« ECS 字段 主机字段 »
Elastic 文档 Auditbeat 参考 [8.14] 导出字段

文件完整性字段

文件完整性字段

这些是由 file_integrity 模块生成的字段。

file

文件属性。

elf

这些字段包含 Linux 可执行链接格式 (ELF) 元数据。

file.elf.go_imports

导入的 Go 语言元素名称和类型列表。

类型:扁平化

file.elf.go_imports_names_entropy

根据 Go 导入列表计算的香农熵。

类型:长整型

格式:数字

file.elf.go_imports_names_var_entropy

根据 Go 导入列表计算的香农熵的方差。

类型:长整型

格式:数字

file.elf.go_import_hash

ELF 文件中 Go 语言导入的哈希值,不包括标准库导入。导入哈希可用于对二进制文件进行指纹识别,即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)之后也是如此。用于计算 Go 符号哈希的算法和参考实现可在此处找到 [https://github.com/elastic/toutoumomoma]。

类型:关键字

示例:10bddcb4cee42080f76c88d9ff964491

file.elf.go_stripped

如果文件是已删除或混淆其符号的 Go 可执行文件,则设置为 true;如果未混淆的 Go 可执行文件,则设置为 false。

类型:布尔值

file.elf.imports_names_entropy

根据导入的元素名称和类型列表计算的香农熵。

类型:长整型

格式:数字

file.elf.imports_names_var_entropy

根据导入的元素名称和类型列表计算的香农熵的方差。

类型:长整型

格式:数字

file.elf.import_hash

ELF 文件中导入的哈希值。导入哈希可用于对二进制文件进行指纹识别,即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)之后也是如此。这是 Windows PE imphash 的 ELF 实现。

类型:关键字

示例:d41d8cd98f00b204e9800998ecf8427e

file.elf.sections.var_entropy

根据该部分计算的香农熵的方差。

类型:长整型

格式:数字

macho

这些字段包含 Mach 对象文件格式 (Mach-O) 元数据。

file.macho.go_imports

导入的 Go 语言元素名称和类型列表。

类型:扁平化

file.macho.go_imports_names_entropy

根据 Go 导入列表计算的香农熵。

类型:长整型

格式:数字

file.macho.go_imports_names_var_entropy

根据 Go 导入列表计算的香农熵的方差。

类型:长整型

格式:数字

file.macho.go_import_hash

Mach-O 文件中 Go 语言导入的哈希值,不包括标准库导入。导入哈希可用于对二进制文件进行指纹识别,即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)之后也是如此。用于计算 Go 符号哈希的算法和参考实现可在此处找到 [https://github.com/elastic/toutoumomoma]。

类型:关键字

示例:10bddcb4cee42080f76c88d9ff964491

file.macho.go_stripped

如果文件是已删除或混淆其符号的 Go 可执行文件,则设置为 true;如果未混淆的 Go 可执行文件,则设置为 false。

类型:布尔值

file.macho.imports

导入的元素名称和类型列表。

类型:扁平化

file.macho.imports_names_entropy

根据导入的元素名称和类型列表计算的香农熵。

类型:长整型

格式:数字

file.macho.imports_names_var_entropy

根据导入的元素名称和类型列表计算的香农熵的方差。

类型:长整型

格式:数字

file.macho.import_hash

Mach-O 文件中导入的哈希值。导入哈希可用于对二进制文件进行指纹识别,即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)之后也是如此。这是 symhash 的同义词。

类型:关键字

示例:d3ccf195b62a9279c3c19af1080497ec

file.macho.sections

一个数组,其中包含 Mach-O 文件每个部分的对象。应存在于这些对象中的键由 macho.sections.* 下的子字段定义。

类型:嵌套

file.macho.sections.entropy

根据该部分计算的香农熵。

类型:长整型

格式:数字

file.macho.sections.var_entropy

根据该部分计算的香农熵的方差。

类型:长整型

格式:数字

file.macho.sections.name

Mach-O 部分列表名称。

类型:关键字

file.macho.sections.physical_size

Mach-O 部分列表物理大小。

类型:长整型

格式:字符串

file.macho.sections.virtual_size

Mach-O 部分列表虚拟大小。

类型:长整型

格式:字符串

file.macho.symhash

Mach-O 文件中导入的哈希值。导入哈希可用于对二进制文件进行指纹识别,即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)之后也是如此。

类型:关键字

示例:d3ccf195b62a9279c3c19af1080497ec

pe

这些字段包含 Windows 可移植可执行文件 (PE) 元数据。

file.pe.go_imports

导入的 Go 语言元素名称和类型列表。

类型:扁平化

file.pe.go_imports_names_entropy

根据 Go 导入列表计算的香农熵。

类型:长整型

格式:数字

file.pe.go_imports_names_var_entropy

根据 Go 导入列表计算的香农熵的方差。

类型:长整型

格式:数字

file.pe.go_import_hash

PE 文件中 Go 语言导入的哈希值,不包括标准库导入。导入哈希可用于对二进制文件进行指纹识别,即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)之后也是如此。用于计算 Go 符号哈希的算法和参考实现可在此处找到 [https://github.com/elastic/toutoumomoma]。

类型:关键字

示例:10bddcb4cee42080f76c88d9ff964491

file.pe.go_stripped

如果文件是已删除或混淆其符号的 Go 可执行文件,则设置为 true;如果未混淆的 Go 可执行文件,则设置为 false。

类型:布尔值

file.pe.imports

导入的元素名称和类型列表。

类型:扁平化

file.pe.imports_names_entropy

根据导入的元素名称和类型列表计算的香农熵。

类型:长整型

格式:数字

file.pe.imports_names_var_entropy

根据导入的元素名称和类型列表计算的香农熵的方差。

类型:长整型

格式:数字

file.pe.import_hash

PE 文件中导入的哈希值。导入哈希可用于对二进制文件进行指纹识别,即使在重新编译或发生其他代码级转换(这会更改更传统的哈希值)之后也是如此。这是 imphash 的同义词。

类型:关键字

file.pe.sections

一个数组,其中包含 ELF 文件每个部分的对象。应存在于这些对象中的键由 pe.sections.* 下的子字段定义。

类型:嵌套

file.pe.sections.entropy

根据该部分计算的香农熵。

类型:长整型

格式:数字

file.pe.sections.var_entropy

根据该部分计算的香农熵的方差。

类型:长整型

格式:数字

file.pe.sections.name

PE 部分列表名称。

类型:关键字

file.pe.sections.physical_size

PE 部分列表物理大小。

类型:长整型

格式:字符串

file.pe.sections.virtual_size

PE 部分列表虚拟大小。

类型:长整型

格式:字符串

hash

文件的哈希值。键是算法名称,值是十六进制编码的摘要值。

hash.blake2b_256

文件的 BLAKE2b-256 哈希值。

类型:关键字

hash.blake2b_384

文件的 BLAKE2b-384 哈希值。

类型:关键字

hash.blake2b_512

文件的 BLAKE2b-512 哈希值。

类型:关键字

hash.md5

文件的 MD5 哈希值。

类型:关键字

hash.sha1

文件的 SHA1 哈希值。

类型:关键字

hash.sha224

文件的 SHA224 哈希值。

类型:关键字

hash.sha256

文件的 SHA256 哈希值。

类型:关键字

hash.sha384

文件的 SHA384 哈希值。

类型:关键字

hash.sha3_224

文件的 SHA3_224 哈希值。

类型:关键字

hash.sha3_256

文件的 SHA3_256 哈希值。

类型:关键字

hash.sha3_384

文件的 SHA3_384 哈希值。

类型:关键字

hash.sha3_512

文件的 SHA3_512 哈希值。

类型:关键字

hash.sha512

文件的 SHA512 哈希值。

类型:关键字

hash.sha512_224

文件的 SHA512/224 哈希值。

类型:关键字

hash.sha512_256

文件的 SHA512/256 哈希值。

类型:关键字

hash.xxh64

文件的 XX64 哈希值。

类型:关键字

« ECS 字段 主机字段 »