Auditd 字段

用于解析 auditd 日志的模块。

user.terminal

用户执行观察到的活动的终端或 tty 设备。

类型: keyword

user.audit.id

用户的一个或多个唯一标识符。

类型: keyword

user.audit.name

用户的简称或登录名。

类型: keyword

示例: albert

user.audit.group.id

系统/平台上组的唯一标识符。

类型: keyword

user.audit.group.name

组的名称。

类型: keyword

user.filesystem.id

用户的一个或多个唯一标识符。

类型: keyword

user.filesystem.name

用户的简称或登录名。

类型: keyword

示例: albert

user.filesystem.group.id

系统/平台上组的唯一标识符。

类型: keyword

user.filesystem.group.name

组的名称。

类型: keyword

user.owner.id

用户的一个或多个唯一标识符。

类型: keyword

user.owner.name

用户的简称或登录名。

类型: keyword

示例: albert

user.owner.group.id

系统/平台上组的唯一标识符。

类型: keyword

user.owner.group.name

组的名称。

类型: keyword

user.saved.id

用户的一个或多个唯一标识符。

类型: keyword

user.saved.name

用户的简称或登录名。

类型: keyword

示例: albert

user.saved.group.id

系统/平台上组的唯一标识符。

类型: keyword

user.saved.group.name

组的名称。

类型: keyword

auditd

来自 auditd 日志的字段。

log

来自 Linux 审计日志的字段。并非所有字段都在此处记录,因为它们是动态的,并且因审计事件类型而异。

auditd.log.old_auid

对于登录事件,这是此登录之前用户使用的旧审计 ID。

auditd.log.new_auid

对于登录事件,这是新的审计 ID。即使用户的身份发生变化(例如成为 root),也可以使用审计 ID 将未来的事件追溯到该用户。

auditd.log.old_ses

对于登录事件,这是此登录之前用户使用的旧会话 ID。

auditd.log.new_ses

对于登录事件,这是新的会话 ID。它可用于通过会话 ID 将用户与未来的事件联系起来。

auditd.log.sequence

审计事件序列号。

类型: long

auditd.log.items

事件中的项目数。

auditd.log.item

item 字段指示在总项目数中是第几个项目。此数字从零开始;值 0 表示它是第一个项目。

auditd.log.tty

类型: keyword

auditd.log.a0

系统调用的第一个参数。

auditd.log.addr

类型: ip

auditd.log.rport

类型: long

auditd.log.laddr

类型: ip

auditd.log.lport

类型: long

auditd.log.acct

类型: alias

别名到: user.name

auditd.log.pid

类型: alias

别名到: process.pid

auditd.log.ppid

类型: alias

别名到: process.parent.pid

auditd.log.res

类型: alias

别名到: event.outcome

auditd.log.record_type

类型: alias

别名到: event.action

auditd.log.geoip.continent_name

类型: alias

别名到: source.geo.continent_name

auditd.log.geoip.country_iso_code

类型: alias

别名到: source.geo.country_iso_code

auditd.log.geoip.location

类型: alias

别名到: source.geo.location

auditd.log.geoip.region_name

类型: alias

别名到: source.geo.region_name

auditd.log.geoip.city_name

类型: alias

别名到: source.geo.city_name

auditd.log.geoip.region_iso_code

类型: alias

别名到: source.geo.region_iso_code

auditd.log.arch

类型: alias

别名到: host.architecture

auditd.log.gid

类型: alias

别名到: user.group.id

auditd.log.uid

类型: alias

别名到: user.id

auditd.log.agid

类型: alias

别名到: user.audit.group.id

auditd.log.auid

类型: alias

别名到: user.audit.id

auditd.log.fsgid

类型: alias

别名到: user.filesystem.group.id

auditd.log.fsuid

类型: alias

别名到: user.filesystem.id

auditd.log.egid

类型: alias

别名到: user.effective.group.id

auditd.log.euid

类型: alias

别名到: user.effective.id

auditd.log.sgid

类型: alias

别名到: user.saved.group.id

auditd.log.suid

类型: alias

别名到: user.saved.id

auditd.log.ogid

类型: alias

别名到: user.owner.group.id

auditd.log.ouid

类型: alias

别名到: user.owner.id

auditd.log.comm

类型: alias

别名到: process.name

auditd.log.exe

类型: alias

别名到: process.executable

auditd.log.terminal

类型: alias

别名到: user.terminal

auditd.log.msg

类型: alias

别名到: message

auditd.log.src

类型: alias

别名到: source.address

auditd.log.dst

类型: alias

别名到: destination.address