› ›

Osquery 字段

由 osquery 模块导出的字段

result 度量集导出的公共字段。

osquery.result.name

生成此事件的查询名称。

类型：keyword

osquery.result.action

对于增量数据，标记条目是添加还是删除。可以是“added”（添加）、“removed”（删除）或“snapshot”（快照）之一。

类型：keyword

osquery.result.host_identifier

运行 osquery 代理的主机的标识符。通常是主机名。

类型：keyword

osquery.result.unix_time

事件的 Unix 时间戳，自纪元以来的秒数。用于计算 @timestamp 列。

类型：long

osquery.result.calendar_time

由 osquery 格式化的收集时间的字符串表示。

类型：keyword