osquery 模块导出的字段
result 指标集导出的通用字段。
-
osquery.result.name -
生成此事件的查询的名称。
type: keyword
-
osquery.result.action -
对于增量数据,标记条目是已添加还是已删除。它可以是“added”、“removed”或“snapshot”之一。
type: keyword
-
osquery.result.host_identifier -
运行 osquery 代理的主机的标识符。通常是主机名。
type: keyword
-
osquery.result.unix_time -
事件的 Unix 时间戳,以自 epoch 以来的秒数表示。用于计算
@timestamp列。type: long
-
osquery.result.calendar_time -
集合时间的字符串表示形式,由 osquery 格式化。
type: keyword