通用事件格式 (CEF) 数据。
默认情况下,decode_cef 处理器会将 CEF 消息中的所有数据写入此 cef 对象。它包含 CEF 头字段和扩展数据。
-
cef.version -
消息使用的 CEF 规范版本。
类型:keyword
-
cef.device.vendor -
生成消息的设备厂商。
类型:keyword
-
cef.device.product -
生成消息的设备产品。
类型:keyword
-
cef.device.version -
生成消息的产品版本。
类型:keyword
-
cef.device.event_class_id -
事件类型的唯一标识符。
类型:keyword
-
cef.severity -
事件的重要性。有效的字符串值包括 Unknown、Low、Medium、High 和 Very-High。有效的整数值为 0-3=Low,4-6=Medium,7-8=High,以及 9-10=Very-High。
类型:keyword
示例:Very-High
-
cef.name -
事件的简短描述。
类型:keyword
CEF 扩展字段中携带的键值对集合。
-
cef.extensions.agentAddress -
处理事件的 ArcSight 连接器的 IP 地址。
类型:ip
-
cef.extensions.agentDnsDomain -
处理事件的 ArcSight 连接器的 DNS 域名。
类型:keyword
-
cef.extensions.agentHostName -
处理事件的 ArcSight 连接器的主机名。
类型:keyword
-
cef.extensions.agentId -
处理事件的 ArcSight 连接器的代理 ID。
类型:keyword
-
cef.extensions.agentMacAddress -
处理事件的 ArcSight 连接器的 MAC 地址。
类型:keyword
-
cef.extensions.agentNtDomain -
无
类型:keyword
-
cef.extensions.agentReceiptTime -
ArcSight 连接器接收有关事件的信息的时间。
类型:date
-
cef.extensions.agentTimeZone -
处理事件的 ArcSight 连接器的代理时区。
类型:keyword
-
cef.extensions.agentTranslatedAddress -
无
类型:ip
-
cef.extensions.agentTranslatedZoneExternalID -
无
类型:keyword
-
cef.extensions.agentTranslatedZoneURI -
无
类型:keyword
-
cef.extensions.agentType -
处理事件的 ArcSight 连接器的代理类型
类型:keyword
-
cef.extensions.agentVersion -
处理事件的 ArcSight 连接器的版本。
类型:keyword
-
cef.extensions.agentZoneExternalID -
无
类型:keyword
-
cef.extensions.agentZoneURI -
无
类型:keyword
-
cef.extensions.applicationProtocol -
应用层协议,例如 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等。
类型:keyword
-
cef.extensions.baseEventCount -
与该事件关联的计数。观察到相同的事件多少次?如果为 1,则可以省略计数。
类型:long
-
cef.extensions.bytesIn -
传入传输的字节数,相对于源到目标的关系,这意味着数据从源流向目标。
类型:long
-
cef.extensions.bytesOut -
相对于源到目标关系传出的字节数。例如,从目标到源的数据的字节数。
类型:long
-
cef.extensions.customerExternalID -
无
类型:keyword
-
cef.extensions.customerURI -
无
类型:keyword
-
cef.extensions.destinationAddress -
标识事件在 IP 网络中引用的目标地址。格式为 IPv4 地址。
类型:ip
-
cef.extensions.destinationDnsDomain -
完整完全限定域名 (FQDN) 的 DNS 域名部分。
类型:keyword
-
cef.extensions.destinationGeoLatitude -
目标 IP 地址所属的纬度值。
类型:double
-
cef.extensions.destinationGeoLongitude -
目标 IP 地址所属的经度值。
类型:double
-
cef.extensions.destinationHostName -
标识事件在 IP 网络中引用的目标。当节点可用时,格式应为与目标节点关联的完全限定域名 (FQDN)。
类型:keyword
-
cef.extensions.destinationMacAddress -
六个冒号分隔的十六进制数字。
类型:keyword
-
cef.extensions.destinationNtDomain -
目标地址的 Windows 域名。
类型:keyword
-
cef.extensions.destinationPort -
有效的端口号介于 0 和 65535 之间。
类型:long
-
cef.extensions.destinationProcessId -
提供与事件关联的目标进程的 ID。例如,如果事件包含进程 ID 105,“105”就是进程 ID。
类型:long
-
cef.extensions.destinationProcessName -
事件的目标进程的名称。
类型:keyword
-
cef.extensions.destinationServiceName -
此事件的目标服务。
类型:keyword
-
cef.extensions.destinationTranslatedAddress -
标识事件在 IP 网络中引用的已转换目标。
类型:ip
-
cef.extensions.destinationTranslatedPort -
转换后的端口;例如,防火墙。有效的端口号为 0 到 65535。
类型:long
-
cef.extensions.destinationTranslatedZoneExternalID -
无
类型:keyword
-
cef.extensions.destinationTranslatedZoneURI -
目标资产已在 ArcSight 中分配到的已转换区域的 URI。
类型:keyword
-
cef.extensions.destinationUserId -
通过 ID 标识目标用户。例如,在 UNIX 中,root 用户通常与用户 ID 0 关联。
类型:keyword
-
cef.extensions.destinationUserName -
通过名称标识目标用户。这是与事件的目标关联的用户。电子邮件地址通常映射到 UserName 字段。收件人是放入此字段的候选者。
类型:keyword
-
cef.extensions.destinationUserPrivileges -
典型值为“管理员”、“用户”和“访客”。这标识目标用户的权限。例如,在 UNIX 中,在 root 用户上执行的活动将使用“管理员”的目标用户权限进行标识。
类型:keyword
-
cef.extensions.destinationZoneExternalID -
无
类型:keyword
-
cef.extensions.destinationZoneURI -
目标资产已在 ArcSight 中分配到的区域的 URI。
类型:keyword
-
cef.extensions.deviceAction -
设备采取的操作。
类型:keyword
-
cef.extensions.deviceAddress -
标识事件在 IP 网络中引用的设备地址。
类型:ip
-
cef.extensions.deviceCustomFloatingPoint1Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomFloatingPoint3Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomFloatingPoint4Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomDate1 -
可用于映射不适用于此字典中任何其他字段的字段的两个时间戳字段之一。
类型:date
-
cef.extensions.deviceCustomDate1Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomDate2 -
可用于映射不适用于此字典中任何其他字段的字段的两个时间戳字段之一。
类型:date
-
cef.extensions.deviceCustomDate2Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomFloatingPoint1 -
可用于映射不适用于此字典中任何其他字段的字段的四个浮点字段之一。
类型:double
-
cef.extensions.deviceCustomFloatingPoint2 -
可用于映射不适用于此字典中任何其他字段的字段的四个浮点字段之一。
类型:double
-
cef.extensions.deviceCustomFloatingPoint2Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomFloatingPoint3 -
可用于映射不适用于此字典中任何其他字段的字段的四个浮点字段之一。
类型:double
-
cef.extensions.deviceCustomFloatingPoint4 -
可用于映射不适用于此字典中任何其他字段的字段的四个浮点字段之一。
类型:double
-
cef.extensions.deviceCustomIPv6Address1 -
可用于映射不适用于此字典中任何其他字段的字段的四个 IPv6 地址字段之一。
类型:ip
-
cef.extensions.deviceCustomIPv6Address1Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomIPv6Address2 -
可用于映射不适用于此字典中任何其他字段的字段的四个 IPv6 地址字段之一。
类型:ip
-
cef.extensions.deviceCustomIPv6Address2Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomIPv6Address3 -
可用于映射不适用于此字典中任何其他字段的字段的四个 IPv6 地址字段之一。
类型:ip
-
cef.extensions.deviceCustomIPv6Address3Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomIPv6Address4 -
可用于映射不适用于此字典中任何其他字段的字段的四个 IPv6 地址字段之一。
类型:ip
-
cef.extensions.deviceCustomIPv6Address4Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomNumber1 -
可用于映射不适用于此字典中任何其他字段的字段的三个数字字段之一。谨慎使用,并在可能的情况下查找更具体的字典提供的字段。
类型:long
-
cef.extensions.deviceCustomNumber1Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomNumber2 -
可用于映射不适用于此字典中任何其他字段的字段的三个数字字段之一。谨慎使用,并在可能的情况下查找更具体的字典提供的字段。
类型:long
-
cef.extensions.deviceCustomNumber2Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomNumber3 -
可用于映射不适用于此字典中任何其他字段的字段的三个数字字段之一。谨慎使用,并在可能的情况下查找更具体的字典提供的字段。
类型:long
-
cef.extensions.deviceCustomNumber3Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomString1 -
可用于映射不适用于此字典中任何其他字段的字段的六个字符串之一。谨慎使用,并在可能的情况下查找更具体的字典提供的字段。
类型:keyword
-
cef.extensions.deviceCustomString1Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomString2 -
可用于映射不适用于此字典中任何其他字段的字段的六个字符串之一。谨慎使用,并在可能的情况下查找更具体的字典提供的字段。
类型:keyword
-
cef.extensions.deviceCustomString2Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomString3 -
可用于映射不适用于此字典中任何其他字段的字段的六个字符串之一。谨慎使用,并在可能的情况下查找更具体的字典提供的字段。
类型:keyword
-
cef.extensions.deviceCustomString3Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomString4 -
可用于映射不适用于此字典中任何其他字段的字段的六个字符串之一。谨慎使用,并在可能的情况下查找更具体的字典提供的字段。
类型:keyword
-
cef.extensions.deviceCustomString4Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomString5 -
可用于映射不适用于此字典中任何其他字段的字段的六个字符串之一。谨慎使用,并在可能的情况下查找更具体的字典提供的字段。
类型:keyword
-
cef.extensions.deviceCustomString5Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceCustomString6 -
可用于映射不适用于此字典中任何其他字段的字段的六个字符串之一。谨慎使用,并在可能的情况下查找更具体的字典提供的字段。
类型:keyword
-
cef.extensions.deviceCustomString6Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceDirection -
有关观察到的通信所采取的方向的任何信息。支持以下值 - “0”表示入站或“1”表示出站。
类型:long
-
cef.extensions.deviceDnsDomain -
完整完全限定域名 (FQDN) 的 DNS 域名部分。
类型:keyword
-
cef.extensions.deviceEventCategory -
表示源设备分配的类别。设备通常使用自己的分类模式对事件进行分类。例如,“/Monitor/Disk/Read”。
类型:keyword
-
cef.extensions.deviceExternalId -
唯一标识生成此事件的设备的名称。
类型:keyword
-
cef.extensions.deviceFacility -
生成此事件的设备。例如,Syslog 为每个事件关联了一个明确的设备。
类型:keyword
-
cef.extensions.deviceFlexNumber1 -
可用于映射不适用于此字典中任何其他字段的字段的两个替代数字字段之一。谨慎使用,并在可能的情况下查找更具体的字典提供的字段。
类型:long
-
cef.extensions.deviceFlexNumber1Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceFlexNumber2 -
可用于映射不适用于此字典中任何其他字段的字段的两个替代数字字段之一。谨慎使用,并在可能的情况下查找更具体的字典提供的字段。
类型:long
-
cef.extensions.deviceFlexNumber2Label -
所有自定义字段都有一个相应的标签字段。这些字段中的每一个都是一个字符串,并描述自定义字段的目的。
类型:keyword
-
cef.extensions.deviceHostName -
格式应为与设备节点关联的完全限定域名 (FQDN),当节点可用时。
类型:keyword
-
cef.extensions.deviceInboundInterface -
数据包或数据进入设备的接口。
类型:keyword
-
cef.extensions.deviceMacAddress -
六个冒号分隔的十六进制数字。
类型:keyword
-
cef.extensions.deviceNtDomain -
设备地址的 Windows 域名。
类型:keyword
-
cef.extensions.deviceOutboundInterface -
数据包或数据离开设备的接口。
类型:keyword
-
cef.extensions.devicePayloadId -
与事件关联的有效负载的唯一标识符。
类型:keyword
-
cef.extensions.deviceProcessId -
提供生成事件的设备上进程的 ID。
类型:long
-
cef.extensions.deviceProcessName -
与事件关联的进程名称。例如,在 UNIX 中生成 syslog 条目的进程。
类型:keyword
-
cef.extensions.deviceReceiptTime -
接收与活动相关的事件的时间。格式为 MMM dd yyyy HH:mm:ss 或自纪元(1970 年 1 月 1 日)以来的毫秒数
类型:date
-
cef.extensions.deviceTimeZone -
生成事件的设备的时区。
类型:keyword
-
cef.extensions.deviceTranslatedAddress -
标识事件在 IP 网络中引用的已转换设备地址。
类型:ip
-
cef.extensions.deviceTranslatedZoneExternalID -
无
类型:keyword
-
cef.extensions.deviceTranslatedZoneURI -
设备资产已在 ArcSight 中分配到的已转换区域的 URI。
类型:keyword
-
cef.extensions.deviceZoneExternalID -
无
类型:keyword
-
cef.extensions.deviceZoneURI -
设备资产已在 ArcSight 中分配到的区域的 URI。
类型:keyword
-
cef.extensions.endTime -
与事件相关的活动结束时间。格式为 MMM dd yyyy HH:mm:ss 或自纪元(1970年1月1日)以来的毫秒数。例如,报告会话结束时间。
类型:date
-
cef.extensions.eventId -
这是 ArcSight 为每个事件分配的唯一 ID。
类型:long
-
cef.extensions.eventOutcome -
显示结果,通常为成功或失败。
类型:keyword
-
cef.extensions.externalId -
源设备使用的 ID。通常是递增的数字,与事件相关联。
类型:keyword
-
cef.extensions.fileCreateTime -
文件创建时间。
类型:date
-
cef.extensions.fileHash -
文件的哈希值。
类型:keyword
-
cef.extensions.fileId -
与文件关联的 ID,可能是 inode。
类型:keyword
-
cef.extensions.fileModificationTime -
文件最后修改时间。
类型:date
-
cef.extensions.filename -
仅文件名(不含路径)。
类型:keyword
-
cef.extensions.filePath -
文件的完整路径,包括文件名本身。
类型:keyword
-
cef.extensions.filePermission -
文件的权限。
类型:keyword
-
cef.extensions.fileSize -
文件大小。
类型:long
-
cef.extensions.fileType -
文件类型(管道、套接字等)。
类型:keyword
-
cef.extensions.flexDate1 -
一个时间戳字段,用于映射不适用于此字典中任何其他已定义时间戳字段的时间戳。谨慎使用所有 flex 字段,并在可能的情况下寻找更具体的字典提供的字段。这些字段通常保留供客户使用,除非必要,否则不应由供应商设置。
类型:date
-
cef.extensions.flexDate1Label -
标签字段是一个字符串,描述 flex 字段的用途。
类型:keyword
-
cef.extensions.flexString1 -
四个浮点字段之一,用于映射不适用于此字典中任何其他字段的字段。谨慎使用,并在可能的情况下寻找更具体的字典提供的字段。这些字段通常保留供客户使用,除非必要,否则不应由供应商设置。
类型:keyword
-
cef.extensions.flexString2 -
四个浮点字段之一,用于映射不适用于此字典中任何其他字段的字段。谨慎使用,并在可能的情况下寻找更具体的字典提供的字段。这些字段通常保留供客户使用,除非必要,否则不应由供应商设置。
类型:keyword
-
cef.extensions.flexString1Label -
标签字段是一个字符串,描述 flex 字段的用途。
类型:keyword
-
cef.extensions.flexString2Label -
标签字段是一个字符串,描述 flex 字段的用途。
类型:keyword
-
cef.extensions.message -
任意消息,提供有关事件的更多详细信息。可以使用 \n 作为换行符生成多行条目。
类型:keyword
-
cef.extensions.oldFileCreateTime -
旧文件创建时间。
类型:date
-
cef.extensions.oldFileHash -
旧文件的哈希值。
类型:keyword
-
cef.extensions.oldFileId -
与旧文件关联的 ID,可能是 inode。
类型:keyword
-
cef.extensions.oldFileModificationTime -
旧文件最后修改时间。
类型:date
-
cef.extensions.oldFileName -
旧文件名。
类型:keyword
-
cef.extensions.oldFilePath -
旧文件的完整路径,包括文件名本身。
类型:keyword
-
cef.extensions.oldFilePermission -
旧文件的权限。
类型:keyword
-
cef.extensions.oldFileSize -
旧文件大小。
类型:long
-
cef.extensions.oldFileType -
旧文件类型(管道、套接字等)。
类型:keyword
-
cef.extensions.rawEvent -
无
类型:keyword
-
cef.extensions.Reason -
生成审核事件的原因。例如“密码错误”或“未知用户”。这也可以是错误代码或返回代码。例如“0x1234”。
类型:keyword
-
cef.extensions.requestClientApplication -
与请求关联的用户代理。
类型:keyword
-
cef.extensions.requestContext -
请求来源内容的描述(例如,HTTP Referrer)。
类型:keyword
-
cef.extensions.requestCookies -
与请求关联的 Cookie。
类型:keyword
-
cef.extensions.requestMethod -
用于访问 URL 的 HTTP 方法。
类型:keyword
-
cef.extensions.requestUrl -
对于 HTTP 请求,此字段包含访问的 URL。URL 应包含协议。
类型:keyword
-
cef.extensions.sourceAddress -
标识事件在 IP 网络中引用的源。
类型:ip
-
cef.extensions.sourceDnsDomain -
完整完全限定域名 (FQDN) 的 DNS 域名部分。
类型:keyword
-
cef.extensions.sourceGeoLatitude -
无
类型:double
-
cef.extensions.sourceGeoLongitude -
无
类型:double
-
cef.extensions.sourceHostName -
标识事件在 IP 网络中引用的源。当可用模式时,格式应为与源节点关联的完全限定域名 (FQDN)。例如:主机或host.domain.com。
类型:keyword
-
cef.extensions.sourceMacAddress -
六个冒号分隔的十六进制数字。
类型:keyword
例如:00:0d:60:af:1b:61
-
cef.extensions.sourceNtDomain -
源地址的 Windows 域名。
类型:keyword
-
cef.extensions.sourcePort -
有效的端口号为 0 到 65535。
类型:long
-
cef.extensions.sourceProcessId -
与事件关联的源进程的 ID。
类型:long
-
cef.extensions.sourceProcessName -
事件源进程的名称。
类型:keyword
-
cef.extensions.sourceServiceName -
负责生成此事件的服务。
类型:keyword
-
cef.extensions.sourceTranslatedAddress -
标识事件在 IP 网络中引用的转换后的源。
类型:ip
-
cef.extensions.sourceTranslatedPort -
例如,防火墙转换后的端口号。有效的端口号为 0 到 65535。
类型:long
-
cef.extensions.sourceTranslatedZoneExternalID -
无
类型:keyword
-
cef.extensions.sourceTranslatedZoneURI -
目标资产已在 ArcSight 中分配到的已转换区域的 URI。
类型:keyword
-
cef.extensions.sourceUserId -
通过 ID 标识源用户。这是与事件源关联的用户。例如,在 UNIX 中,root 用户通常与用户 ID 0 关联。
类型:keyword
-
cef.extensions.sourceUserName -
通过名称标识源用户。电子邮件地址也映射到 UserName 字段。发送者是放入此字段的候选者。
类型:keyword
-
cef.extensions.sourceUserPrivileges -
典型值为“管理员”、“用户”和“访客”。它标识源用户的权限。例如,在 UNIX 中,由 root 用户执行的活动将被标识为“管理员”。
类型:keyword
-
cef.extensions.sourceZoneExternalID -
无
类型:keyword
-
cef.extensions.sourceZoneURI -
源资产已在 ArcSight 中分配到的区域的 URI。
类型:keyword
-
cef.extensions.startTime -
事件引用的活动开始时间。格式为 MMM dd yyyy HH:mm:ss 或自纪元(1970年1月1日)以来的毫秒数。
类型:date
-
cef.extensions.transportProtocol -
标识使用的第 4 层协议。可能的值是 TCP 或 UDP 等协议。
类型:keyword
-
cef.extensions.type -
0 表示基本事件,1 表示聚合事件,2 表示关联事件,3 表示操作事件。对于基本事件(类型 0),可以省略此字段。
类型:long
-
cef.extensions.categoryDeviceType -
设备类型。例如 - 代理、IDS、Web 服务器
类型:keyword
-
cef.extensions.categoryObject -
事件所涉及的对象。例如,它可以是操作系统、数据库、文件等。
类型:keyword
-
cef.extensions.categoryBehavior -
与事件相关的操作或行为。这是对对象所做的操作。
类型:keyword
-
cef.extensions.categoryTechnique -
使用的技术(例如 /DoS)。
类型:keyword
-
cef.extensions.categoryDeviceGroup -
通用设备组,如防火墙。
类型:keyword
-
cef.extensions.categorySignificance -
事件重要性的特征。
类型:keyword
-
cef.extensions.categoryOutcome -
事件的结果(例如,成功、失败或尝试)。
类型:keyword
-
cef.extensions.managerReceiptTime -
Arcsight ESM 接收事件的时间。
类型:date
-
source.service.name -
事件来源的服务。
类型:keyword
-
destination.service.name -
事件目标的服务。
类型:keyword