用于处理来自 AWS 的日志的模块。
来自 AWS 日志的字段。
用于 AWS CloudTrail 日志的字段。
-
aws.cloudtrail.event_version -
日志事件格式的 CloudTrail 版本。
类型: keyword
userIdentity 元素包含有关发出请求的 IAM 身份类型以及使用的凭据的详细信息。如果使用了临时凭据,则该元素会显示如何获得凭据。
-
aws.cloudtrail.user_identity.type -
身份的类型
类型: keyword
-
aws.cloudtrail.user_identity.arn -
发出调用的主体的 Amazon 资源名称 (ARN)。
类型: keyword
-
aws.cloudtrail.user_identity.access_key_id -
用于签署请求的访问密钥 ID。
类型: keyword
如果请求是使用临时安全凭据发出的,则提供有关为这些凭据创建的会话的信息的元素。
-
aws.cloudtrail.user_identity.session_context.mfa_authenticated -
如果请求使用的根用户或 IAM 用户凭据也通过 MFA 设备进行了身份验证,则该值为 true;否则为 false。
类型: keyword
-
aws.cloudtrail.user_identity.session_context.creation_date -
颁发临时安全凭据的日期和时间。
类型: date
如果请求是使用临时安全凭据发出的,则提供有关如何获得凭据的信息的元素。
-
aws.cloudtrail.user_identity.session_context.session_issuer.type -
临时安全凭据的来源,例如根用户、IAM 用户或角色。
类型: keyword
-
aws.cloudtrail.user_identity.session_context.session_issuer.principal_id -
用于获取凭据的实体的内部 ID。
类型: keyword
-
aws.cloudtrail.user_identity.session_context.session_issuer.arn -
用于获取临时安全凭据的来源(账户、IAM 用户或角色)的 ARN。
类型: keyword
-
aws.cloudtrail.user_identity.session_context.session_issuer.account_id -
拥有用于获取凭据的实体的账户。
类型: keyword
-
aws.cloudtrail.user_identity.invoked_by -
发出请求的 AWS 服务的名称,例如 Amazon EC2 Auto Scaling 或 AWS Elastic Beanstalk。
类型: keyword
-
aws.cloudtrail.error_code -
如果请求返回错误,则为 AWS 服务错误。
类型: keyword
-
aws.cloudtrail.error_message -
如果请求返回错误,则为错误的描述。
类型: keyword
-
aws.cloudtrail.request_parameters -
随请求发送的参数(如果有)。
类型: keyword
-
aws.cloudtrail.request_parameters.text -
类型: text
-
aws.cloudtrail.response_elements -
用于进行更改(创建、更新或删除操作)的操作的响应元素。
类型: keyword
-
aws.cloudtrail.response_elements.text -
类型: text
-
aws.cloudtrail.additional_eventdata -
有关事件的其他数据,这些数据不是请求或响应的一部分。
类型: keyword
-
aws.cloudtrail.additional_eventdata.text -
类型: text
-
aws.cloudtrail.request_id -
标识请求的值。被调用的服务会生成此值。
类型: keyword
-
aws.cloudtrail.event_type -
标识生成事件记录的事件类型。
类型: keyword
-
aws.cloudtrail.api_version -
标识与 AwsApiCall eventType 值关联的 API 版本。
类型: keyword
-
aws.cloudtrail.management_event -
一个布尔值,用于标识事件是否为管理事件。
类型: keyword
-
aws.cloudtrail.read_only -
标识此操作是否为只读操作。
类型: keyword
事件中访问的资源列表。
-
aws.cloudtrail.resources.arn -
资源 ARN
类型: keyword
-
aws.cloudtrail.resources.account_id -
资源所有者的账户 ID
类型: keyword
-
aws.cloudtrail.resources.type -
资源类型标识符,格式为:AWS::aws-service-name::data-type-name
类型: keyword
-
aws.cloudtrail.recipient_account_id -
表示接收此事件的账户 ID。
类型: keyword
-
aws.cloudtrail.service_event_details -
标识服务事件,包括触发事件的原因和结果。
类型: keyword
-
aws.cloudtrail.service_event_details.text -
类型: text
-
aws.cloudtrail.shared_event_id -
CloudTrail 生成的 GUID,用于唯一标识发送到不同 AWS 账户的同一 AWS 操作的 CloudTrail 事件。
类型: keyword
-
aws.cloudtrail.vpc_endpoint_id -
标识从 VPC 到另一个 AWS 服务(例如 Amazon S3)发出请求的 VPC 终端节点。
类型: keyword
-
aws.cloudtrail.event_category -
显示 LookupEvents 调用中使用的事件类别。
- 对于管理事件,该值为 management。
- 对于数据事件,该值为 data。
- 对于 Insights 事件,该值为 insight。
类型: keyword
ConsoleLogin 事件的特定字段
ConsoleLogin 事件的其他事件数据
-
aws.cloudtrail.console_login.additional_eventdata.mobile_version -
标识 ConsoleLogin 是否来自移动版本
类型: boolean
-
aws.cloudtrail.console_login.additional_eventdata.login_to -
ConsoleLogin 的 URL
类型: keyword
-
aws.cloudtrail.console_login.additional_eventdata.mfa_used -
标识在 ConsoleLogin 期间是否使用了多因素身份验证
类型: boolean
ES flattened 数据类型,用于提前不知道子字段的对象。
-
aws.cloudtrail.flattened.additional_eventdata -
有关事件的其他数据,这些数据不是请求或响应的一部分。
类型: flattened
-
aws.cloudtrail.flattened.request_parameters -
随请求发送的参数(如果有)。
类型: flattened
-
aws.cloudtrail.flattened.response_elements -
用于进行更改(创建、更新或删除操作)的操作的响应元素。
类型: flattened
-
aws.cloudtrail.flattened.service_event_details -
标识服务事件,包括触发事件的原因和结果。
类型: flattened
来自 Cloudtrail Digest 日志的字段
-
aws.cloudtrail.digest.log_files -
摘要中包含的日志文件列表。
类型: nested
-
aws.cloudtrail.digest.start_time -
摘要文件涵盖的起始 UTC 时间范围,以 CloudTrail 交付日志文件的时间为参考。
类型: date
-
aws.cloudtrail.digest.end_time -
摘要文件涵盖的结束 UTC 时间范围,以 CloudTrail 交付日志文件的时间为参考。
类型: date
-
aws.cloudtrail.digest.s3_bucket -
当前摘要文件已交付到的 Amazon S3 存储桶的名称。
类型: keyword
-
aws.cloudtrail.digest.s3_object -
当前摘要文件的 Amazon S3 对象键(即 Amazon S3 存储桶位置)。
类型: keyword
-
aws.cloudtrail.digest.newest_event_time -
摘要中日志文件中所有事件中最近事件的 UTC 时间。
类型: date
-
aws.cloudtrail.digest.oldest_event_time -
摘要中日志文件中所有事件中最旧事件的 UTC 时间。
类型: date
-
aws.cloudtrail.digest.previous_s3_bucket -
上一个摘要文件交付到的 Amazon S3 存储桶。
类型: keyword
-
aws.cloudtrail.digest.previous_hash_algorithm -
用于哈希上一个摘要文件的哈希算法的名称。
类型: keyword
-
aws.cloudtrail.digest.public_key_fingerprint -
与用于签署此摘要文件的私钥匹配的公钥的十六进制编码指纹。
类型: keyword
-
aws.cloudtrail.digest.signature_algorithm -
用于签署摘要文件的算法。
类型: keyword
-
aws.cloudtrail.insight_details -
显示有关 Insights 事件的底层触发器的信息,例如事件源、用户代理、统计信息、API 名称以及事件是 Insights 事件的开始还是结束。
类型: flattened
用于 AWS CloudWatch 日志的字段。
-
aws.cloudwatch.message -
CloudWatch 日志消息。
类型: text
用于 CloudWatch 中 AWS EC2 日志的字段。
-
aws.ec2.ip_address -
请求者的互联网地址。
类型: keyword
用于 AWS ELB 日志的字段。
-
aws.elb.name -
负载均衡器的名称。
类型: keyword
-
aws.elb.type -
用于 v2 负载均衡器的负载均衡器类型。
类型: keyword
-
aws.elb.target_group.arn -
处理请求的目标组的 ARN。
类型: keyword
-
aws.elb.listener -
接收连接的 ELB 侦听器。
类型: keyword
-
aws.elb.protocol -
负载均衡器的协议(http 或 tcp)。
类型: keyword
-
aws.elb.request_processing_time.sec -
自接收到连接或请求到将其发送到已注册后端,以秒为单位的总时间。
类型: float
-
aws.elb.backend_processing_time.sec -
自将连接发送到后端到后端开始响应,以秒为单位的总时间。
类型: float
-
aws.elb.response_processing_time.sec -
自接收到来自后端的响应到将其发送到客户端,以秒为单位的总时间。
类型: float
-
aws.elb.connection_time.ms -
自打开连接到关闭连接,以毫秒为单位的连接总时间。
类型: long
-
aws.elb.tls_handshake_time.ms -
一旦建立连接,TLS 握手完成的总时间(以毫秒为单位)。
类型: long
-
aws.elb.backend.ip -
处理此连接的后端的 IP 地址。
类型: keyword
-
aws.elb.backend.port -
处理此连接的后端中的端口。
类型: keyword
-
aws.elb.backend.http.response.status_code -
来自后端的状态代码(从 ELB 发送到客户端的状态代码存储在
http.response.status_code中)类型: keyword
-
aws.elb.ssl_cipher -
TLS/SSL 连接中使用的 SSL 密码。
类型: keyword
-
aws.elb.ssl_protocol -
TLS/SSL 连接中使用的 SSL 协议。
类型: keyword
-
aws.elb.chosen_cert.arn -
在 TLS/SSL 连接中呈现给客户端的所选证书的 ARN。
类型: keyword
-
aws.elb.chosen_cert.serial -
在 TLS/SSL 连接中呈现给客户端的所选证书的序列号。
类型: keyword
-
aws.elb.incoming_tls_alert -
负载均衡器从客户端接收的 TLS 警报的整数值(如果存在)。
类型: keyword
-
aws.elb.tls_named_group -
TLS 命名组。
类型: keyword
-
aws.elb.trace_id -
X-Amzn-Trace-Id标头的内容。类型: keyword
-
aws.elb.matched_rule_priority -
与请求匹配的规则的优先级值(如果规则匹配)。
类型: keyword
-
aws.elb.action_executed -
处理请求时执行的操作(转发、固定响应、身份验证…)。它可以包含多个值。
类型: keyword
-
aws.elb.redirect_url -
如果执行了重定向操作,则使用的 URL。
类型: keyword
-
aws.elb.error.reason -
如果执行的操作失败,则为错误原因。
类型: keyword
-
aws.elb.target_port -
处理此请求的目标的 IP 地址和端口列表。
类型: keyword
-
aws.elb.target_status_code -
来自目标响应的状态代码列表。
类型: keyword
-
aws.elb.classification -
用于缓解不同步的分类。
类型: keyword
-
aws.elb.classification_reason -
分类原因代码。
类型: keyword
用于 AWS S3 服务器访问日志的字段。
-
aws.s3access.bucket_owner -
源存储桶所有者的规范用户 ID。
类型: keyword
-
aws.s3access.bucket -
请求处理所针对的存储桶的名称。
类型: keyword
-
aws.s3access.remote_ip -
请求者的表面互联网地址。
类型: ip
-
aws.s3access.requester -
请求者的规范用户 ID,对于未经身份验证的请求,则为 -。
类型: keyword
-
aws.s3access.request_id -
Amazon S3 生成的用于唯一标识每个请求的字符串。
类型: keyword
-
aws.s3access.operation -
此处列出的操作声明为 SOAP.operation、REST.HTTP_method.resource_type、WEBSITE.HTTP_method.resource_type 或 BATCH.DELETE.OBJECT。
类型: keyword
-
aws.s3access.key -
请求的“键”部分(URL 编码),如果操作不带键参数,则为“-”。
类型: keyword
-
aws.s3access.request_uri -
HTTP 请求消息的 Request-URI 部分。
类型: keyword
-
aws.s3access.http_status -
响应的数字 HTTP 状态代码。
类型: long
-
aws.s3access.error_code -
Amazon S3 错误代码,如果没有发生错误则为“-”。
类型: keyword
-
aws.s3access.bytes_sent -
发送的响应字节数,不包括 HTTP 协议开销,如果为零则为“-”。
类型: long
-
aws.s3access.object_size -
相关对象的总大小。
类型: long
-
aws.s3access.total_time -
从服务器的角度来看,请求在途的毫秒数。
类型: long
-
aws.s3access.turn_around_time -
Amazon S3 处理您的请求所花费的毫秒数。
类型: long
-
aws.s3access.referrer -
HTTP Referrer 标头的值(如果存在)。
类型: keyword
-
aws.s3access.user_agent -
HTTP User-Agent 标头的值。
类型: keyword
-
aws.s3access.version_id -
请求中的版本 ID,如果操作不接受 versionId 参数,则为“-”。
类型: keyword
-
aws.s3access.host_id -
x-amz-id-2 或 Amazon S3 扩展请求 ID。
类型: keyword
-
aws.s3access.signature_version -
用于验证请求的签名版本,SigV2 或 SigV4,或未经验证的请求为“-”。
类型: keyword
-
aws.s3access.cipher_suite -
为 HTTPS 请求协商的安全套接字层 (SSL) 密码,或 HTTP 请求为“-”。
类型: keyword
-
aws.s3access.authentication_type -
使用的请求身份验证类型,AuthHeader 用于身份验证标头,QueryString 用于查询字符串(预签名 URL),或未经验证的请求为“-”。
类型: keyword
-
aws.s3access.host_header -
用于连接到 Amazon S3 的端点。
类型: keyword
-
aws.s3access.tls_version -
客户端协商的传输层安全性 (TLS) 版本。
类型: keyword
AWS VPC 流日志的字段。
-
aws.vpcflow.version -
VPC 流日志版本。如果您使用默认格式,则版本为 2。如果您指定自定义格式,则版本为 3。
类型: keyword
-
aws.vpcflow.account_id -
流日志的 AWS 账户 ID。
类型: keyword
-
aws.vpcflow.interface_id -
记录流量的网络接口的 ID。
类型: keyword
-
aws.vpcflow.action -
与流量关联的操作,ACCEPT 或 REJECT。
类型: keyword
-
aws.vpcflow.log_status -
流日志的日志记录状态,OK、NODATA 或 SKIPDATA。
类型: keyword
-
aws.vpcflow.instance_id -
与记录流量的网络接口关联的实例的 ID(如果该实例由您拥有)。
类型: keyword
-
aws.vpcflow.pkt_srcaddr -
流量的包级别(原始)源 IP 地址。
类型: ip
-
aws.vpcflow.pkt_dstaddr -
流量的包级别(原始)目标 IP 地址。
类型: ip
-
aws.vpcflow.vpc_id -
包含记录流量的网络接口的 VPC 的 ID。
类型: keyword
-
aws.vpcflow.subnet_id -
包含记录流量的网络接口的子网的 ID。
类型: keyword
-
aws.vpcflow.tcp_flags -
以下 TCP 标志的位掩码值:2=SYN,18=SYN-ACK,1=FIN,4=RST
类型: keyword
-
aws.vpcflow.tcp_flags_array -
TCP 标志列表:fin、syn、rst、psh、ack、urg
类型: keyword
-
aws.vpcflow.type -
流量类型:IPv4、IPv6 或 EFA。
类型: keyword