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

类型：关键字

示例：my-project

cloud.project.name

云项目名称。示例：Google Cloud 项目名称、Azure 项目名称。

类型：关键字

示例：我的项目

cloud.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型：关键字

示例：aws

cloud.region

此主机、资源或服务所在的区域。

类型：关键字

示例：us-east-1

cloud.service.name

类型：关键字

示例：lambda

cloud.target.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：关键字

示例：666777888999

cloud.target.account.name

用于在多租户环境中标识不同实体的云帐户名称或别名。示例：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：关键字

示例：elastic-dev

cloud.target.availability_zone

此主机、资源或服务所在的可用区。

类型：关键字

示例：us-east-1c

cloud.target.instance.id

主机实例 ID。

类型：关键字

示例：i-1234567890abcdef0

cloud.target.instance.name

主机实例名称。

类型：关键字

cloud.target.machine.type

主机实例的机器类型。

类型：关键字

示例：t2.medium

cloud.target.project.id

云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

类型：关键字

示例：my-project

cloud.target.project.name

云项目名称。示例：Google Cloud 项目名称、Azure 项目名称。

类型：关键字

示例：我的项目

cloud.target.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型：关键字

示例：aws

cloud.target.region

此主机、资源或服务所在的区域。

类型：关键字

示例：us-east-1

cloud.target.service.name

类型：关键字

示例：lambda

code_signature

这些字段包含有关二进制代码签名的信息。

code_signature.digest_algorithm

用于签署进程的哈希算法。当同一个签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型：关键字

示例：sha256

code_signature.exists

布尔值，用于捕获签名是否存在。

类型：boolean

示例：true

code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

code_signature.team_id

用于签署进程的团队标识符。这用于识别软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

code_signature.timestamp

生成和签署代码签名的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，并且此字段应仅由主动检查状态的工具填充。

类型：boolean

示例：true

code_signature.valid

布尔值，用于捕获数字签名是否针对二进制内容进行了验证。如果未检查证书，请留空。

类型：boolean

示例：true

container

容器字段用于存储有关作为信息源的特定容器的元信息。这些字段有助于关联来自任何运行时的基于容器的数据。

container.cpu.usage

CPU 使用率百分比，通过 CPU 内核数量进行标准化，范围从 0 到 1。比例因子：1000。

类型：scaled_float

container.disk.read.bytes

自上次指标收集以来成功读取的总字节数（指标）（从所有磁盘聚合）。

类型：长整型

container.disk.write.bytes

自上次指标收集以来成功写入的总字节数（指标）（从所有磁盘聚合）。

类型：长整型

container.id

唯一的容器 ID。

类型：关键字

container.image.name

构建容器所基于的镜像的名称。

类型：关键字

container.image.tag

容器镜像标签。

类型：关键字

container.labels

镜像标签。

类型：对象

container.memory.usage

内存使用率百分比，范围从 0 到 1。比例因子：1000。

类型：scaled_float

container.name

容器名称。

类型：关键字

container.network.egress.bytes

自上次指标收集以来，容器在所有网络接口上发送的字节数（指标）。

类型：长整型

container.network.ingress.bytes

自上次指标收集以来，容器在所有网络接口上接收的字节数（指标）。

类型：长整型

container.runtime

管理此容器的运行时。

类型：关键字

示例：docker

data_stream

data_stream 字段参与定义新的数据流命名方案。在新的数据流命名方案中，数据流字段的值按以下方式组合成实际数据流的名称：{data_stream.type}-{data_stream.dataset}-{data_stream.namespace}。这意味着这些字段只能包含对数据流名称有效的字符。有关此内容的更多详细信息，请参阅此博客文章。Elasticsearch 数据流由一个或多个后备索引组成，数据流名称构成后备索引名称的一部分。由于此约定，数据流还必须遵循索引命名限制。例如，数据流名称不能包含 \、/、*、?、"、<、>、|、 ` `（空格字符）、, 或 #。有关其他限制，请参阅 Elasticsearch 参考。

data_stream.dataset

该字段可以包含任何对表示数据来源有意义的内容。示例包括 nginx.access、prometheus、endpoint 等。对于其他方面符合条件但未设置数据集的数据流，我们对数据集值使用值“generic”。event.dataset 应与 data_stream.dataset 具有相同的值。除了上面提到的 Elasticsearch 数据流命名标准之外，dataset 值还有其他限制：* 不能包含 - * 不超过 100 个字符

类型：constant_keyword

示例：nginx.access

data_stream.namespace

用户定义的命名空间。命名空间对于允许对数据进行分组非常有用。许多用户已经以这种方式组织他们的索引，数据流命名方案现在默认提供这种最佳实践。许多用户将使用 default 填充此字段。如果未使用任何值，则回退到 default。除了上面提到的 Elasticsearch 索引命名标准之外，namespace 值还有其他限制：* 不能包含 - * 不超过 100 个字符

类型：constant_keyword

示例：production

data_stream.type

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。

类型：constant_keyword

示例：logs

destination

目标字段捕获有关网络交换/数据包接收者的详细信息。这些字段由网络事件、数据包或包含网络事务详细信息的其他事件填充。目标字段通常与源字段一起填充。源和目标字段被视为基线，如果事件包含来自网络事务的源和目标详细信息，则应始终填充这些字段。如果事件还包含客户端和服务器角色的标识，则还应填充客户端和服务器字段。

destination.address

某些事件目标地址的定义不明确。该事件有时会列出一个 IP、一个域或一个 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后，应根据其类型将其复制到 .ip 或 .domain。

类型：关键字

destination.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：长整型

示例：15169

destination.as.organization.name

组织名称。

类型：关键字

示例：Google LLC

destination.as.organization.name.text

类型：仅匹配文本

destination.bytes

从目标发送到源的字节数。

类型：长整型

示例：184

格式：字节

destination.domain

目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可以来自原始事件，也可以从充实中添加。

类型：关键字

示例：foo.example.com

destination.geo.city_name

城市名称。

类型：关键字

示例：蒙特利尔

destination.geo.continent_code

表示洲名的两位字母代码。

类型：关键字

示例：NA

destination.geo.continent_name

洲名。

类型：关键字

示例：北美洲

destination.geo.country_iso_code

国家/地区 ISO 代码。

类型：关键字

示例：CA

destination.geo.country_name

国家/地区名称。

类型：关键字

示例：加拿大

destination.geo.location

经度和纬度。

类型：地理坐标

示例：{ "lon": -73.614830, "lat": 45.505918 }

destination.geo.name

类型：关键字

示例：boston-dc

destination.geo.postal_code

与该位置关联的邮政编码。适合此字段的值也称为邮政编码或邮编，并且因国家/地区而异。

类型：关键字

示例：94040

destination.geo.region_iso_code

地区 ISO 代码。

类型：关键字

示例：CA-QC

destination.geo.region_name

地区名称。

类型：关键字

示例：魁北克

destination.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

destination.ip

目标的 IP 地址（IPv4 或 IPv6）。

类型：IP

destination.mac

目标的 MAC 地址。建议使用 RFC 7042 中的符号格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节之间用连字符分隔。

类型：关键字

示例：00-00-5E-00-53-23

destination.nat.ip

基于 NAT 会话的转换后的目标 IP（例如，互联网到私有 DMZ）通常与负载均衡器、防火墙或路由器一起使用。

类型：IP

destination.nat.port

源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。

类型：长整型

格式：字符串

destination.packets

从目标发送到源的数据包。

类型：长整型

示例：12

destination.port

目标端口。

类型：长整型

格式：字符串

destination.registered_domain

已注册的最高目标域，去除了子域。例如，“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。尝试通过简单地获取最后两个标签来近似此值对于“co.uk”之类的 TLD 将不起作用。

类型：关键字

示例：example.com

destination.subdomain

类型：关键字

示例：east

destination.top_level_domain

类型：关键字

示例：co.uk

destination.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

destination.user.email

用户电子邮件地址。

类型：关键字

destination.user.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

destination.user.full_name.text

类型：仅匹配文本

destination.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

destination.user.group.id

系统/平台上组的唯一标识符。

类型：关键字

destination.user.group.name

组的名称。

类型：关键字

destination.user.hash

用于以匿名形式关联用户信息的唯一用户哈希值。如果 user.id 或 user.name 包含机密信息且无法使用，则此字段很有用。

类型：关键字

destination.user.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

destination.user.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

destination.user.name.text

类型：仅匹配文本

destination.user.roles

事件发生时的用户角色数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

dll

这些字段包含有关动态加载到进程中的代码库的信息。

许多操作系统使用不同的名称来指代“共享代码库”，但此字段集指的是以下所有内容：* 动态链接库 (.dll) 通常在 Windows 上使用 * 共享对象 (.so) 通常在类 Unix 操作系统上使用 * 动态库 (.dylib) 通常在 macOS 上使用

dll.code_signature.digest_algorithm

用于签署进程的哈希算法。当同一个签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型：关键字

示例：sha256

dll.code_signature.exists

布尔值，用于捕获签名是否存在。

类型：boolean

示例：true

dll.code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

dll.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

dll.code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

dll.code_signature.team_id

用于签署进程的团队标识符。这用于识别软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

dll.code_signature.timestamp

生成和签署代码签名的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

dll.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，并且此字段应仅由主动检查状态的工具填充。

类型：boolean

示例：true

dll.code_signature.valid

布尔值，用于捕获数字签名是否针对二进制内容进行了验证。如果未检查证书，请留空。

类型：boolean

示例：true

dll.hash.md5

MD5 哈希值。

类型：关键字

dll.hash.sha1

SHA1 哈希值。

类型：关键字

dll.hash.sha256

SHA256 哈希值。

类型：关键字

dll.hash.sha512

SHA512 哈希值。

类型：关键字

dll.hash.ssdeep

SSDEEP 哈希值。

类型：关键字

dll.name

库的名称。这通常映射到磁盘上的文件名。

类型：关键字

示例：kernel32.dll

dll.path

库的完整文件路径。

类型：关键字

示例：C:\Windows\System32\kernel32.dll

dll.pe.architecture

文件的 CPU 体系结构目标。

类型：关键字

示例：x64

dll.pe.company

文件的内部公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

dll.pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

dll.pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

dll.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或发生其他代码级转换（这会更改更传统的哈希值）之后，也可以使用 imphash（或导入哈希）对二进制文件进行指纹识别。访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

dll.pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

dll.pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

dns

描述 DNS 查询和答案的字段。DNS 事件应该表示在获得答案之前的单个 DNS 查询（dns.type:query），或者它们应该表示完整的交换并包含查询详细信息以及为此查询提供的所有答案（dns.type:answer）。

dns.answers

包含服务器返回的每个答案部分的对象的数组。这些对象中应该存在的主要键由 ECS 定义。具有更多信息的记录可能包含比 ECS 定义的更多的键。并非所有 DNS 数据源都提供有关 DNS 答案的所有详细信息。至少，答案对象必须包含 data 键。如果更多信息可用，请尽可能多地将其映射到 ECS，并将任何其他字段作为自定义字段添加到答案对象。

类型：对象

dns.answers.class

此资源记录中包含的 DNS 数据的类。

类型：关键字

示例：IN

dns.answers.data

描述资源的数据。此数据的含义取决于资源记录的类型和类。

类型：关键字

示例：10.10.10.10

dns.answers.name

此资源记录所属的域名。如果正在解析 CNAME 链，则每个答案的 name 应该是与其答案的 data 相对应的名称。它不应该只是重复原始的 question.name。

类型：关键字

示例：www.example.com

dns.answers.ttl

在应丢弃此资源记录之前可以缓存它的时间间隔（以秒为单位）。零值表示不应缓存数据。

类型：长整型

示例：180

dns.answers.type

此资源记录中包含的数据类型。

类型：关键字

示例：CNAME

dns.header_flags

2 个字母的 DNS 标头标志数组。预期值为：AA、TC、RD、RA、AD、CD、DO。

类型：关键字

示例：["RD", "RA"]

dns.id

由生成查询的程序分配的 DNS 数据包标识符。标识符将复制到响应中。

类型：关键字

示例：62111

dns.op_code

DNS 操作码，用于指定消息中的查询类型。此值由查询的创建者设置，并复制到响应中。

类型：关键字

示例：QUERY

dns.question.class

正在查询的记录类。

类型：关键字

示例：IN

dns.question.name

正在查询的名称。如果 name 字段包含不可打印字符（低于 32 或高于 126），则这些字符应表示为转义的十进制整数（\DDD）。反斜杠和引号应进行转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

类型：关键字

示例：www.example.com

dns.question.registered_domain

已删除子域的最高注册域。例如，“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。尝试通过简单地获取最后两个标签来近似它对于“co.uk”之类的顶级域将无法很好地工作。

类型：关键字

示例：example.com

dns.question.subdomain

子域是 registered_domain 下的所有标签。如果域有多个级别的子域，例如“sub2.sub1.example.com”，则 subdomain 字段应包含“sub2.sub1”，没有尾随句点。

类型：关键字

示例：www

dns.question.top_level_domain

类型：关键字

示例：co.uk

dns.question.type

正在查询的记录类型。

类型：关键字

示例：AAAA

dns.resolved_ip

包含在 answers.data 中看到的所有 IP 的数组。answers 数组可能难以使用，因为它可以包含各种数据格式。将其中看到的所有 IP 地址提取到 dns.resolved_ip 可以将它们索引为 IP 地址，并使它们更易于可视化和查询。

类型：IP

示例：["10.10.10.10", "10.10.10.11"]

dns.response_code

DNS 响应代码。

类型：关键字

示例：NOERROR

dns.type

捕获的 DNS 事件类型，查询或答案。如果您的 DNS 事件源只为您提供 DNS 查询，则您应该只创建 dns.type:query 类型的 dns 事件。如果您的 DNS 事件源也为您提供答案，则您应该为每个查询创建一个事件（可以选择在看到查询后立即创建）。以及第二个事件，其中包含所有查询详细信息以及答案数组。

类型：关键字

示例：answer

ecs

特定于 ECS 的元信息。

ecs.version

此事件符合的 ECS 版本。ecs.version 是必填字段，并且必须存在于所有事件中。在多个索引中进行查询时（这些索引可能符合略有不同的 ECS 版本），此字段允许集成适应事件的架构版本。

类型：关键字

示例：1.0.0

必需：True

elf

这些字段包含 Linux 可执行链接格式 (ELF) 元数据。

elf.architecture

ELF 文件的机器架构。

类型：关键字

示例：x86-64

elf.byte_order

ELF 文件的字节序列。

类型：关键字

示例：小端序

elf.cpu_type

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

elf.creation_date

尽可能从文件的元数据中提取。指示文件的构建或编译时间。它也可以被恶意软件创建者伪造。

类型：日期

elf.exports

导出元素名称和类型的列表。

类型：扁平化

elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

elf.header.class

ELF 文件的标头类。

类型：关键字

elf.header.data

ELF 标头的data表。

类型：关键字

elf.header.entrypoint

ELF 文件的标头入口点。

类型：长整型

格式：字符串

elf.header.object_version

原始 ELF 文件为“0x1”。

类型：关键字

elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

elf.header.type

ELF 文件的标头类型。

类型：关键字

elf.header.version

ELF 标头的版本。

类型：关键字

elf.imports

导入元素名称和类型的列表。

类型：扁平化

elf.sections

包含 ELF 文件每个部分的对象的数组。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

elf.sections.chi2

该部分的卡方概率分布。

类型：长整型

格式：数字

elf.sections.entropy

该部分的香农熵计算。

类型：长整型

格式：数字

elf.sections.flags

ELF 节列表标志。

类型：关键字

elf.sections.name

ELF 节列表名称。

类型：关键字

elf.sections.physical_offset

ELF 节列表偏移量。

类型：关键字

elf.sections.physical_size

ELF 节列表物理大小。

类型：长整型

格式：字节

elf.sections.type

ELF 节列表类型。

类型：关键字

elf.sections.virtual_address

ELF 节列表虚拟地址。

类型：长整型

格式：字符串

elf.sections.virtual_size

ELF 节列表虚拟大小。

类型：长整型

格式：字符串

elf.segments

包含 ELF 文件每个段的对象的数组。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

elf.segments.sections

ELF 对象段节。

类型：关键字

elf.segments.type

ELF 对象段类型。

类型：关键字

elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：关键字

elf.telfhash

ELF 文件的telfhash符号哈希。

类型：关键字

error

这些字段可以表示任何类型的错误。将它们用于在获取事件时发生的错误，或在事件本身包含错误的情况下使用。

error.code

描述错误的错误代码。

类型：关键字

error.id

错误的唯一标识符。

类型：关键字

error.message

错误信息。

类型：仅匹配文本

error.stack_trace

此错误的堆栈跟踪，以纯文本格式显示。

类型：通配符

error.stack_trace.text

类型：仅匹配文本

error.type

错误的类型，例如异常的类名。

类型：关键字

示例：java.lang.NullPointerException

event

事件字段用于记录或指标事件本身的上下文信息。日志定义为包含已发生事件的详细信息的事件。日志事件必须包括事件发生的时间。日志事件的示例包括主机上启动的进程、从源发送到目标的网络数据包，或客户端和服务器之间启动或关闭的网络连接。指标定义为包含一个或多个数值测量值以及进行测量的时间的事件。指标事件的示例包括主机上测量的内存压力和设备温度。有关指标和状态事件的更多详细信息，请参阅本节中的 event.kind 定义。

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例包括 group-add、process-started、file-created。该值通常由实现者定义。

类型：关键字

示例：user-password-change

event.agent_id_status

代理通常负责填充 agent.id 字段值。如果接收事件的系统能够根据客户端的身份验证信息验证该值，则可以使用此字段来反映该验证的结果。例如，如果代理的连接使用 mTLS 进行身份验证，并且客户端证书包含向其颁发证书的代理的 ID，则可以根据证书检查事件中的 agent.id 值。如果值匹配，则将 event.agent_id_status: verified 添加到事件中，否则应使用其他允许值之一。如果没有执行验证，则应省略该字段。允许的值为：verified - agent.id 字段值与从身份验证元数据获得的预期值匹配。mismatch - agent.id 字段值与从身份验证元数据获得的预期值不匹配。missing - 事件中没有要验证的 agent.id 字段。auth_metadata_missing - 没有身份验证元数据或缺少有关代理 ID 的信息。

类型：关键字

示例：verified

event.category

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第二级。event.category 表示 ECS 类别的“大桶”。例如，过滤 event.category:process 会产生与进程活动相关的所有事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确分类。

类型：关键字

示例：authentication

event.code

此事件的标识码（如果存在）。某些事件源使用事件码来明确标识消息，而不管消息语言或措辞随时间的推移而进行的调整。例如 Windows 事件 ID。

类型：关键字

示例：4648

event.created

event.created 包含代理或你的管道首次读取事件时的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。该差异可用于计算事件源生成事件与你的代理首次处理事件之间的时间延迟。这可用于监控你的代理或管道是否能够跟上事件源的速度。如果两个时间戳相同，则应使用 @timestamp。

类型：日期

示例：2016-05-23T08:05:34.857Z

event.dataset

数据集的名称。如果事件源发布多种类型的日志或事件（例如，访问日志、错误日志），则使用数据集来指定事件来自哪个事件源。建议（但不是必需）以模块名称开头，后跟一个点，然后是数据集名称。

类型：关键字

示例：apache.access

event.duration

事件的持续时间（以纳秒为单位）。如果 event.start 和 event.end 已知，则此值应为结束时间和开始时间之间的差。

类型：长整型

格式：duration

event.end

event.end 包含事件结束或最后一次观察到活动时的日期。

类型：日期

event.hash

原始字段的哈希值（可能是 logstash 指纹），用于证明日志的完整性。

类型：关键字

示例：123456789012345678901234567890ABCD

event.id

用于描述事件的唯一 ID。

类型：关键字

示例：8a4f500d

event.ingested

事件到达中央数据存储的时间戳。这与 @timestamp 不同，后者是事件最初发生的时间。它也不同于 event.created，后者旨在捕获代理第一次看到事件的时间。在正常情况下，假设没有篡改，时间戳在时间顺序上应如下所示：@timestamp < event.created < event.ingested。

类型：日期

示例：2016-05-23T08:05:35.101Z

event.kind

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最高级别。event.kind 提供有关事件包含的信息类型的高级信息，而无需特定于事件的内容。例如，此字段的值可区分警报事件和指标事件。此字段的值可用于说明如何处理这些类型的事件。它们可能需要不同的保留期限、不同的访问控制，也可能有助于了解传入数据是否是定期出现的。

类型：关键字

示例：alert

event.module

此数据来自的模块的名称。如果你的监控代理支持模块或插件的概念来处理给定源的事件（例如，Apache 日志），则 event.module 应包含此模块的名称。

类型：关键字

示例：apache

event.original

整个事件的原始文本消息。用于证明日志的完整性，或者在需要完整的日志消息（将其拆分为多个部分之前），例如用于重新索引。此字段未编入索引，并且已禁用 doc_values。它无法被搜索，但可以从 _source 中检索。如果用户希望覆盖此设置并索引此字段，请参阅 Elasticsearch 参考 中的 字段数据类型。

类型：关键字

字段未编入索引。

event.outcome

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最低级别。event.outcome 只是表示事件从生成事件的实体的角度来看是成功还是失败。请注意，当在多个事件中描述单个事务时，每个事件可能会根据其视角填充不同的 event.outcome 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，应使用最能反映事件生成器视角的总体成功或失败的值填充此字段。还请注意，并非所有事件都会有关联的结果。例如，对于指标事件、event.type:info 事件或结果没有逻辑意义的任何事件，通常不会填充此字段。

类型：关键字

示例：success

event.provider

事件的来源。Syslog 或 Windows 事件日志等事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd），也可以是操作系统子系统的名称（内核、Microsoft-Windows-Security-Auditing）。

类型：关键字

示例：kernel

event.reason

根据来源，发生此事件的原因。这描述了事件中捕获的特定操作或结果的原因。其中 event.action 捕获事件中的操作，而 event.reason 则描述了采取该操作的原因。例如，拒绝请求的 Web 代理（其 event.action 为拒绝请求）也可能会使用拒绝原因填充 event.reason（例如，被阻止的站点）。

类型：关键字

示例：已终止意外进程

event.reference

引用 URL，链接到有关此事件的更多信息。此 URL 链接到此事件的静态定义。警报事件（由 event.kind:alert 指示）是此字段的常见用例。

类型：关键字

示例：https://system.example.com/event/#0001234

event.risk_score

事件的风险评分或优先级（例如，安全解决方案）。在此处使用系统的原始值。

类型：float

event.risk_score_norm

事件的标准化风险评分或优先级，范围为 0 到 100。如果你使用多个分配风险评分的系统，并且希望查看所有系统的标准化值，则这非常有用。

类型：float

event.sequence

事件的序列号。序列号是某些事件源发布的值，用于使事件的确切顺序明确，而不管时间戳精度如何。

类型：长整型

格式：字符串

event.severity

根据你的事件源，事件的数字严重性。不同严重性值的含义可能因来源和用例而异。实现者应确保来自同一来源的事件的严重性保持一致。Syslog 严重性属于 log.syslog.severity.code。event.severity 旨在表示根据事件源（例如，防火墙、IDS）的严重性。如果事件源未发布其自身的严重性，你可以选择将 log.syslog.severity.code 复制到 event.severity。

类型：长整型

示例：7

格式：字符串

event.start

event.start 包含事件开始或第一次观察到活动时的日期。

类型：日期

event.timezone

如果事件的时间戳不包含时区信息（例如，默认的 Syslog 时间戳），则应填充此字段。否则，它是可选的。可接受的时区格式为：规范 ID（例如，“Europe/Amsterdam”）、缩写（例如，“EST”）或 HH:mm 差值（例如，“-05:00”）。

类型：关键字

event.type

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第三级别。event.type 表示一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许对属于多种事件类型的某些事件进行正确分类。

类型：关键字

event.url

链接到外部系统的 URL，用于继续调查此事件。此 URL 链接到另一个系统，可以在该系统中对该事件的具体发生情况进行深入调查。警报事件（由 event.kind:alert 指示）是此字段的常见用例。

类型：关键字

示例：https://mysystem.example.com/alert/5271dedb-f5b0-4218-87f0-4ac4870a38fe

faas

用户字段描述与事件相关的函数即服务的信息。

faas.coldstart

布尔值，指示函数的冷启动。

类型：boolean

faas.execution

当前函数执行的执行 ID。

类型：关键字

示例：af9d5aa4-a685-4c5f-a22b-444f80b3cc28

faas.trigger

有关函数触发器的详细信息。

类型：嵌套

faas.trigger.request_id

触发器请求、消息、事件等的 ID。

类型：关键字

示例：123456789

faas.trigger.type

函数执行的触发器。预期值为：* http * pubsub * datasource * timer * other

类型：关键字

示例：http

file

文件定义为在文件系统上创建或存在的一组信息。文件对象可以与主机事件、网络事件和/或文件事件（例如，由文件完整性监控 [FIM] 产品或服务生成的事件）相关联。文件字段提供有关与事件或指标关联的受影响文件的详细信息。

file.accessed

最后一次访问文件的时间。请注意，并非所有文件系统都跟踪访问时间。

类型：日期

file.attributes

文件属性数组。属性名称因平台而异。以下是此字段中预期值的不完整列表：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型：关键字

示例：["readonly", "system"]

file.code_signature.digest_algorithm

用于签署进程的哈希算法。当同一个签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型：关键字

示例：sha256

file.code_signature.exists

布尔值，用于捕获签名是否存在。

类型：boolean

示例：true

file.code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

file.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

file.code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

file.code_signature.team_id

用于签署进程的团队标识符。这用于识别软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

file.code_signature.timestamp

生成和签署代码签名的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，并且此字段应仅由主动检查状态的工具填充。

类型：boolean

示例：true

file.code_signature.valid

布尔值，用于捕获数字签名是否针对二进制内容进行了验证。如果未检查证书，请留空。

类型：boolean

示例：true

file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型：日期

file.ctime

最后一次更改文件属性或元数据的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将同时进行调整，因为 mtime 是文件的属性。

类型：日期

file.device

作为文件来源的设备。

类型：关键字

示例：sda

file.directory

文件所在的目录。它应该包含驱动器号（如果适用）。

类型：关键字

例如：/home/alice

file.drive_letter

文件所在的驱动器号。此字段仅在 Windows 上相关。该值应为大写，并且不包含冒号。

类型：关键字

例如：C

file.elf.architecture

ELF 文件的机器架构。

类型：关键字

示例：x86-64

file.elf.byte_order

ELF 文件的字节序列。

类型：关键字

示例：小端序

file.elf.cpu_type

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

file.elf.creation_date

尽可能从文件的元数据中提取。指示文件的构建或编译时间。它也可以被恶意软件创建者伪造。

类型：日期

file.elf.exports

导出元素名称和类型的列表。

类型：扁平化

file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

file.elf.header.class

ELF 文件的标头类。

类型：关键字

file.elf.header.data

ELF 标头的data表。

类型：关键字

file.elf.header.entrypoint

ELF 文件的标头入口点。

类型：长整型

格式：字符串

file.elf.header.object_version

原始 ELF 文件为“0x1”。

类型：关键字

file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

file.elf.header.type

ELF 文件的标头类型。

类型：关键字

file.elf.header.version

ELF 标头的版本。

类型：关键字

file.elf.imports

导入元素名称和类型的列表。

类型：扁平化

file.elf.sections

包含 ELF 文件每个部分的对象的数组。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

file.elf.sections.chi2

该部分的卡方概率分布。

类型：长整型

格式：数字

file.elf.sections.entropy

该部分的香农熵计算。

类型：长整型

格式：数字

file.elf.sections.flags

ELF 节列表标志。

类型：关键字

file.elf.sections.name

ELF 节列表名称。

类型：关键字

file.elf.sections.physical_offset

ELF 节列表偏移量。

类型：关键字

file.elf.sections.physical_size

ELF 节列表物理大小。

类型：长整型

格式：字节

file.elf.sections.type

ELF 节列表类型。

类型：关键字

file.elf.sections.virtual_address

ELF 节列表虚拟地址。

类型：长整型

格式：字符串

file.elf.sections.virtual_size

ELF 节列表虚拟大小。

类型：长整型

格式：字符串

file.elf.segments

包含 ELF 文件每个段的对象的数组。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

file.elf.segments.sections

ELF 对象段节。

类型：关键字

file.elf.segments.type

ELF 对象段类型。

类型：关键字

file.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：关键字

file.elf.telfhash

ELF 文件的telfhash符号哈希。

类型：关键字

file.extension

文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名时（例如 example.tar.gz），则应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型：关键字

例如：png

file.fork_name

分支是与文件系统对象关联的附加数据。在 Linux 上，资源分支用于存储文件系统对象的附加数据。文件始终至少有一个用于数据部分的分支，并且可能存在其他分支。在 NTFS 上，这类似于备用数据流 (ADS)，文件的默认数据流称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 通常采用以下形式：C:\path\to\filename.extension:some_fork_name，并且 some_fork_name 是应填充 fork_name 的值。filename.extension 应填充 file.name，而 extension 应填充 file.extension。完整路径 file.path 将包含分支名称。

类型：关键字

例如：Zone.Identifer

file.gid

文件的组 ID (GID)。

类型：关键字

例如：1001

file.group

文件的主要组名。

类型：关键字

例如：alice

file.hash.md5

MD5 哈希值。

类型：关键字

file.hash.sha1

SHA1 哈希值。

类型：关键字

file.hash.sha256

SHA256 哈希值。

类型：关键字

file.hash.sha512

SHA512 哈希值。

类型：关键字

file.hash.ssdeep

SSDEEP 哈希值。

类型：关键字

file.inode

文件系统中表示文件的 inode。

类型：关键字

例如：256383

file.mime_type

MIME 类型应尽可能使用 IANA 官方类型标识文件或字节流的格式。如果适用多种类型，则应使用最具体的类型。

类型：关键字

file.mode

以八进制表示的文件模式。

类型：关键字

例如：0640

file.mtime

上次修改文件内容的时间。

类型：日期

file.name

文件的名称，包括扩展名，但不包括目录。

类型：关键字

例如：example.png

file.owner

文件所有者的用户名。

类型：关键字

例如：alice

file.path

文件的完整路径，包括文件名。它应该包含驱动器号（如果适用）。

类型：关键字

例如：/home/alice/example.png

file.path.text

类型：仅匹配文本

file.pe.architecture

文件的 CPU 体系结构目标。

类型：关键字

示例：x64

file.pe.company

文件的内部公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

file.pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

file.pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

file.pe.imphash

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

file.pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

file.pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

file.size

文件大小（以字节为单位）。仅在 file.type 为“file”时相关。

类型：长整型

例如：16384

file.target_path

符号链接的目标路径。

类型：关键字

file.target_path.text

类型：仅匹配文本

file.type

文件类型（文件、目录或符号链接）。

类型：关键字

例如：file

file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型：关键字

例如：1001

file.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：关键字

例如：*.elastic.co

file.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型：关键字

例如：Example SHA2 High Assurance Server CA

file.x509.issuer.country

国家/地区代码（C）列表

类型：关键字

例如：US

file.x509.issuer.distinguished_name

颁发证书颁发机构的标识名 (DN)。

类型：关键字

例如：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

file.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

例如：Mountain View

file.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

例如：Example Inc

file.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

file.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

file.x509.not_after

证书不再被视为有效的时间。

类型：日期

例如：2020-07-16 03:15:39+00:00

file.x509.not_before

证书首次被视为有效的时间。

类型：日期

例如：2019-08-16 01:40:25+00:00

file.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

例如：RSA

file.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：关键字

例如：nistp521

file.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型：长整型

例如：65537

字段未编入索引。

file.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：长整型

例如：2048

file.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式设置为不带冒号和大写字符。

类型：关键字

例如：55FBB9C7DEBF09809D12CCAA

file.x509.signature_algorithm

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

例如：SHA256-RSA

file.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型：关键字

例如：shared.global.example.net

file.x509.subject.country

国家/地区代码 (C) 列表

类型：关键字

例如：US

file.x509.subject.distinguished_name

证书主题实体的标识名 (DN)。

类型：关键字

例如：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

file.x509.subject.locality

地区名称 (L) 列表

类型：关键字

例如：San Francisco

file.x509.subject.organization

主题的组织 (O) 列表。

类型：关键字

例如：Example, Inc.

file.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型：关键字

file.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

file.x509.version_number

x509 格式的版本。

类型：关键字

例如：3

geo

地理字段可以携带有关与事件相关的特定位置的数据。此地理位置信息可以从 Geo IP 等技术派生，也可以由用户提供。

geo.city_name

城市名称。

类型：关键字

示例：蒙特利尔

geo.continent_code

表示洲名的两位字母代码。

类型：关键字

示例：NA

geo.continent_name

洲名。

类型：关键字

示例：北美洲

geo.country_iso_code

国家/地区 ISO 代码。

类型：关键字

示例：CA

geo.country_name

国家/地区名称。

类型：关键字

示例：加拿大

geo.location

经度和纬度。

类型：地理坐标

示例：{ "lon": -73.614830, "lat": 45.505918 }

geo.name

类型：关键字

示例：boston-dc

geo.postal_code

与该位置关联的邮政编码。适合此字段的值也称为邮政编码或邮编，并且因国家/地区而异。

类型：关键字

示例：94040

geo.region_iso_code

地区 ISO 代码。

类型：关键字

示例：CA-QC

geo.region_name

地区名称。

类型：关键字

示例：魁北克

geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

group

组字段旨在表示与事件相关的组。

group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

group.id

系统/平台上组的唯一标识符。

类型：关键字

group.name

组的名称。

类型：关键字

hash

哈希字段表示不同的按位哈希算法及其值。常见哈希的字段名称（例如 MD5、SHA1）是预定义的。通过将哈希算法名称转换为小写并根据需要使用下划线分隔符（蛇形命名法，例如 sha3_512）来添加其他哈希的字段。请注意，此字段集用于可能在一系列通用字节上计算的常见哈希。特定于实体的哈希（例如 ja3 或 imphash）放置在与其相关的字段集中（分别为 tls 和 pe）。

hash.md5

MD5 哈希值。

类型：关键字

hash.sha1

SHA1 哈希值。

类型：关键字

hash.sha256

SHA256 哈希值。

类型：关键字

hash.sha512

SHA512 哈希值。

类型：关键字

hash.ssdeep

SSDEEP 哈希值。

类型：关键字

host

主机定义为通用计算实例。ECS host.* 字段应填充有关发生事件的主机或从中进行测量的详细信息。主机类型包括硬件、虚拟机、Docker 容器和 Kubernetes 节点。

host.architecture

操作系统架构。

类型：关键字

例如：x86_64

host.cpu.usage

CPU 使用率百分比，按 CPU 核心数标准化，范围为 0 到 1。缩放因子：1000。例如：对于双核主机，此值应为两个核心的平均值，介于 0 和 1 之间。

类型：scaled_float

host.disk.read.bytes

自上次指标收集以来成功读取的总字节数（指标）（从所有磁盘聚合）。

类型：长整型

host.disk.write.bytes

自上次指标收集以来成功写入的总字节数（指标）（从所有磁盘聚合）。

类型：长整型

host.domain

主机所属域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

类型：关键字

例如：CONTOSO

host.geo.city_name

城市名称。

类型：关键字

示例：蒙特利尔

host.geo.continent_code

表示洲名的两位字母代码。

类型：关键字

示例：NA

host.geo.continent_name

洲名。

类型：关键字

示例：北美洲

host.geo.country_iso_code

国家/地区 ISO 代码。

类型：关键字

示例：CA

host.geo.country_name

国家/地区名称。

类型：关键字

示例：加拿大

host.geo.location

经度和纬度。

类型：地理坐标

示例：{ "lon": -73.614830, "lat": 45.505918 }

host.geo.name

类型：关键字

示例：boston-dc

host.geo.postal_code

与该位置关联的邮政编码。适合此字段的值也称为邮政编码或邮编，并且因国家/地区而异。

类型：关键字

示例：94040

host.geo.region_iso_code

地区 ISO 代码。

类型：关键字

示例：CA-QC

host.geo.region_name

地区名称。

类型：关键字

示例：魁北克

host.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

host.hostname

主机的名称。它通常包含 hostname 命令在主机上返回的内容。

类型：关键字

host.id

唯一主机 ID。由于主机名并非始终唯一，因此请使用在您的环境中有意义的值。例如：当前 beat.name 的用法。

类型：关键字

host.ip

主机 IP 地址。

类型：IP

host.mac

主机 MAC 地址。建议使用 RFC 7042 中的符号格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

类型：关键字

例如：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

host.name

主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

类型：关键字

host.network.egress.bytes

自上次指标收集以来，主机在所有网络接口上发送的字节数（指标）。

类型：长整型

host.network.egress.packets

自上次指标收集以来，主机在所有网络接口上发送的数据包数（指标）。

类型：长整型

host.network.ingress.bytes

自上次指标收集以来，主机在所有网络接口上接收的字节数（指标）。

类型：长整型

host.network.ingress.packets

自上次指标收集以来，主机在所有网络接口上接收的数据包数（指标）。

类型：长整型

host.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：关键字

例如：debian

host.os.full

操作系统名称，包括版本或代号。

类型：关键字

例如：Mac OS Mojave

host.os.full.text

类型：仅匹配文本

host.os.kernel

操作系统内核版本，以原始字符串形式表示。

类型：关键字

示例：4.4.0-112-generic

host.os.name

操作系统名称，不含版本号。

类型：关键字

示例：Mac OS X

host.os.name.text

类型：仅匹配文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

类型：关键字

示例：darwin

host.os.type

使用 os.type 字段将操作系统分类到一个广泛的商业系列中。应使用以下值之一（小写）：linux、macos、unix、windows。如果您正在处理的操作系统不在列表中，则不应填充该字段。请通过向 ECS 提交问题来通知我们，以建议添加它。

类型：关键字

示例：macos

host.os.version

操作系统版本，以原始字符串形式表示。

类型：关键字

示例：10.14.1

host.type

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果是虚拟机，则可以是容器，例如，或在您的环境中有意义的其他信息。

类型：关键字

host.uptime

主机已启动的秒数。

类型：长整型

示例：1325

http

与 HTTP 活动相关的字段。使用设置为存储请求 URL 的 url 字段。

http.request.body.bytes

请求正文的大小（以字节为单位）。

类型：长整型

示例：887

格式：字节

http.request.body.content

完整的 HTTP 请求正文。

类型：通配符

示例：Hello world

http.request.body.content.text

类型：仅匹配文本

http.request.bytes

请求的总大小（以字节为单位）（正文和标头）。

类型：长整型

示例：1437

格式：字节

http.request.id

每个 HTTP 请求的唯一标识符，用于在事务中关联客户端和服务器之间的日志。该 ID 可能包含在非标准 HTTP 标头中，例如 X-Request-ID 或 X-Correlation-ID。

类型：关键字

示例：123e4567-e89b-12d3-a456-426614174000

http.request.method

HTTP 请求方法。该值应保留原始事件中的大小写。例如，GET、get 和 GeT 都被视为该字段的有效值。

类型：关键字

示例：POST

http.request.mime_type

请求正文的 MIME 类型。此值必须仅根据请求正文的内容填充，而不能根据 Content-Type 标头填充。将请求的 MIME 类型与其 Content-Type 标头进行比较有助于检测威胁或配置错误的客户端。

类型：关键字

示例：image/gif

http.request.referrer

此 HTTP 请求的引用页。

类型：关键字

示例：https://blog.example.com/

http.response.body.bytes

响应正文的大小（以字节为单位）。

类型：长整型

示例：887

格式：字节

http.response.body.content

完整的 HTTP 响应正文。

类型：通配符

示例：Hello world

http.response.body.content.text

类型：仅匹配文本

http.response.bytes

响应的总大小（以字节为单位）（正文和标头）。

类型：长整型

示例：1437

格式：字节

http.response.mime_type

响应正文的 MIME 类型。此值必须仅根据响应正文的内容填充，而不能根据 Content-Type 标头填充。将响应的 MIME 类型与其 Content-Type 标头进行比较有助于检测配置错误的服务器。

类型：关键字

示例：image/gif

http.response.status_code

HTTP 响应状态代码。

类型：长整型

示例：404

格式：字符串

http.version

HTTP 版本。

类型：关键字

示例：1.1

interface

当观察者（例如，防火墙、路由器、负载均衡器）在处理网络连接的上下文中报告时，接口字段用于记录入口和出口接口信息。在单个观察者接口（例如，跨度端口上的网络传感器）的情况下，仅应填充 observer.ingress 信息。

interface.alias

系统报告的接口别名，通常在防火墙实现中使用，例如内部、外部或 dmz 逻辑接口命名。

类型：关键字

示例：外部

interface.id

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型：关键字

示例：10

interface.name

系统报告的接口名称。

类型：关键字

示例：eth0

log

有关事件记录机制或记录传输的详细信息。log.* 字段通常填充有关用于创建和/或传输事件的记录机制的详细信息。例如，syslog 详细信息属于 log.syslog.*。特定于您的事件源的详细信息通常不记录在 log.* 下，而是记录在 event.* 或其他 ECS 字段中。

log.file.path

此事件来自的日志文件的完整路径，包括文件名。它应在适当时包含驱动器号。如果事件不是从日志文件读取的，请不要填充此字段。

类型：关键字

示例：/var/log/fun-times.log

log.level

日志事件的原始日志级别。如果事件源提供了日志级别或文本严重性，则应将其放在 log.level 中。如果您的源未指定，您可以将事件传输的严重性放在此处（例如，Syslog 严重性）。一些示例包括 warn、err、i、informational。

类型：关键字

示例：error

log.logger

应用程序中记录器的名称。这通常是初始化记录器的类的名称，也可以是自定义名称。

类型：关键字

示例：org.elasticsearch.bootstrap.Bootstrap

log.origin.file.line

包含生成日志事件的源代码的文件的行号。

类型：长整型

示例：42

log.origin.file.name

包含生成日志事件的源代码的文件的名称。请注意，此字段不用于捕获日志文件。捕获日志文件的正确字段是 log.file.path。

类型：关键字

示例：Bootstrap.java

log.origin.function

生成日志事件的函数或方法的名称。

类型：关键字

示例：init

log.syslog

事件的 Syslog 元数据（如果事件是通过 Syslog 传输的）。请参阅 RFC 5424 或 3164。

类型：对象

log.syslog.facility.code

日志事件的 Syslog 数字工具，如果可用。根据 RFC 5424 和 3164，此值应为 0 到 23 之间的整数。

类型：长整型

示例：23

格式：字符串

log.syslog.facility.name

日志事件的 Syslog 基于文本的工具，如果可用。

类型：关键字

示例：local7

log.syslog.priority

事件的 Syslog 数字优先级，如果可用。根据 RFC 5424 和 3164，优先级为 8 * 工具 + 严重性。因此，此数字应包含 0 到 191 之间的值。

类型：长整型

示例：135

格式：字符串

log.syslog.severity.code

日志事件的 Syslog 数字严重性，如果可用。如果通过 Syslog 发布的事件源提供了不同的数字严重性值（例如，防火墙、IDS），则您的源的数字严重性应进入 event.severity。如果事件源未指定不同的严重性，则您可以选择将 Syslog 严重性复制到 event.severity。

类型：长整型

例如：3

log.syslog.severity.name

日志事件的 Syslog 数字严重性，如果可用。如果通过 Syslog 发布的事件源提供了不同的严重性值（例如，防火墙、IDS），则您的源的文本严重性应进入 log.level。如果事件源未指定不同的严重性，则您可以选择将 Syslog 严重性复制到 log.level。

类型：关键字

示例：错误

network

网络定义为发生主机或网络事件的通信路径。network.* 字段应填充与事件关联的网络活动的详细信息。

network.application

当从网络连接详细信息（源/目标 IP、端口、证书或线路格式）中识别出特定应用程序或服务时，此字段将捕获应用程序或服务的名称。例如，原始事件将网络连接标识为来自 https 网络连接中的特定 Web 服务，例如 facebook 或 twitter。字段值必须规范化为小写以进行查询。

类型：关键字

示例：aim

network.bytes

在两个方向上传输的总字节数。如果已知 source.bytes 和 destination.bytes，则 network.bytes 是它们的总和。

类型：长整型

示例：368

格式：字节

network.community_id

源和目标 IP 和端口以及通信中使用的协议的哈希值。这是一种与工具无关的标准，用于标识流。在 https://github.com/corelight/community-id-spec 了解更多信息。

类型：关键字

示例：1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0=

network.direction

网络流量的方向。推荐值包括：* ingress * egress * inbound * outbound * internal * external * unknown

从基于主机的监视上下文映射事件时，请使用“ingress”或“egress”值从主机的角度填充此字段。从网络或基于外围的监视上下文映射事件时，请使用“inbound”、“outbound”、“internal”或“external”值从网络外围的角度填充此字段。请注意，“internal”不会跨越外围边界，而是用于描述外围内两台主机之间的通信。另请注意，“external”用于描述两台主机之间的流量，这两台主机都位于外围之外。例如，这对于 ISP 或 VPN 服务提供商很有用。

类型：关键字

示例：inbound

network.forwarded_ip

当源 IP 地址是代理时，主机的 IP 地址。

类型：IP

示例：192.1.1.2

network.iana_number

IANA 协议号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。标准化协议列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常吻合。

类型：关键字

示例：6

network.inner

除了 network.vlan 字段之外，还添加了 Network.inner 字段，以便在存在 q-in-q VLAN 标记时描述最里面的 VLAN。允许的字段包括 vlan.id 和 vlan.name。当使用多个 802.1q 封装向网络传感器（例如，Zeek、Wireshark）发送流量时，通常使用内部 vlan 字段。

类型：对象

network.inner.vlan.id

观察者报告的 VLAN ID。

类型：关键字

示例：10

network.inner.vlan.name

观察者报告的可选 VLAN 名称。

类型：关键字

示例：外部

network.name

运营商为其网络部分指定的名称。

类型：关键字

示例：访客 Wifi

network.packets

在两个方向上传输的数据包总数。如果已知 source.packets 和 destination.packets，则 network.packets 是它们的总和。

类型：长整型

示例：24

network.protocol

在 OSI 模型中，这将是应用层协议。例如，http、dns 或 ssh。字段值必须规范化为小写以进行查询。

类型：关键字

示例：http

network.transport

与 network.iana_number 相同，但使用传输层的关键字名称（udp、tcp、ipv6-icmp 等）。字段值必须规范化为小写以进行查询。

类型：关键字

示例：tcp

network.type

在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值必须规范化为小写以进行查询。

类型：关键字

示例：ipv4

network.vlan.id

观察者报告的 VLAN ID。

类型：关键字

示例：10

network.vlan.name

观察者报告的可选 VLAN 名称。

类型：关键字

示例：外部

observer

观察者定义为用于检测、观察或创建与网络、安全或应用程序相关的事件和指标的特殊网络、安全或应用程序设备。这可以是自定义硬件设备，也可以是配置为运行特殊网络、安全或应用程序软件的服务器。示例包括防火墙、Web 代理、入侵检测/防御系统、网络监控传感器、Web 应用防火墙、数据丢失防御系统和 APM 服务器。如果存在检测、观察和/或创建网络、安全或应用程序事件或指标的系统，则 observer.* 字段应填充该系统的详细信息。用于处理事件或指标的消息队列和 ETL 组件在 ECS 中不被视为观察者。

observer.egress

Observer.egress 保存了接口号和名称、VLAN 和区域信息等信息，用于对出口流量进行分类。单臂监控（例如，跨端口上的网络传感器）应仅使用 observer.ingress 对流量进行分类。

类型：对象

observer.egress.interface.alias

系统报告的接口别名，通常在防火墙实现中使用，例如内部、外部或 dmz 逻辑接口命名。

类型：关键字

示例：外部

observer.egress.interface.id

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型：关键字

示例：10

observer.egress.interface.name

系统报告的接口名称。

类型：关键字

示例：eth0

observer.egress.vlan.id

观察者报告的 VLAN ID。

类型：关键字

示例：10

observer.egress.vlan.name

观察者报告的可选 VLAN 名称。

类型：关键字

示例：外部

observer.egress.zone

观察者报告的出站流量网络区域，用于对出口流量的目标区域进行分类，例如，内部、外部、DMZ、人力资源、法律等。

类型：关键字

例如：Public_Internet

observer.geo.city_name

城市名称。

类型：关键字

示例：蒙特利尔

observer.geo.continent_code

表示洲名的两位字母代码。

类型：关键字

示例：NA

observer.geo.continent_name

洲名。

类型：关键字

示例：北美洲

observer.geo.country_iso_code

国家/地区 ISO 代码。

类型：关键字

示例：CA

observer.geo.country_name

国家/地区名称。

类型：关键字

示例：加拿大

observer.geo.location

经度和纬度。

类型：地理坐标

示例：{ "lon": -73.614830, "lat": 45.505918 }

observer.geo.name

类型：关键字

示例：boston-dc

observer.geo.postal_code

与该位置关联的邮政编码。适合此字段的值也称为邮政编码或邮编，并且因国家/地区而异。

类型：关键字

示例：94040

observer.geo.region_iso_code

地区 ISO 代码。

类型：关键字

示例：CA-QC

observer.geo.region_name

地区名称。

类型：关键字

示例：魁北克

observer.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

observer.hostname

观察者的主机名。

类型：关键字

observer.ingress

Observer.ingress 保存了接口号和名称、VLAN 和区域信息等信息，用于对入口流量进行分类。单臂监控（例如，跨端口上的网络传感器）应仅使用 observer.ingress 对流量进行分类。

类型：对象

observer.ingress.interface.alias

系统报告的接口别名，通常在防火墙实现中使用，例如内部、外部或 dmz 逻辑接口命名。

类型：关键字

示例：外部

observer.ingress.interface.id

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型：关键字

示例：10

observer.ingress.interface.name

系统报告的接口名称。

类型：关键字

示例：eth0

observer.ingress.vlan.id

观察者报告的 VLAN ID。

类型：关键字

示例：10

observer.ingress.vlan.name

观察者报告的可选 VLAN 名称。

类型：关键字

示例：外部

observer.ingress.zone

观察者报告的入站流量网络区域，用于对入口流量的源区域进行分类。例如，内部、外部、DMZ、人力资源、法律等。

类型：关键字

例如：DMZ

observer.ip

观察者的 IP 地址。

类型：IP

observer.mac

观察者的 MAC 地址。建议使用 RFC 7042 中的表示法：每个八位字节（即 8 位字节）由两位[大写]十六进制数字表示，以无符号整数形式给出八位字节的值。连续的八位字节之间用连字符分隔。

类型：关键字

例如：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

observer.name

观察者的自定义名称。这是可以赋予观察者的名称。例如，如果在组织中使用多个相同型号的防火墙，这将非常有用。如果不需要自定义名称，则该字段可以留空。

类型：关键字

例如：1_proxySG

observer.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：关键字

例如：debian

observer.os.full

操作系统名称，包括版本或代号。

类型：关键字

例如：Mac OS Mojave

observer.os.full.text

类型：仅匹配文本

observer.os.kernel

操作系统内核版本，以原始字符串形式表示。

类型：关键字

示例：4.4.0-112-generic

observer.os.name

操作系统名称，不含版本号。

类型：关键字

示例：Mac OS X

observer.os.name.text

类型：仅匹配文本

observer.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

类型：关键字

示例：darwin

observer.os.type

类型：关键字

示例：macos

observer.os.version

操作系统版本，以原始字符串形式表示。

类型：关键字

示例：10.14.1

observer.product

观察者的产品名称。

类型：关键字

例如：s200

observer.serial_number

观察者序列号。

类型：关键字

observer.type

数据的来源观察者类型。没有预定义的观察者类型列表。以下是一些示例：forwarder、firewall、ids、ips、proxy、poller、sensor、APM server。

类型：关键字

例如：firewall

observer.vendor

观察者的供应商名称。

类型：关键字

例如：赛门铁克

observer.version

观察者版本。

类型：关键字

orchestrator

描述容器编排器管理或对其采取行动的资源的字段。

orchestrator.api_version

用于执行操作的 API 版本

类型：关键字

例如：v1beta1

orchestrator.cluster.name

集群的名称。

类型：关键字

orchestrator.cluster.url

用于管理集群的 API 的 URL。

类型：关键字

orchestrator.cluster.version

集群的版本。

类型：关键字

orchestrator.namespace

发生操作的命名空间。

类型：关键字

例如：kube-system

orchestrator.organization

受事件影响的组织（对于多租户编排器设置）。

类型：关键字

例如：elastic

orchestrator.resource.name

正在对其采取行动的资源的名称。

类型：关键字

例如：test-pod-cdcws

orchestrator.resource.type

正在对其采取行动的资源的类型。

类型：关键字

例如：service

orchestrator.type

编排器集群类型（例如 kubernetes、nomad 或 cloudfoundry）。

类型：关键字

例如：kubernetes

organization

组织字段使用与数据关联的公司或实体的信息来丰富数据。这些字段可帮助您按一个或多个组织排列或筛选存储在索引中的数据。

organization.id

组织的唯一标识符。

类型：关键字

organization.name

组织名称。

类型：关键字

organization.name.text

类型：仅匹配文本

os

OS 字段包含有关操作系统的信息。

os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：关键字

例如：debian

os.full

操作系统名称，包括版本或代号。

类型：关键字

例如：Mac OS Mojave

os.full.text

类型：仅匹配文本

os.kernel

操作系统内核版本，以原始字符串形式表示。

类型：关键字

示例：4.4.0-112-generic

os.name

操作系统名称，不含版本号。

类型：关键字

示例：Mac OS X

os.name.text

类型：仅匹配文本

os.platform

操作系统平台（例如 centos、ubuntu、windows）。

类型：关键字

示例：darwin

os.type

类型：关键字

示例：macos

os.version

操作系统版本，以原始字符串形式表示。

类型：关键字

示例：10.14.1

package

这些字段包含有关已安装软件包的信息。它包含有关软件包的一般信息，例如名称、版本或大小。它还包含安装详细信息，例如时间或位置。

package.architecture

软件包架构。

类型：关键字

例如：x86_64

package.build_version

有关已安装软件包的构建版本的其他信息。例如，使用未发布软件包的提交 SHA。

类型：关键字

例如：36f4f7e89dd61b0988b12ee000b98966867710cd

package.checksum

已安装软件包的校验和，用于验证。

类型：关键字

例如：68b329da9893e34099c7d8ad5cb9c940

package.description

软件包的描述。

类型：关键字

例如：用于构建简单/可靠/高效软件的开源编程语言。

package.install_scope

指示软件包的安装方式，例如，用户本地、全局。

类型：关键字

例如：global

package.installed

软件包安装时间。

类型：日期

package.license

发布软件包所依据的许可证。使用简称，例如，如果可能，使用 SPDX 许可证列表中的许可证标识符（https://spdx.org/licenses/）。

类型：关键字

例如：Apache License 2.0

package.name

软件包名称

类型：关键字

例如：go

package.path

软件包的安装路径。

类型：关键字

例如：/usr/local/Cellar/go/1.12.9/

package.reference

此软件包中软件的主页或参考 URL（如果有）。

类型：关键字

例如：https://golang.ac.cn

package.size

软件包大小（以字节为单位）。

类型：长整型

例如：62231

格式：字符串

package.type

软件包类型。这应该包含软件包文件类型，而不是软件包管理器名称。示例：rpm、dpkg、brew、npm、gem、nupkg、jar。

类型：关键字

例如：rpm

package.version

软件包版本

类型：关键字

例如：1.12.9

pe

这些字段包含 Windows 可移植可执行文件 (PE) 元数据。

pe.architecture

文件的 CPU 体系结构目标。

类型：关键字

示例：x64

pe.company

文件的内部公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

pe.imphash

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

process

这些字段包含有关进程的信息。这些字段可以帮助您将指标信息与日志消息中的进程 ID/名称相关联。process.pid 通常保留在指标本身中，并复制到全局字段以进行关联。

process.args

进程参数数组，从可执行文件的绝对路径开始。可以过滤以保护敏感信息。

类型：关键字

例如：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.args_count

process.args 数组的长度。此字段可用于查询或对用于启动进程的参数数量执行存储桶分析。更多参数可能表示可疑活动。

类型：长整型

例如：4

process.code_signature.digest_algorithm

用于签署进程的哈希算法。当同一个签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型：关键字

示例：sha256

process.code_signature.exists

布尔值，用于捕获签名是否存在。

类型：boolean

示例：true

process.code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

process.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

process.code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

process.code_signature.team_id

用于签署进程的团队标识符。这用于识别软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

process.code_signature.timestamp

生成和签署代码签名的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

process.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，并且此字段应仅由主动检查状态的工具填充。

类型：boolean

示例：true

process.code_signature.valid

布尔值，用于捕获数字签名是否针对二进制内容进行了验证。如果未检查证书，请留空。

类型：boolean

示例：true

process.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

类型：通配符

例如：/usr/bin/ssh -l user 10.0.0.16

process.command_line.text

类型：仅匹配文本

process.elf.architecture

ELF 文件的机器架构。

类型：关键字

示例：x86-64

process.elf.byte_order

ELF 文件的字节序列。

类型：关键字

示例：小端序

process.elf.cpu_type

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

process.elf.creation_date

尽可能从文件的元数据中提取。指示文件的构建或编译时间。它也可以被恶意软件创建者伪造。

类型：日期

process.elf.exports

导出元素名称和类型的列表。

类型：扁平化

process.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

process.elf.header.class

ELF 文件的标头类。

类型：关键字

process.elf.header.data

ELF 标头的data表。

类型：关键字

process.elf.header.entrypoint

ELF 文件的标头入口点。

类型：长整型

格式：字符串

process.elf.header.object_version

原始 ELF 文件为“0x1”。

类型：关键字

process.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

process.elf.header.type

ELF 文件的标头类型。

类型：关键字

process.elf.header.version

ELF 标头的版本。

类型：关键字

process.elf.imports

导入元素名称和类型的列表。

类型：扁平化

process.elf.sections

包含 ELF 文件每个部分的对象的数组。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

process.elf.sections.chi2

该部分的卡方概率分布。

类型：长整型

格式：数字

process.elf.sections.entropy

该部分的香农熵计算。

类型：长整型

格式：数字

process.elf.sections.flags

ELF 节列表标志。

类型：关键字

process.elf.sections.name

ELF 节列表名称。

类型：关键字

process.elf.sections.physical_offset

ELF 节列表偏移量。

类型：关键字

process.elf.sections.physical_size

ELF 节列表物理大小。

类型：长整型

格式：字节

process.elf.sections.type

ELF 节列表类型。

类型：关键字

process.elf.sections.virtual_address

ELF 节列表虚拟地址。

类型：长整型

格式：字符串

process.elf.sections.virtual_size

ELF 节列表虚拟大小。

类型：长整型

格式：字符串

process.elf.segments

包含 ELF 文件每个段的对象的数组。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

process.elf.segments.sections

ELF 对象段节。

类型：关键字

process.elf.segments.type

ELF 对象段类型。

类型：关键字

process.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：关键字

process.elf.telfhash

ELF 文件的telfhash符号哈希。

类型：关键字

process.end

进程结束的时间。

类型：日期

示例：2016-05-23T08:05:34.853Z

process.entity_id

进程的唯一标识符。其实现由数据源指定，但可以使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构建全局唯一标识符是一种常见做法，用于减少 PID 重用，以及跨多个受监控主机随时间推移识别特定进程。

类型：关键字

例如：c2c455d9f99375d

process.executable

进程可执行文件的绝对路径。

类型：关键字

例如：/usr/bin/ssh

process.executable.text

类型：仅匹配文本

process.exit_code

如果这是终止事件，则为进程的退出代码。如果该事件没有退出代码（例如进程启动），则该字段应为空。

类型：长整型

例如：137

process.hash.md5

MD5 哈希值。

类型：关键字

process.hash.sha1

SHA1 哈希值。

类型：关键字

process.hash.sha256

SHA256 哈希值。

类型：关键字

process.hash.sha512

SHA512 哈希值。

类型：关键字

process.hash.ssdeep

SSDEEP 哈希值。

类型：关键字

process.name

进程名称。有时称为程序名称或类似名称。

类型：关键字

例如：ssh

process.name.text

类型：仅匹配文本

process.parent.args

进程参数数组，从可执行文件的绝对路径开始。可以过滤以保护敏感信息。

类型：关键字

例如：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.parent.args_count

process.args 数组的长度。此字段可用于查询或对用于启动进程的参数数量执行存储桶分析。更多参数可能表示可疑活动。

类型：长整型

例如：4

process.parent.code_signature.digest_algorithm

用于签署进程的哈希算法。当同一个签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型：关键字

示例：sha256

process.parent.code_signature.exists

布尔值，用于捕获签名是否存在。

类型：boolean

示例：true

process.parent.code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

process.parent.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

process.parent.code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

process.parent.code_signature.team_id

用于签署进程的团队标识符。这用于识别软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

process.parent.code_signature.timestamp

生成和签署代码签名的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

process.parent.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，并且此字段应仅由主动检查状态的工具填充。

类型：boolean

示例：true

process.parent.code_signature.valid

布尔值，用于捕获数字签名是否针对二进制内容进行了验证。如果未检查证书，请留空。

类型：boolean

示例：true

process.parent.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

类型：通配符

例如：/usr/bin/ssh -l user 10.0.0.16

process.parent.command_line.text

类型：仅匹配文本

process.parent.elf.architecture

ELF 文件的机器架构。

类型：关键字

示例：x86-64

process.parent.elf.byte_order

ELF 文件的字节序列。

类型：关键字

示例：小端序

process.parent.elf.cpu_type

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

process.parent.elf.creation_date

尽可能从文件的元数据中提取。指示文件的构建或编译时间。它也可以被恶意软件创建者伪造。

类型：日期

process.parent.elf.exports

导出元素名称和类型的列表。

类型：扁平化

process.parent.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

process.parent.elf.header.class

ELF 文件的标头类。

类型：关键字

process.parent.elf.header.data

ELF 标头的data表。

类型：关键字

process.parent.elf.header.entrypoint

ELF 文件的标头入口点。

类型：长整型

格式：字符串

process.parent.elf.header.object_version

原始 ELF 文件为“0x1”。

类型：关键字

process.parent.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

process.parent.elf.header.type

ELF 文件的标头类型。

类型：关键字

process.parent.elf.header.version

ELF 标头的版本。

类型：关键字

process.parent.elf.imports

导入元素名称和类型的列表。

类型：扁平化

process.parent.elf.sections

包含 ELF 文件每个部分的对象的数组。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

process.parent.elf.sections.chi2

该部分的卡方概率分布。

类型：长整型

格式：数字

process.parent.elf.sections.entropy

该部分的香农熵计算。

类型：长整型

格式：数字

process.parent.elf.sections.flags

ELF 节列表标志。

类型：关键字

process.parent.elf.sections.name

ELF 节列表名称。

类型：关键字

process.parent.elf.sections.physical_offset

ELF 节列表偏移量。

类型：关键字

process.parent.elf.sections.physical_size

ELF 节列表物理大小。

类型：长整型

格式：字节

process.parent.elf.sections.type

ELF 节列表类型。

类型：关键字

process.parent.elf.sections.virtual_address

ELF 节列表虚拟地址。

类型：长整型

格式：字符串

process.parent.elf.sections.virtual_size

ELF 节列表虚拟大小。

类型：长整型

格式：字符串

process.parent.elf.segments

包含 ELF 文件每个段的对象的数组。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

process.parent.elf.segments.sections

ELF 对象段节。

类型：关键字

process.parent.elf.segments.type

ELF 对象段类型。

类型：关键字

process.parent.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：关键字

process.parent.elf.telfhash

ELF 文件的telfhash符号哈希。

类型：关键字

process.parent.end

进程结束的时间。

类型：日期

示例：2016-05-23T08:05:34.853Z

process.parent.entity_id

类型：关键字

例如：c2c455d9f99375d

process.parent.executable

进程可执行文件的绝对路径。

类型：关键字

例如：/usr/bin/ssh

process.parent.executable.text

类型：仅匹配文本

process.parent.exit_code

如果这是终止事件，则为进程的退出代码。如果该事件没有退出代码（例如进程启动），则该字段应为空。

类型：长整型

例如：137

process.parent.hash.md5

MD5 哈希值。

类型：关键字

process.parent.hash.sha1

SHA1 哈希值。

类型：关键字

process.parent.hash.sha256

SHA256 哈希值。

类型：关键字

process.parent.hash.sha512

SHA512 哈希值。

类型：关键字

process.parent.hash.ssdeep

SSDEEP 哈希值。

类型：关键字

process.parent.name

进程名称。有时称为程序名称或类似名称。

类型：关键字

例如：ssh

process.parent.name.text

类型：仅匹配文本

process.parent.pe.architecture

文件的 CPU 体系结构目标。

类型：关键字

示例：x64

process.parent.pe.company

文件的内部公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

process.parent.pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

process.parent.pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

process.parent.pe.imphash

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

process.parent.pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

process.parent.pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

process.parent.pgid

进程所属进程组的标识符。

类型：长整型

格式：字符串

process.parent.pid

进程 ID。

类型：长整型

例如：4242

格式：字符串

process.parent.start

进程开始的时间。

类型：日期

示例：2016-05-23T08:05:34.853Z

process.parent.thread.id

线程 ID。

类型：长整型

例如：4242

格式：字符串

process.parent.thread.name

线程名称。

类型：关键字

例如：thread-0

process.parent.title

进程标题。进程标题，有时与进程名称相同。也可以不同：例如，浏览器将其标题设置为当前打开的网页。

类型：关键字

process.parent.title.text

类型：仅匹配文本

process.parent.uptime

进程已启动的秒数。

类型：长整型

示例：1325

process.parent.working_directory

进程的工作目录。

类型：关键字

例如：/home/alice

process.parent.working_directory.text

类型：仅匹配文本

process.pe.architecture

文件的 CPU 体系结构目标。

类型：关键字

示例：x64

process.pe.company

文件的内部公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

process.pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

process.pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

process.pe.imphash

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

process.pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

process.pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

process.pgid

进程所属进程组的标识符。

类型：长整型

格式：字符串

process.pid

进程 ID。

类型：长整型

例如：4242

格式：字符串

process.start

进程开始的时间。

类型：日期

示例：2016-05-23T08:05:34.853Z

process.thread.id

线程 ID。

类型：长整型

例如：4242

格式：字符串

process.thread.name

线程名称。

类型：关键字

例如：thread-0

process.title

进程标题。进程标题，有时与进程名称相同。也可以不同：例如，浏览器将其标题设置为当前打开的网页。

类型：关键字

process.title.text

类型：仅匹配文本

process.uptime

进程已启动的秒数。

类型：长整型

示例：1325

process.working_directory

进程的工作目录。

类型：关键字

例如：/home/alice

process.working_directory.text

类型：仅匹配文本

注册表

与 Windows 注册表操作相关的字段。

registry.data.bytes

使用 base64 编码写入的原始字节。对于 Windows 注册表操作（例如 SetValueEx 和 RegQueryValueEx），这对应于 lp_data 指向的数据。这是可选的，但提供了更好的可恢复性，并且应该为 REG_BINARY 编码值填充。

类型：关键字

示例：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

registry.data.strings

写入字符串类型时的内容。将字符串数据写入注册表时填充为数组。对于单字符串注册表类型（REG_SZ、REG_EXPAND_SZ），这应该是一个包含一个字符串的数组。对于 REG_MULTI_SZ 的字符串序列，此数组的长度将是可变的。对于数值数据，例如 REG_DWORD 和 REG_QWORD，应使用十进制表示形式填充（例如 "1"）。

类型：通配符

示例：["C:\rta\red_ttp\bin\myapp.exe"]

registry.data.type

用于编码内容的标准注册表类型

类型：关键字

示例：REG_SZ

registry.hive

配置单元的缩写名称。

类型：关键字

示例：HKLM

registry.key

配置单元相对密钥路径。

类型：关键字

示例：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

registry.path

完整路径，包括配置单元、密钥和值

类型：关键字

示例：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

registry.value

写入的值的名称。

类型：关键字

示例：Debugger

规则

规则字段用于捕获生成警报或其他值得注意事件的任何观察者或代理规则的细节。将填充规则字段的数据源示例包括：网络准入控制平台、网络或主机 IDS/IPS、网络防火墙、Web 应用程序防火墙、URL 过滤器、端点检测和响应 (EDR) 系统等。

rule.author

创建用于生成此事件的规则的作者的姓名、组织或假名。

类型：关键字

示例：["星爵"]

rule.category

使用该规则的实体用于检测此事件的分类值关键字。

类型：关键字

示例：企图泄露信息

rule.description

生成事件的规则的描述。

类型：关键字

示例：阻止通过 HTTPS/TLS 协议对公共 DNS 的请求

rule.id

在代理、观察者或其他使用该规则来检测此事件的实体的范围内唯一的规则 ID。

类型：关键字

示例：101

rule.license

用于生成此事件的规则所依据的许可证名称。

类型：关键字

示例：Apache 2.0

rule.name

生成事件的规则或签名的名称。

类型：关键字

示例：BLOCK_DNS_over_TLS

rule.reference

指向有关用于生成此事件的规则的其他信息的参考 URL。该 URL 可以指向供应商关于该规则的文档。如果没有，它也可以是指向描述此类警报的更通用页面的链接。

类型：关键字

示例：https://en.wikipedia.org/wiki/DNS_over_TLS

rule.ruleset

用于生成此事件的规则所属的规则集、策略、组或父类别的名称。

类型：关键字

示例：Standard_Protocol_Filters

rule.uuid

在使用该规则来检测此事件的一组或一组代理、观察者或其他实体的范围内唯一的规则 ID。

类型：关键字

示例：1100110011

rule.version

用于分析的规则的版本/修订版。

类型：关键字

示例：1.1

服务器

服务器定义为网络连接中关于会话、连接或双向流记录的事件的响应方。对于 TCP 事件，服务器是 TCP 连接的初始 SYN 数据包的接收方。对于其他协议，服务器通常是网络事务中的响应方。有些系统实际上使用术语“响应方”来指代 TCP 连接中的服务器。服务器字段描述了充当网络事件中服务器的系统的详细信息。服务器字段通常与客户端字段一起填充。对于数据包级事件，通常不会填充服务器字段。客户端/服务器表示可以为交换添加语义上下文，这有助于在某些情况下可视化数据。如果您的上下文属于该类别，您仍然应该确保源和目标已正确填充。

server.address

某些事件服务器地址的定义不明确。该事件有时会列出一个 IP、一个域名或一个 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后应根据它是哪个将其复制到 .ip 或 .domain。

类型：关键字

server.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：长整型

示例：15169

server.as.organization.name

组织名称。

类型：关键字

示例：Google LLC

server.as.organization.name.text

类型：仅匹配文本

server.bytes

从服务器发送到客户端的字节数。

类型：长整型

示例：184

格式：字节

server.domain

服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可以来自原始事件，也可以从充实中添加。

类型：关键字

示例：foo.example.com

server.geo.city_name

城市名称。

类型：关键字

示例：蒙特利尔

server.geo.continent_code

表示洲名的两位字母代码。

类型：关键字

示例：NA

server.geo.continent_name

洲名。

类型：关键字

示例：北美洲

server.geo.country_iso_code

国家/地区 ISO 代码。

类型：关键字

示例：CA

server.geo.country_name

国家/地区名称。

类型：关键字

示例：加拿大

server.geo.location

经度和纬度。

类型：地理坐标

示例：{ "lon": -73.614830, "lat": 45.505918 }

server.geo.name

类型：关键字

示例：boston-dc

server.geo.postal_code

与该位置关联的邮政编码。适合此字段的值也称为邮政编码或邮编，并且因国家/地区而异。

类型：关键字

示例：94040

server.geo.region_iso_code

地区 ISO 代码。

类型：关键字

示例：CA-QC

server.geo.region_name

地区名称。

类型：关键字

示例：魁北克

server.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

server.ip

服务器的 IP 地址（IPv4 或 IPv6）。

类型：IP

server.mac

服务器的 MAC 地址。建议使用 RFC 7042 中的符号格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

类型：关键字

示例：00-00-5E-00-53-23

server.nat.ip

基于 NAT 会话的转换后的目标 IP（例如，互联网到私有 DMZ）通常与负载均衡器、防火墙或路由器一起使用。

类型：IP

server.nat.port

基于目标 NAT 会话的转换端口（例如，Internet 到私有 DMZ）通常与负载均衡器、防火墙或路由器一起使用。

类型：长整型

格式：字符串

server.packets

从服务器发送到客户端的数据包数。

类型：长整型

示例：12

server.port

服务器的端口。

类型：长整型

格式：字符串

server.registered_domain

已注册的最高服务器域名，去除子域名。例如，“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。尝试通过简单地获取最后两个标签来近似此值对于“co.uk”之类的 TLD 将无法很好地工作。

类型：关键字

示例：example.com

server.subdomain

类型：关键字

示例：east

server.top_level_domain

类型：关键字

示例：co.uk

server.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

server.user.email

用户电子邮件地址。

类型：关键字

server.user.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

server.user.full_name.text

类型：仅匹配文本

server.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

server.user.group.id

系统/平台上组的唯一标识符。

类型：关键字

server.user.group.name

组的名称。

类型：关键字

server.user.hash

用于以匿名形式关联用户信息的唯一用户哈希值。如果 user.id 或 user.name 包含机密信息且无法使用，则此字段很有用。

类型：关键字

server.user.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

server.user.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

server.user.name.text

类型：仅匹配文本

server.user.roles

事件发生时的用户角色数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

服务

服务字段描述了从中收集数据的服务。这些字段可帮助您查找和关联特定服务和版本的日志。

service.address

从中收集有关此服务的数据的地址。这应该是 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

类型：关键字

示例：172.26.0.2:5432

service.environment

标识服务运行的环境。如果同一服务在不同环境（生产、暂存、QA、开发等）中运行，则环境可以识别同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。

类型：关键字

示例：production

service.ephemeral_id

此服务的临时标识符（如果存在）。此 ID 通常在重新启动时发生变化，但 service.id 不变。

类型：关键字

示例：8a4f500f

service.id

正在运行的服务的唯一标识符。如果该服务由许多节点组成，则所有节点的 service.id 应该是相同的。此 ID 应唯一标识服务。这使得关联一个特定服务的日志和指标成为可能，而无论哪个特定节点发出了事件。请注意，如果您需要查看来自该服务的一个特定主机的事件，则应该改为过滤该 host.name 或 host.id。

类型：关键字

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.name

从中收集数据的服务的名称。服务的名称通常由用户给出。这允许在多个主机上运行的分布式服务根据名称关联相关实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，如果没有指定名称，则 service.name 默认是 service.type 字段的副本。

类型：关键字

示例：elasticsearch-metrics

service.node.name

服务节点的名称。这允许区分在同一主机上运行的同一服务的两个节点。因此，service.node.name 通常在给定服务的节点之间应该是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。如果服务没有节点名称的概念，则可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些不能提供唯一性（例如，在同一主机上运行服务的多个实例） - 可以手动设置节点名称。

类型：关键字

示例：instance-0000000016

service.origin.address

从中收集有关此服务的数据的地址。这应该是 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

类型：关键字

示例：172.26.0.2:5432

service.origin.environment

类型：关键字

示例：production

service.origin.ephemeral_id

此服务的临时标识符（如果存在）。此 ID 通常在重新启动时发生变化，但 service.id 不变。

类型：关键字

示例：8a4f500f

service.origin.id

类型：关键字

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.origin.name

类型：关键字

示例：elasticsearch-metrics

service.origin.node.name

类型：关键字

示例：instance-0000000016

service.origin.state

服务的当前状态。

类型：关键字

service.origin.type

从中收集数据的服务的类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型：关键字

示例：elasticsearch

service.origin.version

从中收集数据的服务的版本。这允许仅查看特定版本服务的 datasets。

类型：关键字

示例：3.2.4

service.state

服务的当前状态。

类型：关键字

service.target.address

从中收集有关此服务的数据的地址。这应该是 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

类型：关键字

示例：172.26.0.2:5432

service.target.environment

类型：关键字

示例：production

service.target.ephemeral_id

此服务的临时标识符（如果存在）。此 ID 通常在重新启动时发生变化，但 service.id 不变。

类型：关键字

示例：8a4f500f

service.target.id

类型：关键字

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.target.name

类型：关键字

示例：elasticsearch-metrics

service.target.node.name

类型：关键字

示例：instance-0000000016

service.target.state

服务的当前状态。

类型：关键字

service.target.type

类型：关键字

示例：elasticsearch

service.target.version

从中收集数据的服务的版本。这允许仅查看特定版本服务的 datasets。

类型：关键字

示例：3.2.4

service.type

类型：关键字

示例：elasticsearch

service.version

从中收集数据的服务的版本。这允许仅查看特定版本服务的 datasets。

类型：关键字

示例：3.2.4

来源

源字段捕获有关网络交换/数据包发送方的详细信息。这些字段由网络事件、数据包或其他包含网络事务详细信息的事件填充。源字段通常与目标字段一起填充。源字段和目标字段被视为基线，如果事件包含来自网络事务的源和目标详细信息，则应始终填充这些字段。如果事件还包含客户端和服务器角色的标识，则还应填充客户端和服务器字段。

source.address

某些事件源地址的定义不明确。该事件有时会列出一个 IP、一个域或一个 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后，应根据其类型将其复制到 .ip 或 .domain。

类型：关键字

source.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：长整型

示例：15169

source.as.organization.name

组织名称。

类型：关键字

示例：Google LLC

source.as.organization.name.text

类型：仅匹配文本

source.bytes

从源发送到目标的字节数。

类型：长整型

示例：184

格式：字节

source.domain

源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件，也可能从富集中添加。

类型：关键字

示例：foo.example.com

source.geo.city_name

城市名称。

类型：关键字

示例：蒙特利尔

source.geo.continent_code

表示洲名的两位字母代码。

类型：关键字

示例：NA

source.geo.continent_name

洲名。

类型：关键字

示例：北美洲

source.geo.country_iso_code

国家/地区 ISO 代码。

类型：关键字

示例：CA

source.geo.country_name

国家/地区名称。

类型：关键字

示例：加拿大

source.geo.location

经度和纬度。

类型：地理坐标

示例：{ "lon": -73.614830, "lat": 45.505918 }

source.geo.name

类型：关键字

示例：boston-dc

source.geo.postal_code

与该位置关联的邮政编码。适合此字段的值也称为邮政编码或邮编，并且因国家/地区而异。

类型：关键字

示例：94040

source.geo.region_iso_code

地区 ISO 代码。

类型：关键字

示例：CA-QC

source.geo.region_name

地区名称。

类型：关键字

示例：魁北克

source.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

source.ip

源的 IP 地址（IPv4 或 IPv6）。

类型：IP

source.mac

源的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节之间用连字符分隔。

类型：关键字

示例：00-00-5E-00-53-23

source.nat.ip

基于源 NAT 会话的转换后的 IP（例如，内部客户端到互联网）通常是遍历负载均衡器、防火墙或路由器的连接。

类型：IP

source.nat.port

基于源 NAT 会话的转换后的端口。（例如，内部客户端到互联网）通常与负载均衡器、防火墙或路由器一起使用。

类型：长整型

格式：字符串

source.packets

从源发送到目标的数据包。

类型：长整型

示例：12

source.port

源的端口。

类型：长整型

格式：字符串

source.registered_domain

已删除子域的最高注册源域。例如，“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。尝试通过简单地获取最后两个标签来近似此值对于“co.uk”之类的 TLD 将无法很好地工作。

类型：关键字

示例：example.com

source.subdomain

类型：关键字

示例：east

source.top_level_domain

类型：关键字

示例：co.uk

source.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

source.user.email

用户电子邮件地址。

类型：关键字

source.user.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

source.user.full_name.text

类型：仅匹配文本

source.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

source.user.group.id

系统/平台上组的唯一标识符。

类型：关键字

source.user.group.name

组的名称。

类型：关键字

source.user.hash

用于以匿名形式关联用户信息的唯一用户哈希值。如果 user.id 或 user.name 包含机密信息且无法使用，则此字段很有用。

类型：关键字

source.user.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

source.user.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

source.user.name.text

类型：仅匹配文本

source.user.roles

事件发生时的用户角色数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

威胁

用于根据威胁分类法（如 MITRE ATT&CK® 框架）对事件和警报进行分类的字段。这些字段供用户使用通用分类法对其所有来源（例如，IDS、NGFW 等）的警报进行分类。 threat.tactic.* 字段旨在捕获威胁的高级类别（例如，“影响”）。 threat.technique.* 字段旨在捕获此检测到的威胁用于实现目标的方法（例如，“端点拒绝服务”）。

threat.enrichments

相关指标对象的列表，用于丰富事件以及该关联/丰富的上下文。

类型：嵌套

threat.enrichments.indicator

包含丰富事件的相关指标的对象。

类型：对象

threat.enrichments.indicator.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：长整型

示例：15169

threat.enrichments.indicator.as.organization.name

组织名称。

类型：关键字

示例：Google LLC

threat.enrichments.indicator.as.organization.name.text

类型：仅匹配文本

threat.enrichments.indicator.confidence

使用 STIX 2.1 框架附录 A 中定义的“无/低/中/高”等级标识供应商中立的置信度等级。特定于供应商的置信度等级可以作为自定义字段添加。预期值为：* 未指定 * 无 * 低 * 中 * 高

类型：关键字

示例：中

threat.enrichments.indicator.description

描述威胁执行的操作类型。

类型：关键字

示例：观察到 IP x.x.x.x 正在传递 Angler EK。

threat.enrichments.indicator.email.address

将威胁指标标识为电子邮件地址（无论方向如何）。

类型：关键字

示例：[email protected]

threat.enrichments.indicator.file.accessed

最后一次访问文件的时间。请注意，并非所有文件系统都跟踪访问时间。

类型：日期

threat.enrichments.indicator.file.attributes

类型：关键字

示例：["readonly", "system"]

threat.enrichments.indicator.file.code_signature.digest_algorithm

用于签署进程的哈希算法。当同一个签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型：关键字

示例：sha256

threat.enrichments.indicator.file.code_signature.exists

布尔值，用于捕获签名是否存在。

类型：boolean

示例：true

threat.enrichments.indicator.file.code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

threat.enrichments.indicator.file.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

threat.enrichments.indicator.file.code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

threat.enrichments.indicator.file.code_signature.team_id

用于签署进程的团队标识符。这用于识别软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

threat.enrichments.indicator.file.code_signature.timestamp

生成和签署代码签名的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

threat.enrichments.indicator.file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，并且此字段应仅由主动检查状态的工具填充。

类型：boolean

示例：true

threat.enrichments.indicator.file.code_signature.valid

布尔值，用于捕获数字签名是否针对二进制内容进行了验证。如果未检查证书，请留空。

类型：boolean

示例：true

threat.enrichments.indicator.file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型：日期

threat.enrichments.indicator.file.ctime

最后一次更改文件属性或元数据的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将同时进行调整，因为 mtime 是文件的属性。

类型：日期

threat.enrichments.indicator.file.device

作为文件来源的设备。

类型：关键字

示例：sda

threat.enrichments.indicator.file.directory

文件所在的目录。它应该包含驱动器号（如果适用）。

类型：关键字

例如：/home/alice

threat.enrichments.indicator.file.drive_letter

文件所在的驱动器号。此字段仅在 Windows 上相关。该值应为大写，并且不包含冒号。

类型：关键字

例如：C

threat.enrichments.indicator.file.elf.architecture

ELF 文件的机器架构。

类型：关键字

示例：x86-64

threat.enrichments.indicator.file.elf.byte_order

ELF 文件的字节序列。

类型：关键字

示例：小端序

threat.enrichments.indicator.file.elf.cpu_type

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

threat.enrichments.indicator.file.elf.creation_date

尽可能从文件的元数据中提取。指示文件的构建或编译时间。它也可以被恶意软件创建者伪造。

类型：日期

threat.enrichments.indicator.file.elf.exports

导出元素名称和类型的列表。

类型：扁平化

threat.enrichments.indicator.file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

threat.enrichments.indicator.file.elf.header.class

ELF 文件的标头类。

类型：关键字

threat.enrichments.indicator.file.elf.header.data

ELF 标头的data表。

类型：关键字

threat.enrichments.indicator.file.elf.header.entrypoint

ELF 文件的标头入口点。

类型：长整型

格式：字符串

threat.enrichments.indicator.file.elf.header.object_version

原始 ELF 文件为“0x1”。

类型：关键字

threat.enrichments.indicator.file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

threat.enrichments.indicator.file.elf.header.type

ELF 文件的标头类型。

类型：关键字

threat.enrichments.indicator.file.elf.header.version

ELF 标头的版本。

类型：关键字

threat.enrichments.indicator.file.elf.imports

导入元素名称和类型的列表。

类型：扁平化

threat.enrichments.indicator.file.elf.sections

包含 ELF 文件每个部分的对象的数组。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

threat.enrichments.indicator.file.elf.sections.chi2

该部分的卡方概率分布。

类型：长整型

格式：数字

threat.enrichments.indicator.file.elf.sections.entropy

该部分的香农熵计算。

类型：长整型

格式：数字

threat.enrichments.indicator.file.elf.sections.flags

ELF 节列表标志。

类型：关键字

threat.enrichments.indicator.file.elf.sections.name

ELF 节列表名称。

类型：关键字

threat.enrichments.indicator.file.elf.sections.physical_offset

ELF 节列表偏移量。

类型：关键字

threat.enrichments.indicator.file.elf.sections.physical_size

ELF 节列表物理大小。

类型：长整型

格式：字节

threat.enrichments.indicator.file.elf.sections.type

ELF 节列表类型。

类型：关键字

threat.enrichments.indicator.file.elf.sections.virtual_address

ELF 节列表虚拟地址。

类型：长整型

格式：字符串

threat.enrichments.indicator.file.elf.sections.virtual_size

ELF 节列表虚拟大小。

类型：长整型

格式：字符串

threat.enrichments.indicator.file.elf.segments

包含 ELF 文件每个段的对象的数组。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

threat.enrichments.indicator.file.elf.segments.sections

ELF 对象段节。

类型：关键字

threat.enrichments.indicator.file.elf.segments.type

ELF 对象段类型。

类型：关键字

threat.enrichments.indicator.file.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：关键字

threat.enrichments.indicator.file.elf.telfhash

ELF 文件的telfhash符号哈希。

类型：关键字

threat.enrichments.indicator.file.extension

文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名时（例如 example.tar.gz），则应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型：关键字

例如：png

threat.enrichments.indicator.file.fork_name

类型：关键字

例如：Zone.Identifer

threat.enrichments.indicator.file.gid

文件的组 ID (GID)。

类型：关键字

例如：1001

threat.enrichments.indicator.file.group

文件的主要组名。

类型：关键字

例如：alice

threat.enrichments.indicator.file.hash.md5

MD5 哈希值。

类型：关键字

threat.enrichments.indicator.file.hash.sha1

SHA1 哈希值。

类型：关键字

threat.enrichments.indicator.file.hash.sha256

SHA256 哈希值。

类型：关键字

threat.enrichments.indicator.file.hash.sha512

SHA512 哈希值。

类型：关键字

threat.enrichments.indicator.file.hash.ssdeep

SSDEEP 哈希值。

类型：关键字

threat.enrichments.indicator.file.inode

文件系统中表示文件的 inode。

类型：关键字

例如：256383

threat.enrichments.indicator.file.mime_type

MIME 类型应尽可能使用 IANA 官方类型标识文件或字节流的格式。如果适用多种类型，则应使用最具体的类型。

类型：关键字

threat.enrichments.indicator.file.mode

以八进制表示的文件模式。

类型：关键字

例如：0640

threat.enrichments.indicator.file.mtime

上次修改文件内容的时间。

类型：日期

threat.enrichments.indicator.file.name

文件的名称，包括扩展名，但不包括目录。

类型：关键字

例如：example.png

threat.enrichments.indicator.file.owner

文件所有者的用户名。

类型：关键字

例如：alice

threat.enrichments.indicator.file.path

文件的完整路径，包括文件名。它应该包含驱动器号（如果适用）。

类型：关键字

例如：/home/alice/example.png

threat.enrichments.indicator.file.path.text

类型：仅匹配文本

threat.enrichments.indicator.file.pe.architecture

文件的 CPU 体系结构目标。

类型：关键字

示例：x64

threat.enrichments.indicator.file.pe.company

文件的内部公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

threat.enrichments.indicator.file.pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

threat.enrichments.indicator.file.pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

threat.enrichments.indicator.file.pe.imphash

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

threat.enrichments.indicator.file.pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

threat.enrichments.indicator.file.pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

threat.enrichments.indicator.file.size

文件大小（以字节为单位）。仅在 file.type 为“file”时相关。

类型：长整型

例如：16384

threat.enrichments.indicator.file.target_path

符号链接的目标路径。

类型：关键字

threat.enrichments.indicator.file.target_path.text

类型：仅匹配文本

threat.enrichments.indicator.file.type

文件类型（文件、目录或符号链接）。

类型：关键字

例如：file

threat.enrichments.indicator.file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型：关键字

例如：1001

threat.enrichments.indicator.file.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：关键字

例如：*.elastic.co

threat.enrichments.indicator.file.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型：关键字

例如：Example SHA2 High Assurance Server CA

threat.enrichments.indicator.file.x509.issuer.country

国家/地区代码（C）列表

类型：关键字

例如：US

threat.enrichments.indicator.file.x509.issuer.distinguished_name

颁发证书颁发机构的标识名 (DN)。

类型：关键字

例如：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.enrichments.indicator.file.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

例如：Mountain View

threat.enrichments.indicator.file.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

例如：Example Inc

threat.enrichments.indicator.file.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

threat.enrichments.indicator.file.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

threat.enrichments.indicator.file.x509.not_after

证书不再被视为有效的时间。

类型：日期

例如：2020-07-16 03:15:39+00:00

threat.enrichments.indicator.file.x509.not_before

证书首次被视为有效的时间。

类型：日期

例如：2019-08-16 01:40:25+00:00

threat.enrichments.indicator.file.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

例如：RSA

threat.enrichments.indicator.file.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：关键字

例如：nistp521

threat.enrichments.indicator.file.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型：长整型

例如：65537

字段未编入索引。

threat.enrichments.indicator.file.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：长整型

例如：2048

threat.enrichments.indicator.file.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式设置为不带冒号和大写字符。

类型：关键字

例如：55FBB9C7DEBF09809D12CCAA

threat.enrichments.indicator.file.x509.signature_algorithm

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

例如：SHA256-RSA

threat.enrichments.indicator.file.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型：关键字

例如：shared.global.example.net

threat.enrichments.indicator.file.x509.subject.country

国家/地区代码 (C) 列表

类型：关键字

例如：US

threat.enrichments.indicator.file.x509.subject.distinguished_name

证书主题实体的标识名 (DN)。

类型：关键字

例如：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

threat.enrichments.indicator.file.x509.subject.locality

地区名称 (L) 列表

类型：关键字

例如：San Francisco

threat.enrichments.indicator.file.x509.subject.organization

主题的组织 (O) 列表。

类型：关键字

例如：Example, Inc.

threat.enrichments.indicator.file.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型：关键字

threat.enrichments.indicator.file.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

threat.enrichments.indicator.file.x509.version_number

x509 格式的版本。

类型：关键字

例如：3

threat.enrichments.indicator.first_seen

情报来源首次报告发现此指标的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

threat.enrichments.indicator.geo.city_name

城市名称。

类型：关键字

示例：蒙特利尔

threat.enrichments.indicator.geo.continent_code

表示洲名的两位字母代码。

类型：关键字

示例：NA

threat.enrichments.indicator.geo.continent_name

洲名。

类型：关键字

示例：北美洲

threat.enrichments.indicator.geo.country_iso_code

国家/地区 ISO 代码。

类型：关键字

示例：CA

threat.enrichments.indicator.geo.country_name

国家/地区名称。

类型：关键字

示例：加拿大

threat.enrichments.indicator.geo.location

经度和纬度。

类型：地理坐标

示例：{ "lon": -73.614830, "lat": 45.505918 }

threat.enrichments.indicator.geo.name

类型：关键字

示例：boston-dc

threat.enrichments.indicator.geo.postal_code

与该位置关联的邮政编码。适合此字段的值也称为邮政编码或邮编，并且因国家/地区而异。

类型：关键字

示例：94040

threat.enrichments.indicator.geo.region_iso_code

地区 ISO 代码。

类型：关键字

示例：CA-QC

threat.enrichments.indicator.geo.region_name

地区名称。

类型：关键字

示例：魁北克

threat.enrichments.indicator.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

threat.enrichments.indicator.ip

将威胁指标标识为 IP 地址（无论方向如何）。

类型：IP

示例：1.2.3.4

threat.enrichments.indicator.last_seen

情报来源最后一次报告发现此指标的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

threat.enrichments.indicator.marking.tlp

交通灯协议共享标记。建议值为：* 白色 * 绿色 * 黄色 * 红色

类型：关键字

示例：白色

threat.enrichments.indicator.modified_at

情报来源最后一次修改此指标信息的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

threat.enrichments.indicator.port

将威胁指标标识为端口号（无论方向如何）。

类型：长整型

示例：443

threat.enrichments.indicator.provider

指标提供者的名称。

类型：关键字

示例：lrz_urlhaus

threat.enrichments.indicator.reference

链接到有关此指标的其他信息的参考 URL。

类型：关键字

示例：https://system.example.com/indicator/0001234

threat.enrichments.indicator.registry.data.bytes

类型：关键字

示例：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

threat.enrichments.indicator.registry.data.strings

类型：通配符

示例：["C:\rta\red_ttp\bin\myapp.exe"]

threat.enrichments.indicator.registry.data.type

用于编码内容的标准注册表类型

类型：关键字

示例：REG_SZ

threat.enrichments.indicator.registry.hive

配置单元的缩写名称。

类型：关键字

示例：HKLM

threat.enrichments.indicator.registry.key

配置单元相对密钥路径。

类型：关键字

示例：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

threat.enrichments.indicator.registry.path

完整路径，包括配置单元、密钥和值

类型：关键字

示例：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

threat.enrichments.indicator.registry.value

写入的值的名称。

类型：关键字

示例：Debugger

threat.enrichments.indicator.scanner_stats

成功检测到恶意文件或 URL 的 AV/EDR 供应商数量。

类型：长整型

例如：4

threat.enrichments.indicator.sightings

观察到此指标进行威胁活动的次数。

类型：长整型

示例：20

threat.enrichments.indicator.type

由 STIX 2.0 中的网络可观察物表示的指标类型。建议值：* 自治系统 * 工件 * 目录 * 域名 * 电子邮件地址 * 文件 * ipv4 地址 * ipv6 地址 * mac 地址 * 互斥体 * 端口 * 进程 * 软件 * url * 用户帐户 * Windows 注册表项 * x509 证书

类型：关键字

示例：ipv4 地址

threat.enrichments.indicator.url.domain

URL 的域，例如“www.elastic.co”。在某些情况下，URL 可以直接引用 IP 和/或端口，而没有域名。在这种情况下，IP 地址将进入 domain 字段。如果 URL 包含用 [ 和 ]（IETF RFC 2732）括起来的文字 IPv6 地址，则 [ 和 ] 字符也应捕获在 domain 字段中。

类型：关键字

示例：www.elastic.co

threat.enrichments.indicator.url.extension

该字段包含原始请求 URL 中的文件扩展名，不包括前导点。仅当文件扩展名存在时才设置它，因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如，该值必须是“png”，而不是“.png”。请注意，当文件名具有多个扩展名（例如 example.tar.gz）时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型：关键字

例如：png

threat.enrichments.indicator.url.fragment

# 之后的 URL 部分，例如“top”。 # 不是片段的一部分。

类型：关键字

threat.enrichments.indicator.url.full

如果完整 URL 对您的用例很重要，则应将它们存储在 url.full 中，无论此字段是重建的还是事件源中存在的。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top

threat.enrichments.indicator.url.full.text

类型：仅匹配文本

threat.enrichments.indicator.url.original

事件源中看到的未修改的原始 URL。请注意，在网络监控中，观察到的 URL 可能是完整 URL，而在访问日志中，URL 通常仅表示为路径。此字段旨在表示观察到的 URL，无论完整与否。

类型：通配符

例如： https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

threat.enrichments.indicator.url.original.text

类型：仅匹配文本

threat.enrichments.indicator.url.password

请求的密码。

类型：关键字

threat.enrichments.indicator.url.path

请求的路径，例如“/search”。

类型：通配符

threat.enrichments.indicator.url.port

请求的端口，例如 443。

类型：长整型

示例：443

格式：字符串

threat.enrichments.indicator.url.query

查询字段描述请求的查询字符串，例如“q=elasticsearch”。查询字符串中不包含 ?。如果 URL 不包含 ?，则不存在查询字段。如果存在 ? 但没有查询，则查询字段存在且为空字符串。可以使用 exists 查询来区分这两种情况。

类型：关键字

threat.enrichments.indicator.url.registered_domain

已注册的最高 URL 域名，去除子域名。例如，“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表来精确确定此值。尝试通过简单地取最后两个标签来近似此值对于“co.uk”之类的 TLD 将无法很好地工作。

类型：关键字

示例：example.com

threat.enrichments.indicator.url.scheme

请求的方案，例如“https”。注意：: 不是方案的一部分。

类型：关键字

例如：https

threat.enrichments.indicator.url.subdomain

类型：关键字

示例：east

threat.enrichments.indicator.url.top_level_domain

类型：关键字

示例：co.uk

threat.enrichments.indicator.url.username

请求的用户名。

类型：关键字

threat.enrichments.indicator.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：关键字

例如：*.elastic.co

threat.enrichments.indicator.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型：关键字

例如：Example SHA2 High Assurance Server CA

threat.enrichments.indicator.x509.issuer.country

国家/地区代码（C）列表

类型：关键字

例如：US

threat.enrichments.indicator.x509.issuer.distinguished_name

颁发证书颁发机构的标识名 (DN)。

类型：关键字

例如：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.enrichments.indicator.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

例如：Mountain View

threat.enrichments.indicator.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

例如：Example Inc

threat.enrichments.indicator.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

threat.enrichments.indicator.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

threat.enrichments.indicator.x509.not_after

证书不再被视为有效的时间。

类型：日期

例如：2020-07-16 03:15:39+00:00

threat.enrichments.indicator.x509.not_before

证书首次被视为有效的时间。

类型：日期

例如：2019-08-16 01:40:25+00:00

threat.enrichments.indicator.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

例如：RSA

threat.enrichments.indicator.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：关键字

例如：nistp521

threat.enrichments.indicator.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型：长整型

例如：65537

字段未编入索引。

threat.enrichments.indicator.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：长整型

例如：2048

threat.enrichments.indicator.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式设置为不带冒号和大写字符。

类型：关键字

例如：55FBB9C7DEBF09809D12CCAA

threat.enrichments.indicator.x509.signature_algorithm

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

例如：SHA256-RSA

threat.enrichments.indicator.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型：关键字

例如：shared.global.example.net

threat.enrichments.indicator.x509.subject.country

国家/地区代码 (C) 列表

类型：关键字

例如：US

threat.enrichments.indicator.x509.subject.distinguished_name

证书主题实体的标识名 (DN)。

类型：关键字

例如：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

threat.enrichments.indicator.x509.subject.locality

地区名称 (L) 列表

类型：关键字

例如：San Francisco

threat.enrichments.indicator.x509.subject.organization

主题的组织 (O) 列表。

类型：关键字

例如：Example, Inc.

threat.enrichments.indicator.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型：关键字

threat.enrichments.indicator.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

threat.enrichments.indicator.x509.version_number

x509 格式的版本。

类型：关键字

例如：3

threat.enrichments.matched.atomic

标识与本地环境端点或网络事件匹配的原子指标值。

类型：关键字

例如：bad-domain.com

threat.enrichments.matched.field

标识与本地环境端点或网络事件匹配的原子指标的字段。

类型：关键字

例如：file.hash.sha256

threat.enrichments.matched.id

标识丰富事件的指标文档的 _id。

类型：关键字

例如：ff93aee5-86a1-4a61-b0e6-0cdc313d01b5

threat.enrichments.matched.index

标识丰富事件的指标文档的 _index。

类型：关键字

例如：filebeat-8.0.0-2021.05.23-000011

threat.enrichments.matched.type

标识导致事件使用给定指标进行丰富的匹配类型

类型：关键字

例如：indicator_match_rule

threat.framework

用于进一步分类和归类已报告威胁的策略和技术的威胁框架的名称。框架分类可以由检测系统提供，在摄取时进行评估，或追溯标记到事件。

类型：关键字

例如：MITRE ATT&CK

threat.group.alias

安全社区中以通用名称跟踪的一组相关入侵活动的组的别名。虽然不是必需的，但您可以使用 MITRE ATT&CK® 组别名。

类型：关键字

例如： [ "Magecart Group 6" ]

threat.group.id

安全社区中以通用名称跟踪的一组相关入侵活动的组的 ID。虽然不是必需的，但您可以使用 MITRE ATT&CK® 组 ID。

类型：关键字

例如：G0037

threat.group.name

安全社区中以通用名称跟踪的一组相关入侵活动的组的名称。虽然不是必需的，但您可以使用 MITRE ATT&CK® 组名称。

类型：关键字

例如：FIN6

threat.group.reference

安全社区中以通用名称跟踪的一组相关入侵活动的组的参考 URL。虽然不是必需的，但您可以使用 MITRE ATT&CK® 组参考 URL。

类型：关键字

例如： https://attack.mitre.org/groups/G0037/

threat.indicator.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：长整型

示例：15169

threat.indicator.as.organization.name

组织名称。

类型：关键字

示例：Google LLC

threat.indicator.as.organization.name.text

类型：仅匹配文本

threat.indicator.confidence

类型：关键字

示例：中

threat.indicator.description

描述威胁执行的操作类型。

类型：关键字

示例：观察到 IP x.x.x.x 正在传递 Angler EK。

threat.indicator.email.address

将威胁指标标识为电子邮件地址（无论方向如何）。

类型：关键字

示例：[email protected]

threat.indicator.file.accessed

最后一次访问文件的时间。请注意，并非所有文件系统都跟踪访问时间。

类型：日期

threat.indicator.file.attributes

类型：关键字

示例：["readonly", "system"]

threat.indicator.file.code_signature.digest_algorithm

用于签署进程的哈希算法。当同一个签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型：关键字

示例：sha256

threat.indicator.file.code_signature.exists

布尔值，用于捕获签名是否存在。

类型：boolean

示例：true

threat.indicator.file.code_signature.signing_id

用于签署进程的标识符。这用于识别软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

threat.indicator.file.code_signature.status

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误非常有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

threat.indicator.file.code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

threat.indicator.file.code_signature.team_id

用于签署进程的团队标识符。这用于识别软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

threat.indicator.file.code_signature.timestamp

生成和签署代码签名的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

threat.indicator.file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，并且此字段应仅由主动检查状态的工具填充。

类型：boolean

示例：true

threat.indicator.file.code_signature.valid

布尔值，用于捕获数字签名是否针对二进制内容进行了验证。如果未检查证书，请留空。

类型：boolean

示例：true

threat.indicator.file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型：日期

threat.indicator.file.ctime

最后一次更改文件属性或元数据的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将同时进行调整，因为 mtime 是文件的属性。

类型：日期

threat.indicator.file.device

作为文件来源的设备。

类型：关键字

示例：sda

threat.indicator.file.directory

文件所在的目录。它应该包含驱动器号（如果适用）。

类型：关键字

例如：/home/alice

threat.indicator.file.drive_letter

文件所在的驱动器号。此字段仅在 Windows 上相关。该值应为大写，并且不包含冒号。

类型：关键字

例如：C

threat.indicator.file.elf.architecture

ELF 文件的机器架构。

类型：关键字

示例：x86-64

threat.indicator.file.elf.byte_order

ELF 文件的字节序列。

类型：关键字

示例：小端序

threat.indicator.file.elf.cpu_type

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

threat.indicator.file.elf.creation_date

尽可能从文件的元数据中提取。指示文件的构建或编译时间。它也可以被恶意软件创建者伪造。

类型：日期

threat.indicator.file.elf.exports

导出元素名称和类型的列表。

类型：扁平化

threat.indicator.file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

threat.indicator.file.elf.header.class

ELF 文件的标头类。

类型：关键字

threat.indicator.file.elf.header.data

ELF 标头的data表。

类型：关键字

threat.indicator.file.elf.header.entrypoint

ELF 文件的标头入口点。

类型：长整型

格式：字符串

threat.indicator.file.elf.header.object_version

原始 ELF 文件为“0x1”。

类型：关键字

threat.indicator.file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

threat.indicator.file.elf.header.type

ELF 文件的标头类型。

类型：关键字

threat.indicator.file.elf.header.version

ELF 标头的版本。

类型：关键字

threat.indicator.file.elf.imports

导入元素名称和类型的列表。

类型：扁平化

threat.indicator.file.elf.sections

包含 ELF 文件每个部分的对象的数组。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

threat.indicator.file.elf.sections.chi2

该部分的卡方概率分布。

类型：长整型

格式：数字

threat.indicator.file.elf.sections.entropy

该部分的香农熵计算。

类型：长整型

格式：数字

threat.indicator.file.elf.sections.flags

ELF 节列表标志。

类型：关键字

threat.indicator.file.elf.sections.name

ELF 节列表名称。

类型：关键字

threat.indicator.file.elf.sections.physical_offset

ELF 节列表偏移量。

类型：关键字

threat.indicator.file.elf.sections.physical_size

ELF 节列表物理大小。

类型：长整型

格式：字节

threat.indicator.file.elf.sections.type

ELF 节列表类型。

类型：关键字

threat.indicator.file.elf.sections.virtual_address

ELF 节列表虚拟地址。

类型：长整型

格式：字符串

threat.indicator.file.elf.sections.virtual_size

ELF 节列表虚拟大小。

类型：长整型

格式：字符串

threat.indicator.file.elf.segments

包含 ELF 文件每个段的对象的数组。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

threat.indicator.file.elf.segments.sections

ELF 对象段节。

类型：关键字

threat.indicator.file.elf.segments.type

ELF 对象段类型。

类型：关键字

threat.indicator.file.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：关键字

threat.indicator.file.elf.telfhash

ELF 文件的telfhash符号哈希。

类型：关键字

threat.indicator.file.extension

文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名时（例如 example.tar.gz），则应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型：关键字

例如：png

threat.indicator.file.fork_name

类型：关键字

例如：Zone.Identifer

threat.indicator.file.gid

文件的组 ID (GID)。

类型：关键字

例如：1001

threat.indicator.file.group

文件的主要组名。

类型：关键字

例如：alice

threat.indicator.file.hash.md5

MD5 哈希值。

类型：关键字

threat.indicator.file.hash.sha1

SHA1 哈希值。

类型：关键字

threat.indicator.file.hash.sha256

SHA256 哈希值。

类型：关键字

threat.indicator.file.hash.sha512

SHA512 哈希值。

类型：关键字

threat.indicator.file.hash.ssdeep

SSDEEP 哈希值。

类型：关键字

threat.indicator.file.inode

文件系统中表示文件的 inode。

类型：关键字

例如：256383

threat.indicator.file.mime_type

MIME 类型应尽可能使用 IANA 官方类型标识文件或字节流的格式。如果适用多种类型，则应使用最具体的类型。

类型：关键字

threat.indicator.file.mode

以八进制表示的文件模式。

类型：关键字

例如：0640

threat.indicator.file.mtime

上次修改文件内容的时间。

类型：日期

threat.indicator.file.name

文件的名称，包括扩展名，但不包括目录。

类型：关键字

例如：example.png

threat.indicator.file.owner

文件所有者的用户名。

类型：关键字

例如：alice

threat.indicator.file.path

文件的完整路径，包括文件名。它应该包含驱动器号（如果适用）。

类型：关键字

例如：/home/alice/example.png

threat.indicator.file.path.text

类型：仅匹配文本

threat.indicator.file.pe.architecture

文件的 CPU 体系结构目标。

类型：关键字

示例：x64

threat.indicator.file.pe.company

文件的内部公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

threat.indicator.file.pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

threat.indicator.file.pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

threat.indicator.file.pe.imphash

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

threat.indicator.file.pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

threat.indicator.file.pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

threat.indicator.file.size

文件大小（以字节为单位）。仅在 file.type 为“file”时相关。

类型：长整型

例如：16384

threat.indicator.file.target_path

符号链接的目标路径。

类型：关键字

threat.indicator.file.target_path.text

类型：仅匹配文本

threat.indicator.file.type

文件类型（文件、目录或符号链接）。

类型：关键字

例如：file

threat.indicator.file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型：关键字

例如：1001

threat.indicator.file.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：关键字

例如：*.elastic.co

threat.indicator.file.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型：关键字

例如：Example SHA2 High Assurance Server CA

threat.indicator.file.x509.issuer.country

国家/地区代码（C）列表

类型：关键字

例如：US

threat.indicator.file.x509.issuer.distinguished_name

颁发证书颁发机构的标识名 (DN)。

类型：关键字

例如：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.indicator.file.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

例如：Mountain View

threat.indicator.file.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

例如：Example Inc

threat.indicator.file.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

threat.indicator.file.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

threat.indicator.file.x509.not_after

证书不再被视为有效的时间。

类型：日期

例如：2020-07-16 03:15:39+00:00

threat.indicator.file.x509.not_before

证书首次被视为有效的时间。

类型：日期

例如：2019-08-16 01:40:25+00:00

threat.indicator.file.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

例如：RSA

threat.indicator.file.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：关键字

例如：nistp521

threat.indicator.file.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型：长整型

例如：65537

字段未编入索引。

threat.indicator.file.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：长整型

例如：2048

threat.indicator.file.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式设置为不带冒号和大写字符。

类型：关键字

例如：55FBB9C7DEBF09809D12CCAA

threat.indicator.file.x509.signature_algorithm

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

例如：SHA256-RSA

threat.indicator.file.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型：关键字

例如：shared.global.example.net

threat.indicator.file.x509.subject.country

国家/地区代码 (C) 列表

类型：关键字

例如：US

threat.indicator.file.x509.subject.distinguished_name

证书主题实体的标识名 (DN)。

类型：关键字

例如：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

threat.indicator.file.x509.subject.locality

地区名称 (L) 列表

类型：关键字

例如：San Francisco

threat.indicator.file.x509.subject.organization

主题的组织 (O) 列表。

类型：关键字

例如：Example, Inc.

threat.indicator.file.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型：关键字

threat.indicator.file.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

threat.indicator.file.x509.version_number

x509 格式的版本。

类型：关键字

例如：3

threat.indicator.first_seen

情报来源首次报告发现此指标的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

threat.indicator.geo.city_name

城市名称。

类型：关键字

示例：蒙特利尔

threat.indicator.geo.continent_code

表示洲名的两位字母代码。

类型：关键字

示例：NA

threat.indicator.geo.continent_name

洲名。

类型：关键字

示例：北美洲

threat.indicator.geo.country_iso_code

国家/地区 ISO 代码。

类型：关键字

示例：CA

threat.indicator.geo.country_name

国家/地区名称。

类型：关键字

示例：加拿大

threat.indicator.geo.location

经度和纬度。

类型：地理坐标

示例：{ "lon": -73.614830, "lat": 45.505918 }

threat.indicator.geo.name

类型：关键字

示例：boston-dc

threat.indicator.geo.postal_code

与该位置关联的邮政编码。适合此字段的值也称为邮政编码或邮编，并且因国家/地区而异。

类型：关键字

示例：94040

threat.indicator.geo.region_iso_code

地区 ISO 代码。

类型：关键字

示例：CA-QC

threat.indicator.geo.region_name

地区名称。

类型：关键字

示例：魁北克

threat.indicator.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

threat.indicator.ip

将威胁指标标识为 IP 地址（无论方向如何）。

类型：IP

示例：1.2.3.4

threat.indicator.last_seen

情报来源最后一次报告发现此指标的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

threat.indicator.marking.tlp

交通灯协议共享标记。建议值为：* 白色 * 绿色 * 黄色 * 红色

类型：关键字

例如：WHITE

threat.indicator.modified_at

情报来源最后一次修改此指标信息的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

threat.indicator.port

将威胁指标标识为端口号（无论方向如何）。

类型：长整型

示例：443

threat.indicator.provider

指标提供者的名称。

类型：关键字

示例：lrz_urlhaus

threat.indicator.reference

链接到有关此指标的其他信息的参考 URL。

类型：关键字

示例：https://system.example.com/indicator/0001234

threat.indicator.registry.data.bytes

类型：关键字

示例：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

threat.indicator.registry.data.strings

类型：通配符

示例：["C:\rta\red_ttp\bin\myapp.exe"]

threat.indicator.registry.data.type

用于编码内容的标准注册表类型

类型：关键字

示例：REG_SZ

threat.indicator.registry.hive

配置单元的缩写名称。

类型：关键字

示例：HKLM

threat.indicator.registry.key

配置单元相对密钥路径。

类型：关键字

示例：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

threat.indicator.registry.path

完整路径，包括配置单元、密钥和值

类型：关键字

示例：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

threat.indicator.registry.value

写入的值的名称。

类型：关键字

示例：Debugger

threat.indicator.scanner_stats

成功检测到恶意文件或 URL 的 AV/EDR 供应商数量。

类型：长整型

例如：4

threat.indicator.sightings

观察到此指标进行威胁活动的次数。

类型：长整型

示例：20

threat.indicator.type

类型：关键字

示例：ipv4 地址

threat.indicator.url.domain

类型：关键字

示例：www.elastic.co

threat.indicator.url.extension

类型：关键字

例如：png

threat.indicator.url.fragment

# 之后的 URL 部分，例如“top”。 # 不是片段的一部分。

类型：关键字

threat.indicator.url.full

如果完整 URL 对您的用例很重要，则应将它们存储在 url.full 中，无论此字段是重建的还是事件源中存在的。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top

threat.indicator.url.full.text

类型：仅匹配文本

threat.indicator.url.original

类型：通配符

例如： https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

threat.indicator.url.original.text

类型：仅匹配文本

threat.indicator.url.password

请求的密码。

类型：关键字

threat.indicator.url.path

请求的路径，例如“/search”。

类型：通配符

threat.indicator.url.port

请求的端口，例如 443。

类型：长整型

示例：443

格式：字符串

threat.indicator.url.query

类型：关键字

threat.indicator.url.registered_domain

类型：关键字

示例：example.com

threat.indicator.url.scheme

请求的方案，例如“https”。注意：: 不是方案的一部分。

类型：关键字

例如：https

threat.indicator.url.subdomain

类型：关键字

示例：east

threat.indicator.url.top_level_domain

类型：关键字

示例：co.uk

threat.indicator.url.username

请求的用户名。

类型：关键字

threat.indicator.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：关键字

例如：*.elastic.co

threat.indicator.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型：关键字

例如：Example SHA2 High Assurance Server CA

threat.indicator.x509.issuer.country

国家/地区代码（C）列表

类型：关键字

例如：US

threat.indicator.x509.issuer.distinguished_name

颁发证书颁发机构的标识名 (DN)。

类型：关键字

例如：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.indicator.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

例如：Mountain View

threat.indicator.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

例如：Example Inc

threat.indicator.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

threat.indicator.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

threat.indicator.x509.not_after

证书不再被视为有效的时间。

类型：日期

例如：2020-07-16 03:15:39+00:00

threat.indicator.x509.not_before

证书首次被视为有效的时间。

类型：日期

例如：2019-08-16 01:40:25+00:00

threat.indicator.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

例如：RSA

threat.indicator.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：关键字

例如：nistp521

threat.indicator.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型：长整型

例如：65537

字段未编入索引。

threat.indicator.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：长整型

例如：2048

threat.indicator.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式设置为不带冒号和大写字符。

类型：关键字

例如：55FBB9C7DEBF09809D12CCAA

threat.indicator.x509.signature_algorithm

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

例如：SHA256-RSA

threat.indicator.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型：关键字

例如：shared.global.example.net

threat.indicator.x509.subject.country

国家/地区代码 (C) 列表

类型：关键字

例如：US

threat.indicator.x509.subject.distinguished_name

证书主题实体的标识名 (DN)。

类型：关键字

例如：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

threat.indicator.x509.subject.locality

地区名称 (L) 列表

类型：关键字

例如：San Francisco

threat.indicator.x509.subject.organization

主题的组织 (O) 列表。

类型：关键字

例如：Example, Inc.

threat.indicator.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型：关键字

threat.indicator.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

threat.indicator.x509.version_number

x509 格式的版本。

类型：关键字

例如：3

threat.software.alias

安全社区中以通用名称跟踪的一组相关入侵活动的软件别名。虽然不是必需的，但您可以使用 MITRE ATT&CK® 关联软件描述。

类型：关键字

例如： [ "X-Agent" ]

threat.software.id

此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件 ID。虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件 ID。

类型：关键字

例如：S0552

threat.software.name

此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件名称。虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件名称。

类型：关键字

例如：AdFind

threat.software.platforms

此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件平台。建议值：* AWS * Azure * Azure AD * GCP * Linux * macOS * Network * Office 365 * SaaS * Windows

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件平台。

类型：关键字

例如： [ "Windows" ]

threat.software.reference

此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件的参考 URL。虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件参考 URL。

类型：关键字

例如： https://attack.mitre.org/software/S0552/

threat.software.type

此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件类型。建议值 * 恶意软件 * 工具

While not required, you can use a MITRE ATT&CK® software type.

类型：关键字

例如：工具

threat.tactic.id

此威胁使用的策略 ID。您可以使用 MITRE ATT&CK® 策略，例如。（例如：https://attack.mitre.org/tactics/TA0002/）

类型：关键字

例如：TA0002

threat.tactic.name

此威胁使用的策略类型的名称。您可以使用 MITRE ATT&CK® 策略，例如。（例如：https://attack.mitre.org/tactics/TA0002/）

类型：关键字

例如：执行

threat.tactic.reference

此威胁使用的策略的参考 URL。您可以使用 MITRE ATT&CK® 策略，例如。（例如：https://attack.mitre.org/tactics/TA0002/）

类型：关键字

例如：https://attack.mitre.org/tactics/TA0002/

threat.technique.id

此威胁使用的技术的 ID。您可以使用 MITRE ATT&CK® 技术，例如。（例如：https://attack.mitre.org/techniques/T1059/）

类型：关键字

例如：T1059

threat.technique.name

此威胁使用的技术的名称。您可以使用 MITRE ATT&CK® 技术，例如。（例如：https://attack.mitre.org/techniques/T1059/）

类型：关键字

例如：命令和脚本解释器

threat.technique.name.text

类型：仅匹配文本

threat.technique.reference

此威胁使用的技术的参考 URL。您可以使用 MITRE ATT&CK® 技术，例如。（例如：https://attack.mitre.org/techniques/T1059/）

类型：关键字

例如：https://attack.mitre.org/techniques/T1059/

threat.technique.subtechnique.id

此威胁使用的子技术的完整 ID。您可以使用 MITRE ATT&CK® 子技术，例如。（例如：https://attack.mitre.org/techniques/T1059/001/）

类型：关键字

例如：T1059.001

threat.technique.subtechnique.name

此威胁使用的子技术的名称。您可以使用 MITRE ATT&CK® 子技术，例如。（例如：https://attack.mitre.org/techniques/T1059/001/）

类型：关键字

例如：PowerShell

threat.technique.subtechnique.name.text

类型：仅匹配文本

threat.technique.subtechnique.reference

此威胁使用的子技术的参考 URL。您可以使用 MITRE ATT&CK® 子技术，例如。（例如：https://attack.mitre.org/techniques/T1059/001/）

类型：关键字

例如：https://attack.mitre.org/techniques/T1059/001/

tls

与 TLS 连接相关的字段。这些字段侧重于 TLS 协议本身，并有意避免对相关 x.509 证书文件进行深入分析。

tls.cipher

字符串，指示当前连接期间使用的加密套件。

类型：关键字

例如：TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

tls.client.certificate

客户端提供的 PEM 编码的独立证书。这通常与 client.certificate_chain 互斥，因为此值也存在于该列表中。

类型：关键字

例如：MII…

tls.client.certificate_chain

由客户端提供的构成证书链的 PEM 编码证书数组。这通常与 client.certificate 互斥，因为该值应该是链中的第一个证书。

类型：关键字

例如：["MII…", "MII…"]

tls.client.hash.md5

使用客户端提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：关键字

例如：0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC

tls.client.hash.sha1

使用客户端提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：关键字

例如：9E393D93138888D288266C2D915214D1D1CCEB2A

tls.client.hash.sha256

使用客户端提供的证书的 DER 编码版本的 SHA256 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：关键字

例如：0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0

tls.client.issuer

客户端提供的 x.509 证书的颁发者的主题的识别名。

类型：关键字

例如：CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com

tls.client.ja3

一个哈希值，用于根据客户端执行 SSL/TLS 握手的方式来标识客户端。

类型：关键字

例如：d4e5b18d6b55c71272893221c96ba240

tls.client.not_after

日期/时间，指示客户端证书何时不再被视为有效。

类型：日期

例如：2021-01-01T00:00:00.000Z

tls.client.not_before

日期/时间，指示客户端证书何时首次被视为有效。

类型：日期

例如：1970-01-01T00:00:00.000Z

tls.client.server_name

也称为 SNI，它告诉服务器客户端尝试连接到的主机名。当此值可用时，应将其复制到 destination.domain。

类型：关键字

示例：www.elastic.co

tls.client.subject

客户端提供的 x.509 证书的主题的识别名。

类型：关键字

例如：CN=myclient, OU=Documentation Team, DC=example, DC=com

tls.client.supported_ciphers

客户端在客户端问候期间提供的加密套件数组。

类型：关键字

例如：["TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "…"]

tls.client.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：关键字

例如：*.elastic.co

tls.client.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型：关键字

例如：Example SHA2 High Assurance Server CA

tls.client.x509.issuer.country

国家/地区代码（C）列表

类型：关键字

例如：US

tls.client.x509.issuer.distinguished_name

颁发证书颁发机构的标识名 (DN)。

类型：关键字

例如：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

tls.client.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

例如：Mountain View

tls.client.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

例如：Example Inc

tls.client.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

tls.client.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

tls.client.x509.not_after

证书不再被视为有效的时间。

类型：日期

例如：2020-07-16 03:15:39+00:00

tls.client.x509.not_before

证书首次被视为有效的时间。

类型：日期

例如：2019-08-16 01:40:25+00:00

tls.client.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

例如：RSA

tls.client.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：关键字

例如：nistp521

tls.client.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型：长整型

例如：65537

字段未编入索引。

tls.client.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：长整型

例如：2048

tls.client.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式设置为不带冒号和大写字符。

类型：关键字

例如：55FBB9C7DEBF09809D12CCAA

tls.client.x509.signature_algorithm

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

例如：SHA256-RSA

tls.client.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型：关键字

例如：shared.global.example.net

tls.client.x509.subject.country

国家/地区代码 (C) 列表

类型：关键字

例如：US

tls.client.x509.subject.distinguished_name

证书主题实体的标识名 (DN)。

类型：关键字

例如：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

tls.client.x509.subject.locality

地区名称 (L) 列表

类型：关键字

例如：San Francisco

tls.client.x509.subject.organization

主题的组织 (O) 列表。

类型：关键字

例如：Example, Inc.

tls.client.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型：关键字

tls.client.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

tls.client.x509.version_number

x509 格式的版本。

类型：关键字

例如：3

tls.curve

字符串，指示给定加密套件使用的曲线（如果适用）。

类型：关键字

例如：secp256r1

tls.established

布尔标志，指示 TLS 协商是否成功并转换到加密通道。

类型：boolean

tls.next_protocol

字符串，指示正在隧道传输的协议。根据 IANA 注册表中的值（https://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml#alpn-protocol-ids），此字符串应为小写。

类型：关键字

例如：http/1.1

tls.resumed

布尔标志，指示此 TLS 连接是否从现有 TLS 协商中恢复。

类型：boolean

tls.server.certificate

服务器提供的 PEM 编码的独立证书。这通常与 server.certificate_chain 互斥，因为此值也存在于该列表中。

类型：关键字

例如：MII…

tls.server.certificate_chain

由服务器提供的构成证书链的 PEM 编码证书数组。这通常与 server.certificate 互斥，因为该值应该是链中的第一个证书。

类型：关键字

例如：["MII…", "MII…"]

tls.server.hash.md5

使用服务器提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：关键字

例如：0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC

tls.server.hash.sha1

使用服务器提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：关键字

例如：9E393D93138888D288266C2D915214D1D1CCEB2A

tls.server.hash.sha256

使用服务器提供的证书的 DER 编码版本的 SHA256 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：关键字

例如：0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0

tls.server.issuer

服务器提供的 x.509 证书的颁发者的主题。

类型：关键字

例如：CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com

tls.server.ja3s

一个哈希值，用于根据服务器执行 SSL/TLS 握手的方式来标识服务器。

类型：关键字

例如：394441ab65754e2207b1e1b457b3641d

tls.server.not_after

时间戳，指示服务器证书何时不再被视为有效。

类型：日期

例如：2021-01-01T00:00:00.000Z

tls.server.not_before

时间戳，指示服务器证书何时首次被视为有效。

类型：日期

例如：1970-01-01T00:00:00.000Z

tls.server.subject

服务器提供的 x.509 证书的主题。

类型：关键字

例如：CN=www.example.com, OU=Infrastructure Team, DC=example, DC=com

tls.server.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：关键字

例如：*.elastic.co

tls.server.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型：关键字

例如：Example SHA2 High Assurance Server CA

tls.server.x509.issuer.country

国家/地区代码（C）列表

类型：关键字

例如：US

tls.server.x509.issuer.distinguished_name

颁发证书颁发机构的标识名 (DN)。

类型：关键字

例如：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

tls.server.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

例如：Mountain View

tls.server.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

例如：Example Inc

tls.server.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

tls.server.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

tls.server.x509.not_after

证书不再被视为有效的时间。

类型：日期

例如：2020-07-16 03:15:39+00:00

tls.server.x509.not_before

证书首次被视为有效的时间。

类型：日期

例如：2019-08-16 01:40:25+00:00

tls.server.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

例如：RSA

tls.server.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：关键字

例如：nistp521

tls.server.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型：长整型

例如：65537

字段未编入索引。

tls.server.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：长整型

例如：2048

tls.server.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式设置为不带冒号和大写字符。

类型：关键字

例如：55FBB9C7DEBF09809D12CCAA

tls.server.x509.signature_algorithm

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

例如：SHA256-RSA

tls.server.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型：关键字

例如：shared.global.example.net

tls.server.x509.subject.country

国家/地区代码 (C) 列表

类型：关键字

例如：US

tls.server.x509.subject.distinguished_name

证书主题实体的标识名 (DN)。

类型：关键字

例如：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

tls.server.x509.subject.locality

地区名称 (L) 列表

类型：关键字

例如：San Francisco

tls.server.x509.subject.organization

主题的组织 (O) 列表。

类型：关键字

例如：Example, Inc.

tls.server.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型：关键字

tls.server.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

tls.server.x509.version_number

x509 格式的版本。

类型：关键字

例如：3

tls.version

从原始字符串解析的版本的数字部分。

类型：关键字

例如：1.2

tls.version_protocol

从原始字符串解析的标准化小写协议名称。

类型：关键字

例如：tls

span.id

跨度在其跟踪范围内的唯一标识符。跨度表示事务中的一个操作，例如对另一个服务的请求或数据库查询。

类型：关键字

例如：3ff9a8981b7ccd5a

trace.id

跟踪的唯一标识符。跟踪将属于一起的多个事件（如事务）分组在一起。例如，由多个互连服务处理的用户请求。

类型：关键字

例如：4bf92f3577b34da6a3ce929d0e0e4736

transaction.id

事务在其跟踪范围内的唯一标识符。事务是在服务内测量的最高级别的工作，例如对服务器的请求。

类型：关键字

例如：00f067aa0ba902b7

url

URL 字段提供对完整或部分 URL 的支持，并支持将其分解为方案、域、路径等。

url.domain

类型：关键字

示例：www.elastic.co

url.extension

类型：关键字

例如：png

url.fragment

# 之后的 URL 部分，例如“top”。 # 不是片段的一部分。

类型：关键字

url.full

如果完整 URL 对您的用例很重要，则应将它们存储在 url.full 中，无论此字段是重建的还是事件源中存在的。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top

url.full.text

类型：仅匹配文本

url.original

类型：通配符

例如： https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

url.original.text

类型：仅匹配文本

url.password

请求的密码。

类型：关键字

url.path

请求的路径，例如“/search”。

类型：通配符

url.port

请求的端口，例如 443。

类型：长整型

示例：443

格式：字符串

url.query

类型：关键字

url.registered_domain

类型：关键字

示例：example.com

url.scheme

请求的方案，例如“https”。注意：: 不是方案的一部分。

类型：关键字

例如：https

url.subdomain

类型：关键字

示例：east

url.top_level_domain

类型：关键字

示例：co.uk

url.username

请求的用户名。

类型：关键字

user

用户字段描述与事件相关的用户信息。字段可以有一个条目或多个条目。如果用户有多个 ID，请提供包含所有 ID 的数组。

user.changes.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.changes.email

用户电子邮件地址。

类型：关键字

user.changes.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

user.changes.full_name.text

类型：仅匹配文本

user.changes.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.changes.group.id

系统/平台上组的唯一标识符。

类型：关键字

user.changes.group.name

组的名称。

类型：关键字

user.changes.hash

用于以匿名形式关联用户信息的唯一用户哈希值。如果 user.id 或 user.name 包含机密信息且无法使用，则此字段很有用。

类型：关键字

user.changes.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

user.changes.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

user.changes.name.text

类型：仅匹配文本

user.changes.roles

事件发生时的用户角色数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.effective.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.effective.email

用户电子邮件地址。

类型：关键字

user.effective.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

user.effective.full_name.text

类型：仅匹配文本

user.effective.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.effective.group.id

系统/平台上组的唯一标识符。

类型：关键字

user.effective.group.name

组的名称。

类型：关键字

user.effective.hash

用于以匿名形式关联用户信息的唯一用户哈希值。如果 user.id 或 user.name 包含机密信息且无法使用，则此字段很有用。

类型：关键字

user.effective.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

user.effective.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

user.effective.name.text

类型：仅匹配文本

user.effective.roles

事件发生时的用户角色数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

user.email

用户电子邮件地址。

类型：关键字

user.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

user.full_name.text

类型：仅匹配文本

user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.group.id

系统/平台上组的唯一标识符。

类型：关键字

user.group.name

组的名称。

类型：关键字

user.hash

用于以匿名形式关联用户信息的唯一用户哈希值。如果 user.id 或 user.name 包含机密信息且无法使用，则此字段很有用。

类型：关键字

user.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

user.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

user.name.text

类型：仅匹配文本

user.roles

事件发生时的用户角色数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

user.target.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.target.email

用户电子邮件地址。

类型：关键字

user.target.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

user.target.full_name.text

类型：仅匹配文本

user.target.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.target.group.id

系统/平台上组的唯一标识符。

类型：关键字

user.target.group.name

组的名称。

类型：关键字

user.target.hash

用于以匿名形式关联用户信息的唯一用户哈希值。如果 user.id 或 user.name 包含机密信息且无法使用，则此字段很有用。

类型：关键字

user.target.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

user.target.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

user.target.name.text

类型：仅匹配文本

user.target.roles

事件发生时的用户角色数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

user_agent

user_agent 字段通常来自浏览器请求。它们经常出现在来自已解析用户代理字符串的 Web 服务日志中。

user_agent.device.name

设备名称。

类型：关键字

例如：iPhone

user_agent.name

用户代理的名称。

类型：关键字

例如：Safari

user_agent.original

未解析的 user_agent 字符串。

类型：关键字

例如：Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

user_agent.original.text

类型：仅匹配文本

user_agent.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：关键字

例如：debian

user_agent.os.full

操作系统名称，包括版本或代号。

类型：关键字

例如：Mac OS Mojave

user_agent.os.full.text

类型：仅匹配文本

user_agent.os.kernel

操作系统内核版本，以原始字符串形式表示。

类型：关键字

示例：4.4.0-112-generic

user_agent.os.name

操作系统名称，不含版本号。

类型：关键字

示例：Mac OS X

user_agent.os.name.text

类型：仅匹配文本

user_agent.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

类型：关键字

示例：darwin

user_agent.os.type

类型：关键字

示例：macos

user_agent.os.version

操作系统版本，以原始字符串形式表示。

类型：关键字

示例：10.14.1

user_agent.version

用户代理的版本。

类型：关键字

例如：12.0

vlan

VLAN 字段用于标识数据包的 802.1q 标签，以及观察者与特定数据包或连接相关的入口和出口 VLAN 关联。 Network.vlan 字段用于记录观察到的数据包或连接的单个 VLAN 标签，或者在 q-in-q 封装的情况下记录外部标签，通常由被动报告流量的网络传感器（例如 Zeek、Wireshark）提供。 Network.inner VLAN 字段用于报告观察到的内部 q-in-q 802.1q 标签（多个 802.1q 封装），通常由被动报告流量的网络传感器（例如 Zeek、Wireshark）提供。 Network.inner VLAN 字段应仅与 network.vlan 字段一起使用，以指示 q-in-q 标记。当观察者事件包含离散的入口和出口 VLAN 信息时，使用 Observer.ingress 和 observer.egress VLAN 值来记录特定于观察者的信息，这些信息通常由防火墙、路由器或负载均衡器提供。

vlan.id

观察者报告的 VLAN ID。

类型：关键字

示例：10

vlan.name

观察者报告的可选 VLAN 名称。

类型：关键字

示例：外部

vulnerability

漏洞字段描述与事件相关的漏洞信息。

vulnerability.category

漏洞影响的系统或体系结构类型。这些可能是特定于平台的（例如，Debian 或 SUSE）或通用的（例如，数据库或防火墙）。例如（Qualys 漏洞类别）此字段必须是数组。

类型：关键字

例如：["Firewall"]

vulnerability.classification

漏洞评分系统的分类。例如（https://www.first.org/cvss/）

类型：关键字

例如：CVSS

vulnerability.description

提供漏洞附加上下文的漏洞描述。例如（常见漏洞和暴露 CVE 描述）

类型：关键字

例如：在 2.12.6 之前的 macOS 中，RPC 中存在漏洞……

vulnerability.description.text

类型：仅匹配文本

vulnerability.enumeration

用于此漏洞的标识符类型。例如（https://cve.mitre.org/about/）

类型：关键字

例如：CVE

vulnerability.id

标识 (ID) 是漏洞条目中的数字部分。它包含漏洞的唯一标识号。例如（常见漏洞和暴露 CVE ID）

类型：关键字

例如：CVE-2019-00001

vulnerability.reference

提供有关已识别漏洞的更多信息、上下文和缓解措施的资源。

类型：关键字

例如：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6111

vulnerability.report_id

报告或扫描标识号。

类型：关键字

例如：20191018.0001

vulnerability.scanner.vendor

漏洞扫描器供应商的名称。

类型：关键字

例如：Tenable

vulnerability.score.base

分数范围从 0.0 到 10.0，其中 10.0 最严重。基本分数涵盖对可利用性指标（攻击向量、复杂性、权限和用户交互）、影响指标（机密性、完整性和可用性）和范围的评估。例如（https://www.first.org/cvss/specification-document）

类型：float

例如：5.5

vulnerability.score.environmental

分数范围从 0.0 到 10.0，其中 10.0 最严重。环境分数涵盖对任何修改后的基本指标、机密性、完整性和可用性要求的评估。例如（https://www.first.org/cvss/specification-document）

类型：float

例如：5.5

vulnerability.score.temporal

分数范围从 0.0 到 10.0，其中 10.0 最严重。时间分数涵盖对代码成熟度、修复级别和置信度的评估。例如（https://www.first.org/cvss/specification-document）

类型：float

vulnerability.score.version

除了 CVSS v3.0 规范中定义的 CVSS v3.0 严重性等级之外，国家漏洞数据库 (NVD) 还为 CVSS v2.0 基本分数范围提供了“低”、“中”和“高”的定性严重性等级。 CVSS 由美国非营利组织 FIRST.Org, Inc. (FIRST) 拥有和管理，其使命是帮助全球的计算机安全事件响应团队。例如（https://nvd.nist.gov/vuln-metrics/cvss）

类型：关键字

例如：2.0

vulnerability.severity

漏洞的严重程度有助于有关修复的指标和内部优先级排序。例如（https://nvd.nist.gov/vuln-metrics/cvss）

类型：关键字

例如：严重

x509

这实现了 x509 证书的通用核心字段。此信息可能会记录在 TLS 会话、可执行二进制文件中的数字签名、电子邮件正文中的 S/MIME 信息或磁盘上文件的分析中。当证书与文件相关时，请使用 file.x509 处的字段。当 DER 编码证书的哈希可用时，还应填充 hash 数据集（例如 file.hash.sha256）。包含有关网络连接的证书信息的事件应使用相关 TLS 字段下的 x509 字段：tls.server.x509 和/或 tls.client.x509。

x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：关键字

例如：*.elastic.co

x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型：关键字

例如：Example SHA2 High Assurance Server CA

x509.issuer.country

国家/地区代码（C）列表

类型：关键字

例如：US

x509.issuer.distinguished_name

颁发证书颁发机构的标识名 (DN)。

类型：关键字

例如：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

x509.issuer.locality

地区名称 (L) 列表

类型：关键字

例如：Mountain View

x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

例如：Example Inc

x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

x509.not_after

证书不再被视为有效的时间。

类型：日期

例如：2020-07-16 03:15:39+00:00

x509.not_before

证书首次被视为有效的时间。

类型：日期

例如：2019-08-16 01:40:25+00:00

x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

例如：RSA

x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：关键字

例如：nistp521

x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型：长整型

例如：65537

字段未编入索引。

x509.public_key_size

公钥空间的大小（以位为单位）。

类型：长整型

例如：2048

x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应将其格式设置为不带冒号和大写字符。

类型：关键字

例如：55FBB9C7DEBF09809D12CCAA

x509.signature_algorithm

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

例如：SHA256-RSA

x509.subject.common_name

主题的通用名称 (CN) 列表。

类型：关键字

例如：shared.global.example.net

x509.subject.country

国家/地区代码 (C) 列表

类型：关键字

例如：US

x509.subject.distinguished_name

证书主题实体的标识名 (DN)。

类型：关键字

例如：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

x509.subject.locality

地区名称 (L) 列表

类型：关键字

例如：San Francisco

x509.subject.organization

主题的组织 (O) 列表。

类型：关键字

例如：Example, Inc.

x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型：关键字

x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

例如：California

x509.version_number

x509 格式的版本。

类型：关键字

例如：3

« Docker 字段文件完整性字段 »