系统字段

用于解析系统日志文件的模块。

system

来自系统日志文件的字段。

auth

来自 Linux 授权日志的字段。

system.auth.timestamp

类型:别名

别名到:@timestamp

system.auth.hostname

类型:别名

别名到:host.hostname

system.auth.program

类型:别名

别名到:process.name

system.auth.pid

类型:别名

别名到:process.pid

system.auth.message

类型:别名

别名到:message

system.auth.user

类型:别名

别名到:user.name

system.auth.ssh.method

SSH 身份验证方法。可以是“password”或“publickey”之一。

system.auth.ssh.signature

客户端公钥的签名。

system.auth.ssh.dropped_ip

来自打开并立即断开的 SSH 连接的客户端 IP。

类型:ip

system.auth.ssh.event

日志中找到的 SSH 事件(Accepted、Invalid、Failed 等)。

示例:Accepted

system.auth.ssh.ip

类型:别名

别名到:source.ip

system.auth.ssh.port

类型:别名

别名到:source.port

system.auth.ssh.geoip.continent_name

类型:别名

别名到:source.geo.continent_name

system.auth.ssh.geoip.country_iso_code

类型:别名

别名到:source.geo.country_iso_code

system.auth.ssh.geoip.location

类型:别名

别名到:source.geo.location

system.auth.ssh.geoip.region_name

类型:别名

别名到:source.geo.region_name

system.auth.ssh.geoip.city_name

类型:别名

别名到:source.geo.city_name

system.auth.ssh.geoip.region_iso_code

类型:别名

别名到:source.geo.region_iso_code

sudo

特定于 sudo 命令创建的事件的字段。

system.auth.sudo.error

如果 sudo 命令失败,则显示错误消息。

示例:user NOT in sudoers

system.auth.sudo.tty

执行 sudo 命令的 TTY。

system.auth.sudo.pwd

执行 sudo 命令的当前目录。

system.auth.sudo.user

sudo 命令正在切换到的目标用户。

示例:root

system.auth.sudo.command

通过 sudo 执行的命令。

useradd

特定于 useradd 命令创建的事件的字段。

system.auth.useradd.home

新用户的主文件夹。

system.auth.useradd.shell

新用户的默认 shell。

system.auth.useradd.name

类型:别名

别名到:user.name

system.auth.useradd.uid

类型:别名

别名到:user.id

system.auth.useradd.gid

类型:别名

别名到:group.id

groupadd

特定于 groupadd 命令创建的事件的字段。

system.auth.groupadd.name

类型:别名

别名到:group.name

system.auth.groupadd.gid

类型:别名

别名到:group.id

syslog

包含来自 syslog 系统日志的字段。

system.syslog.timestamp

类型:别名

别名到:@timestamp

system.syslog.hostname

类型:别名

别名到:host.hostname

system.syslog.program

类型:别名

别名到:process.name

system.syslog.pid

类型:别名

别名到:process.pid

system.syslog.message

类型:别名

别名到:message