Sophos 字段

Sophos 模块

sophos.xg

用于解析 sophosxg 系统日志的模块。

sophos.xg.action

事件操作

类型:keyword

sophos.xg.activityname

匹配并导致策略结果的 Web 策略活动。

类型:keyword

sophos.xg.ap

接入点序列号或 LocalWifi0 或 LocalWifi1。

类型:keyword

sophos.xg.app_category

应用程序所属类别的名称

类型:keyword

sophos.xg.app_filter_policy_id

应用于流量的应用程序过滤策略 ID

类型:keyword

sophos.xg.app_is_cloud

应用程序是云

类型:keyword

sophos.xg.app_name

应用程序名称

类型:keyword

sophos.xg.app_resolved_by

应用程序由签名或同步应用程序解析

类型:keyword

sophos.xg.app_risk

分配给应用程序的风险级别

类型:keyword

sophos.xg.app_technology

应用程序的技术

类型:keyword

sophos.xg.appfilter_policy_id

应用于流量的应用程序过滤策略

类型:integer

sophos.xg.application

应用程序名称

类型:keyword

sophos.xg.application_category

应用程序由签名或同步应用程序解析

类型:keyword

sophos.xg.application_filter_policy

应用于流量的应用程序过滤策略

类型:integer

sophos.xg.application_name

应用程序名称

类型:keyword

sophos.xg.application_risk

分配给应用程序的风险级别

类型:keyword

sophos.xg.application_technology

应用程序的技术

类型:keyword

sophos.xg.appresolvedby

应用程序的技术

类型:keyword

sophos.xg.auth_client

身份验证客户端

类型:keyword

sophos.xg.auth_mechanism

身份验证机制

类型:keyword

sophos.xg.av_policy_name

应用于流量的恶意软件扫描策略名称

类型:keyword

sophos.xg.backup_mode

备份模式

类型:keyword

sophos.xg.branch_name

分支名称

类型:keyword

sophos.xg.category

IPS 签名类别。

类型:keyword

sophos.xg.category_type

网站所属类别的类型

类型:keyword

sophos.xg.classification

签名分类

类型:keyword

sophos.xg.client_host_name

客户端主机名

类型:keyword

sophos.xg.client_physical_address

客户端物理地址

类型:keyword

sophos.xg.clients_conn_ssid

连接到 SSID 的客户端数量。

类型:long

sophos.xg.collisions

冲突

类型:long

sophos.xg.con_event

事件开始/停止

类型:keyword

sophos.xg.con_id

连接的唯一标识符

类型:integer

sophos.xg.configuration

配置

类型:float

sophos.xg.conn_id

连接的唯一标识符

类型:integer

sophos.xg.connectionname

连接名称

类型:keyword

sophos.xg.connectiontype

连接类型

类型:keyword

sophos.xg.connevent

生成此日志的事件

类型:keyword

sophos.xg.connid

连接 ID

类型:keyword

sophos.xg.content_type

内容的类型

类型:keyword

sophos.xg.contenttype

内容的类型

类型:keyword

sophos.xg.context_match

上下文匹配

类型:keyword

sophos.xg.context_prefix

内容前缀

类型:keyword

sophos.xg.context_suffix

上下文后缀

类型:keyword

sophos.xg.cookie

cookie

类型:keyword

sophos.xg.date

事件发生日期 (yyyy-mm-dd)

类型:date

sophos.xg.destinationip

流量的原始目标 IP 地址

类型:ip

sophos.xg.device

设备

类型:keyword

sophos.xg.device_id

设备的序列号

类型:keyword

sophos.xg.device_model

设备的型号

类型:keyword

sophos.xg.device_name

设备的型号

类型:keyword

sophos.xg.dictionary_name

字典名称

类型:keyword

sophos.xg.dir_disp

数据包方向。可能的值:“org”、“reply”、“”

类型:keyword

sophos.xg.direction

方向

类型:keyword

sophos.xg.domainname

下载病毒的域名

类型:keyword

sophos.xg.download_file_name

下载文件名

类型:keyword

sophos.xg.download_file_type

下载文件类型

类型:keyword

sophos.xg.dst_country_code

目标 IP 所属国家/地区的代码

类型:keyword

sophos.xg.dst_domainname

接收方域名

类型:keyword

sophos.xg.dst_ip

流量的原始目标 IP 地址

类型:ip

sophos.xg.dst_port

TCP 和 UDP 流量的原始目标端口

类型:integer

sophos.xg.dst_zone_type

目标区域类型

类型:keyword

sophos.xg.dstdomain

目标域

类型:keyword

sophos.xg.duration

流量持续时间(秒)

类型:long

sophos.xg.email_subject

电子邮件主题

类型:keyword

sophos.xg.ep_uuid

端点 UUID

类型:keyword

sophos.xg.ether_type

以太网帧类型

类型:keyword

sophos.xg.eventid

ATP 事件 ID

类型:keyword

sophos.xg.eventtime

事件时间

类型:date

sophos.xg.eventtype

ATP 事件类型

类型:keyword

sophos.xg.exceptions

Web 异常排除的检查列表。

类型:keyword

sophos.xg.execution_path

ATP 执行路径

类型:keyword

sophos.xg.extra

额外

类型:keyword

sophos.xg.file_name

文件名

类型:keyword

sophos.xg.file_path

文件路径

类型:keyword

sophos.xg.file_size

文件大小

类型:integer

sophos.xg.filename

与事件关联的文件名

类型:keyword

sophos.xg.filepath

包含病毒的文件的路径

类型:keyword

sophos.xg.filesize

包含病毒的文件的大小

类型:integer

sophos.xg.free

空闲

类型:integer

sophos.xg.from_email_address

发件人电子邮件地址

类型:keyword

sophos.xg.ftp_direction

FTP 传输方向:上传或下载

类型:keyword

sophos.xg.ftp_url

下载病毒的 FTP URL

类型:keyword

sophos.xg.ftpcommand

发现病毒时使用的 FTP 命令

类型:keyword

sophos.xg.fw_rule_id

应用于流量的防火墙规则 ID

类型:integer

sophos.xg.fw_rule_type

应用于流量的防火墙规则类型

类型:keyword

sophos.xg.hb_health

心跳状态

类型:keyword

sophos.xg.hb_status

心跳状态

类型:keyword

sophos.xg.host

主机

类型:keyword

sophos.xg.http_category

HTTP 类别

类型:keyword

sophos.xg.http_category_type

HTTP 类别类型

类型:keyword

sophos.xg.httpresponsecode

HTTP 响应代码

类型:long

sophos.xg.iap

应用于流量的 Internet 访问策略 ID

类型:keyword

sophos.xg.icmp_code

ICMP 流量的 ICMP 代码

类型:keyword

sophos.xg.icmp_type

ICMP 流量的 ICMP 类型

类型:keyword

sophos.xg.idle_cpu

空闲 ##

类型:float

sophos.xg.idp_policy_id

应用于流量的 IPS 策略 ID

类型:integer

sophos.xg.idp_policy_name

IPS 策略名称,即应用于流量的 IPS 策略名称

类型:keyword

sophos.xg.in_interface

传入流量的接口,例如端口 A

类型:keyword

sophos.xg.interface

接口

类型:keyword

sophos.xg.ipaddress

IP 地址

类型:keyword

sophos.xg.ips_policy_id

应用于流量的 IPS 策略 ID

类型:integer

sophos.xg.lease_time

租用时间

类型:keyword

sophos.xg.localgateway

本地网关

类型:keyword

sophos.xg.localnetwork

本地网络

类型:keyword

sophos.xg.log_component

负责记录的组件,例如防火墙规则

类型:keyword

sophos.xg.log_id

唯一的 12 个字符代码 (0101011)

类型:keyword

sophos.xg.log_subtype

事件的子类型

类型:keyword

sophos.xg.log_type

事件类型,例如防火墙事件

类型:keyword

sophos.xg.log_version

日志版本

类型:keyword

sophos.xg.login_user

ATP 登录用户

类型:keyword

sophos.xg.mailid

邮件 ID

类型:keyword

sophos.xg.mailsize

邮件大小

类型:integer

sophos.xg.message

消息

类型:keyword

sophos.xg.mode

模式

类型:keyword

sophos.xg.nat_rule_id

NAT 规则 ID

类型:keyword

sophos.xg.newversion

新版本

类型:keyword

sophos.xg.oldversion

旧版本

类型:keyword

sophos.xg.out_interface

传出流量的接口,例如端口 B

类型:keyword

sophos.xg.override_authorizer

覆盖授权者

类型:keyword

sophos.xg.override_name

覆盖名称

类型:keyword

sophos.xg.override_token

覆盖令牌

类型:keyword

sophos.xg.phpsessid

PHP 会话 ID

类型:keyword

sophos.xg.platform

流量的平台。

类型:keyword

sophos.xg.policy_type

应用于流量的策略类型

类型:keyword

sophos.xg.priority

流量的严重性级别

类型:keyword

sophos.xg.protocol

流量的协议号

类型:keyword

sophos.xg.qualifier

限定符

类型:keyword

sophos.xg.quarantine

隔离文件的路径和文件名

类型:keyword

sophos.xg.quarantine_reason

隔离原因

类型:keyword

sophos.xg.querystring

查询字符串

类型:keyword

sophos.xg.raw_data

原始数据

类型:keyword

sophos.xg.received_pkts

接收到的数据包总数

类型:long

sophos.xg.receiveddrops

接收丢弃

类型:long

sophos.xg.receivederrors

接收错误

类型:keyword

sophos.xg.receivedkbits

接收 kbit

类型:long

sophos.xg.recv_bytes

接收到的字节总数

类型:long

sophos.xg.red_id

RED ID

类型:keyword

sophos.xg.referer

Referer

类型:keyword

sophos.xg.remote_ip

远程 IP

类型:ip

sophos.xg.remotenetwork

远程网络

类型:keyword

sophos.xg.reported_host

报告的主机

类型:keyword

sophos.xg.reported_ip

报告的 IP

类型:keyword

sophos.xg.reports

报告

类型:float

sophos.xg.rule_priority

IPS 策略的优先级

类型:keyword

sophos.xg.sent_bytes

发送的字节总数

类型:long

sophos.xg.sent_pkts

发送的数据包总数

类型:long

sophos.xg.server

服务器

类型:keyword

sophos.xg.sessionid

会话 ID

类型:keyword

sophos.xg.sha1sum

正在分析项目的 SHA1 校验和

类型:keyword

sophos.xg.signature

签名

类型:float

sophos.xg.signature_id

签名 ID

类型:keyword

sophos.xg.signature_msg

签名消息

类型:keyword

sophos.xg.site_category

站点类别

类型:keyword

sophos.xg.source

来源

类型:keyword

sophos.xg.sourceip

流量的原始源 IP 地址

类型:ip

sophos.xg.spamaction

垃圾邮件操作

类型:keyword

sophos.xg.sqli

WAF 捕获的相关 SQLI

类型:keyword

sophos.xg.src_country_code

源 IP 所属国家/地区的代码

类型:keyword

sophos.xg.src_domainname

发件人域名

类型:keyword

sophos.xg.src_ip

流量的原始源 IP 地址

类型:ip

sophos.xg.src_mac

流量的原始源 MAC 地址

类型:keyword

sophos.xg.src_port

TCP 和 UDP 流量的原始源端口

类型:integer

sophos.xg.src_zone_type

源区域类型

类型:keyword

sophos.xg.ssid

配置的 SSID 名称。

类型:keyword

sophos.xg.start_time

开始时间

类型:date

sophos.xg.starttime

开始时间

类型:date

sophos.xg.status

流量的最终状态 - 允许或拒绝

类型:keyword

sophos.xg.status_code

状态代码

类型:keyword

sophos.xg.subject

电子邮件主题

类型:keyword

sophos.xg.syslog_server_name

系统日志服务器名称。

类型:keyword

sophos.xg.system_cpu

系统

类型:float

sophos.xg.target

流量的平台。

类型:keyword

sophos.xg.temp

临时

类型:float

sophos.xg.threatname

ATP 威胁名称

类型:keyword

sophos.xg.timestamp

时间戳

类型:date

sophos.xg.timezone

事件发生时间 (hh:mm:ss)

类型:keyword

sophos.xg.to_email_address

收件人电子邮件地址

类型:keyword

sophos.xg.total_memory

总内存

类型:integer

sophos.xg.trans_dst_ip

传出流量的翻译后的目标 IP 地址

类型:ip

sophos.xg.trans_dst_port

传出流量的翻译后的目标端口

类型:integer

sophos.xg.trans_src_ip

传出流量的翻译后的源 IP 地址

类型:ip

sophos.xg.trans_src_port

传出流量的翻译后的源端口

类型:integer

sophos.xg.transaction_id

事务 ID

类型:keyword

sophos.xg.transactionid

反病毒扫描的事务 ID。

类型:keyword

sophos.xg.transmitteddrops

传输丢弃

类型:long

sophos.xg.transmittederrors

传输错误

类型:keyword

sophos.xg.transmittedkbits

传输 kbit

类型:long

sophos.xg.unit

单位

类型:keyword

sophos.xg.updatedip

更新 IP

类型:ip

sophos.xg.upload_file_name

上传文件名

类型:keyword

sophos.xg.upload_file_type

上传文件类型

类型:keyword

sophos.xg.url

下载病毒的 URL

类型:keyword

sophos.xg.used

已使用

类型:integer

sophos.xg.used_quota

已用配额

类型:keyword

sophos.xg.user

用户

类型:keyword

sophos.xg.user_cpu

系统

类型:float

sophos.xg.user_gp

用户所属的组名称。

类型:keyword

sophos.xg.user_group

用户所属的组名称

类型:keyword

sophos.xg.user_name

用户名

类型:keyword

sophos.xg.users

来自系统健康/实时用户事件的用户数量。

类型:long

sophos.xg.vconn_id

主连接的连接 ID

类型:integer

sophos.xg.virus

病毒名称

类型:keyword

sophos.xg.web_policy_id

Web 策略 ID

类型:keyword

sophos.xg.website

网站

类型:keyword

sophos.xg.xss

WAF 捕获的相关 XSS

类型:keyword