用于解析 auditd 日志的模块。
-
user.terminal -
用户执行观察到的活动的终端或 tty 设备。
类型: keyword
-
user.audit.id -
用户的一个或多个唯一标识符。
类型: keyword
-
user.audit.name -
用户的简称或登录名。
类型: keyword
示例: albert
-
user.audit.group.id -
系统/平台上组的唯一标识符。
类型: keyword
-
user.audit.group.name -
组的名称。
类型: keyword
-
user.filesystem.id -
用户的一个或多个唯一标识符。
类型: keyword
-
user.filesystem.name -
用户的简称或登录名。
类型: keyword
示例: albert
-
user.filesystem.group.id -
系统/平台上组的唯一标识符。
类型: keyword
-
user.filesystem.group.name -
组的名称。
类型: keyword
-
user.owner.id -
用户的一个或多个唯一标识符。
类型: keyword
-
user.owner.name -
用户的简称或登录名。
类型: keyword
示例: albert
-
user.owner.group.id -
系统/平台上组的唯一标识符。
类型: keyword
-
user.owner.group.name -
组的名称。
类型: keyword
-
user.saved.id -
用户的一个或多个唯一标识符。
类型: keyword
-
user.saved.name -
用户的简称或登录名。
类型: keyword
示例: albert
-
user.saved.group.id -
系统/平台上组的唯一标识符。
类型: keyword
-
user.saved.group.name -
组的名称。
类型: keyword
来自 auditd 日志的字段。
来自 Linux 审计日志的字段。并非所有字段都在此处记录,因为它们是动态的,并且因审计事件类型而异。
-
auditd.log.old_auid -
对于登录事件,这是此登录之前用户使用的旧审计 ID。
-
auditd.log.new_auid -
对于登录事件,这是新的审计 ID。即使用户的身份发生变化(例如成为 root),也可以使用审计 ID 将未来的事件追溯到该用户。
-
auditd.log.old_ses -
对于登录事件,这是此登录之前用户使用的旧会话 ID。
-
auditd.log.new_ses -
对于登录事件,这是新的会话 ID。它可用于通过会话 ID 将用户与未来的事件联系起来。
-
auditd.log.sequence -
审计事件序列号。
类型: long
-
auditd.log.items -
事件中的项目数。
-
auditd.log.item -
item 字段指示在总项目数中是第几个项目。此数字从零开始;值 0 表示它是第一个项目。
-
auditd.log.tty -
类型: keyword
-
auditd.log.a0 -
系统调用的第一个参数。
-
auditd.log.addr -
类型: ip
-
auditd.log.rport -
类型: long
-
auditd.log.laddr -
类型: ip
-
auditd.log.lport -
类型: long
-
auditd.log.acct -
类型: alias
别名到: user.name
-
auditd.log.pid -
类型: alias
别名到: process.pid
-
auditd.log.ppid -
类型: alias
别名到: process.parent.pid
-
auditd.log.res -
类型: alias
别名到: event.outcome
-
auditd.log.record_type -
类型: alias
别名到: event.action
-
auditd.log.geoip.continent_name -
类型: alias
别名到: source.geo.continent_name
-
auditd.log.geoip.country_iso_code -
类型: alias
别名到: source.geo.country_iso_code
-
auditd.log.geoip.location -
类型: alias
别名到: source.geo.location
-
auditd.log.geoip.region_name -
类型: alias
别名到: source.geo.region_name
-
auditd.log.geoip.city_name -
类型: alias
别名到: source.geo.city_name
-
auditd.log.geoip.region_iso_code -
类型: alias
别名到: source.geo.region_iso_code
-
auditd.log.arch -
类型: alias
别名到: host.architecture
-
auditd.log.gid -
类型: alias
别名到: user.group.id
-
auditd.log.uid -
类型: alias
别名到: user.id
-
auditd.log.agid -
类型: alias
别名到: user.audit.group.id
-
auditd.log.auid -
类型: alias
别名到: user.audit.id
-
auditd.log.fsgid -
类型: alias
别名到: user.filesystem.group.id
-
auditd.log.fsuid -
类型: alias
别名到: user.filesystem.id
-
auditd.log.egid -
类型: alias
别名到: user.effective.group.id
-
auditd.log.euid -
类型: alias
别名到: user.effective.id
-
auditd.log.sgid -
类型: alias
别名到: user.saved.group.id
-
auditd.log.suid -
类型: alias
别名到: user.saved.id
-
auditd.log.ogid -
类型: alias
别名到: user.owner.group.id
-
auditd.log.ouid -
类型: alias
别名到: user.owner.id
-
auditd.log.comm -
类型: alias
别名到: process.name
-
auditd.log.exe -
类型: alias
别名到: process.executable
-
auditd.log.terminal -
类型: alias
别名到: user.terminal
-
auditd.log.msg -
类型: alias
别名到: message
-
auditd.log.src -
类型: alias
别名到: source.address
-
auditd.log.dst -
类型: alias
别名到: destination.address