以下是系统模块生成的字段。
-
event.origin -
事件的来源。这可以是文件路径(例如
/var/log/log.1),也可以是提供数据的系统组件的名称(例如netlink)。类型:keyword
-
user.entity_id -
唯一标识主机上用户的 ID。它是主机 ID、用户 ID 和用户名进行 SHA-256 哈希运算后得到的。
类型:keyword
-
user.terminal -
用户的终端。
类型:keyword
-
process.thread.capabilities.effective -
这是内核用来对线程执行权限检查的权限集。
类型:keyword
示例:["CAP_BPF", "CAP_SYS_ADMIN"]
-
process.thread.capabilities.permitted -
这是线程可以假定的有效权限的限制超集。
类型:keyword
示例:["CAP_BPF", "CAP_SYS_ADMIN"]
哈希
可执行文件的哈希值。键是算法名称,值是十六进制编码的摘要值。
-
process.hash.blake2b_256 -
可执行文件的 BLAKE2b-256 哈希值。
类型:keyword
-
process.hash.blake2b_384 -
可执行文件的 BLAKE2b-384 哈希值。
类型:keyword
-
process.hash.blake2b_512 -
可执行文件的 BLAKE2b-512 哈希值。
类型:keyword
-
process.hash.sha224 -
可执行文件的 SHA224 哈希值。
类型:keyword
-
process.hash.sha384 -
可执行文件的 SHA384 哈希值。
类型:keyword
-
process.hash.sha3_224 -
可执行文件的 SHA3_224 哈希值。
类型:keyword
-
process.hash.sha3_256 -
可执行文件的 SHA3_256 哈希值。
类型:keyword
-
process.hash.sha3_384 -
可执行文件的 SHA3_384 哈希值。
类型:keyword
-
process.hash.sha3_512 -
可执行文件的 SHA3_512 哈希值。
类型:keyword
-
process.hash.sha512_224 -
可执行文件的 SHA512/224 哈希值。
类型:keyword
-
process.hash.sha512_256 -
可执行文件的 SHA512/256 哈希值。
类型:keyword
-
process.hash.xxh64 -
可执行文件的 XX64 哈希值。
类型:keyword
system.audit
主机
host 包含常规主机信息。
-
system.audit.host.uptime -
正常运行时间(以纳秒为单位)。
类型:long
格式:duration
-
system.audit.host.boottime -
启动时间。
类型:date
-
system.audit.host.containerized -
如果主机是容器,则设置此项。
类型:boolean
-
system.audit.host.timezone.name -
主机时区的名称,例如 BST。
类型:keyword
-
system.audit.host.timezone.offset.sec -
时区偏移量(以秒为单位)。
类型:long
-
system.audit.host.hostname -
主机名。
类型:keyword
-
system.audit.host.id -
主机 ID。
类型:keyword
-
system.audit.host.architecture -
主机架构(例如 x86_64)。
类型:keyword
-
system.audit.host.mac -
MAC 地址。
类型:keyword
-
system.audit.host.ip -
IP 地址。
类型:ip
操作系统
os 包含有关操作系统的的信息。
-
system.audit.host.os.codename -
操作系统代号(如果有)(例如 stretch)。
类型:keyword
-
system.audit.host.os.platform -
操作系统平台(例如 centos、ubuntu、windows)。
类型:keyword
-
system.audit.host.os.name -
操作系统名称(例如 Mac OS X)。
类型:keyword
-
system.audit.host.os.family -
操作系统系列(例如 redhat、debian、freebsd、windows)。
类型:keyword
-
system.audit.host.os.version -
操作系统版本。
类型:keyword
-
system.audit.host.os.kernel -
操作系统的内核版本。
类型:keyword
-
system.audit.host.os.type -
操作系统类型(请参阅 ECS os.type)。
类型:keyword
程序包
package 包含有关已安装或已删除程序包的信息。
-
system.audit.package.entity_id -
唯一标识程序包的 ID。它是主机 ID、程序包名称和程序包版本进行 SHA-256 哈希运算后得到的。
类型:keyword
-
system.audit.package.name -
程序包名称。
类型:keyword
-
system.audit.package.version -
程序包版本。
类型:keyword
-
system.audit.package.release -
程序包发行版。
类型:keyword
-
system.audit.package.arch -
程序包架构。
类型:keyword
-
system.audit.package.license -
程序包许可证。
类型:keyword
-
system.audit.package.installtime -
程序包安装时间。
类型:date
-
system.audit.package.size -
程序包大小。
类型:long
-
system.audit.package.summary -
程序包摘要。
-
system.audit.package.url -
程序包 URL。
类型:keyword
用户
user 包含有关系统上用户的信息。
-
system.audit.user.name -
用户名。
类型:keyword
-
system.audit.user.uid -
用户 ID。
类型:keyword
-
system.audit.user.gid -
组 ID。
类型:keyword
-
system.audit.user.dir -
用户的主目录。
类型:keyword
-
system.audit.user.shell -
登录时要运行的程序。
类型:keyword
-
system.audit.user.user_information -
常规用户信息。在 Linux 上,这是 gecos 字段。
类型:keyword
-
system.audit.user.group -
group包含有关用户所属的任何组的信息(用户的初始组除外)。类型:object
密码
password 包含有关用户密码的信息(不是密码本身)。
-
system.audit.user.password.type -
用户的密码类型。可能的值包括
shadow_password(密码哈希值位于影子文件中)、password_disabled、no_password(这很危险,因为任何人都可以登录)和crypt_password(当 /etc/passwd 中的密码字段似乎包含加密密码时)。类型:keyword
-
system.audit.user.password.last_changed -
用户密码上次更改的日期。
类型:date