用于处理 Zeek/Bro 生成的日志的模块
标准化后来自 Zeek/Bro 日志的字段
-
zeek.session_id -
会话的唯一标识符
type: keyword
由 Zeek capture_loss 日志导出的字段
-
zeek.capture_loss.ts_delta -
本次测量与上次测量之间的时间延迟。
type: integer
-
zeek.capture_loss.peer -
如果多个 Bro 实例记录到同一主机,则此字段使用其各自的名称来区分每个对等方。
type: keyword
-
zeek.capture_loss.gaps -
上一个测量间隔中丢失的 ACK 数量。
type: integer
-
zeek.capture_loss.acks -
上一个测量间隔中看到的 ACK 总数。
type: integer
-
zeek.capture_loss.percent_lost -
看到的 ACK 中数据被 ACK 但未看到的数据的百分比。
type: double
由 Zeek 连接日志导出的字段
-
zeek.connection.local_orig -
指示会话是否在本地发起。
type: boolean
-
zeek.connection.local_resp -
指示会话是否在本地响应。
type: boolean
-
zeek.connection.missed_bytes -
会话丢失的字节数。
type: long
-
zeek.connection.state -
指示会话状态的代码。
type: keyword
-
zeek.connection.state_message -
会话的状态。
type: keyword
-
zeek.connection.icmp.type -
ICMP 消息类型。
type: integer
-
zeek.connection.icmp.code -
ICMP 消息代码。
type: integer
-
zeek.connection.history -
指示会话历史的标志。
type: keyword
-
zeek.connection.vlan -
VLAN 标识符。
type: integer
-
zeek.connection.inner_vlan -
VLAN 标识符。
type: integer
由 Zeek DCE_RPC 日志导出的字段
-
zeek.dce_rpc.rtt -
从请求到响应的往返时间。如果未看到请求或响应,则此值将为空。
type: integer
-
zeek.dce_rpc.named_pipe -
远程管道名称。
type: keyword
-
zeek.dce_rpc.endpoint -
从 uuid 查找的端点名称。
type: keyword
-
zeek.dce_rpc.operation -
在调用中看到的操作。
type: keyword
由 Zeek DHCP 日志导出的字段
-
zeek.dhcp.domain -
服务器在选项 15 中给出的域。
type: keyword
-
zeek.dhcp.duration -
DHCP 会话的持续时间,以秒为单位,表示从第一条消息到最后一条消息的时间。
type: double
-
zeek.dhcp.hostname -
客户端在主机名选项 12 中给出的名称。
type: keyword
-
zeek.dhcp.client_fqdn -
客户端在客户端 FQDN 选项 81 中给出的 FQDN。
type: keyword
-
zeek.dhcp.lease_time -
IP 地址租用间隔,以秒为单位。
type: integer
在此 DHCP 交换中看到的地址。
-
zeek.dhcp.address.assigned -
服务器分配的 IP 地址。
type: ip
-
zeek.dhcp.address.client -
客户端的 IP 地址。如果事务只是客户端发送 INFORM 消息,则不会交换租用信息,因此了解谁发送了消息很有帮助。要在此字段中获取地址,需要客户端至少使用非广播地址发送一条 DHCP 消息。
type: ip
-
zeek.dhcp.address.mac -
客户端的硬件地址。
type: keyword
-
zeek.dhcp.address.requested -
客户端请求的 IP 地址。
type: ip
-
zeek.dhcp.address.server -
DHCP 服务器的 IP 地址。
type: ip
-
zeek.dhcp.msg.types -
在此交换中看到的 DHCP 消息类型列表。
type: keyword
-
zeek.dhcp.msg.origin -
(如果加载了 policy/protocols/dhcp/msg-orig.bro)来自 msg.types 字段的每条消息的原始地址。
type: ip
-
zeek.dhcp.msg.client -
通常伴随 DHCP_DECLINE 的消息,以便客户端可以告诉服务器它拒绝某个地址的原因。
type: keyword
-
zeek.dhcp.msg.server -
通常伴随 DHCP_NAK 的消息,以告知客户端它拒绝请求的原因。
type: keyword
-
zeek.dhcp.software.client -
(如果加载了 policy/protocols/dhcp/software.bro)客户端在 vendor_class 选项中报告的软件。
type: keyword
-
zeek.dhcp.software.server -
(如果加载了 policy/protocols/dhcp/software.bro)客户端在 vendor_class 选项中报告的软件。
type: keyword
-
zeek.dhcp.id.circuit -
(如果加载了 policy/protocols/dhcp/sub-opts.bro)由终止交换或永久电路的 DHCP 中继代理添加。它对从其中接收到 DHCP 客户端到服务器数据包的电路的代理本地标识符进行编码。通常,它应表示路由器或交换机接口编号。
type: keyword
-
zeek.dhcp.id.remote_agent -
(如果加载了 policy/protocols/dhcp/sub-opts.bro)由中继代理添加的全局唯一标识符,用于标识电路的远程主机端。
type: keyword
-
zeek.dhcp.id.subscriber -
(如果加载了 policy/protocols/dhcp/sub-opts.bro)订阅者 ID 是独立于物理网络配置的值,以便可以正确地将客户的 DHCP 配置提供给他们,无论他们以物理方式连接到何处。
type: keyword
由 Zeek DNP3 日志导出的字段
-
zeek.dnp3.function.request -
请求中功能消息的名称。
type: keyword
-
zeek.dnp3.function.reply -
回复中功能消息的名称。
type: keyword
-
zeek.dnp3.id -
回复的内部指示号。
type: integer
由 Zeek DNS 日志导出的字段
-
zeek.dns.trans_id -
DNS 事务标识符。
type: keyword
-
zeek.dns.rtt -
查询和响应的往返时间。
type: double
-
zeek.dns.query -
作为 DNS 查询主题的域名。
type: keyword
-
zeek.dns.qclass -
指定查询类别的 QCLASS 值。
type: long
-
zeek.dns.qclass_name -
查询类别的描述性名称。
type: keyword
-
zeek.dns.qtype -
指定查询类型的 QTYPE 值。
type: long
-
zeek.dns.qtype_name -
查询类型的描述性名称。
type: keyword
-
zeek.dns.rcode -
DNS 响应消息中的响应代码值。
type: long
-
zeek.dns.rcode_name -
响应代码值的描述性名称。
type: keyword
-
zeek.dns.AA -
响应消息的权威应答位,指定响应名称服务器是问题部分中域名的权威。
type: boolean
-
zeek.dns.TC -
截断位指定消息被截断。
type: boolean
-
zeek.dns.RD -
请求消息中的递归期望位指示客户端希望为此查询提供递归服务。
type: boolean
-
zeek.dns.RA -
响应消息中的递归可用位指示名称服务器支持递归查询。
type: boolean
-
zeek.dns.answers -
查询应答中的资源描述集。
type: keyword
-
zeek.dns.TTLs -
由 answers 字段描述的关联 RR 的缓存间隔。
type: double
-
zeek.dns.rejected -
指示 DNS 查询是否被服务器拒绝。
type: boolean
-
zeek.dns.total_answers -
回复中的资源记录总数。
type: integer
-
zeek.dns.total_replies -
回复消息中的资源记录总数。
type: integer
-
zeek.dns.saw_query -
是否已看到完整的 DNS 查询。
type: boolean
-
zeek.dns.saw_reply -
是否已看到完整的 DNS 回复。
type: boolean
由 Zeek DPD 日志导出的字段
-
zeek.dpd.analyzer -
生成违规的分析器。
type: keyword
-
zeek.dpd.failure_reason -
分析失败的文本原因。
type: keyword
-
zeek.dpd.packet_segment -
(如果加载了 policy/frameworks/dpd/packet-segment-logging.bro)最有可能导致协议违规的有效负载块。
type: keyword
由 Zeek 文件日志导出的字段。
-
zeek.files.fuid -
文件唯一标识符。
type: keyword
-
zeek.files.tx_host -
传输文件的主机。
type: ip
-
zeek.files.rx_host -
接收文件的主机。
type: ip
-
zeek.files.session_ids -
具有此文件的会话。
type: keyword
-
zeek.files.source -
文件数据源的标识。例如,它可能是传输文件的网络协议,或读取的本地文件路径,或其他一些输入源。
type: keyword
-
zeek.files.depth -
一个值,用于表示此文件相对于其源的深度。在 SMTP 中,它是消息中 MIME 附件的深度。在 HTTP 中,它是 TCP 连接中请求的深度。
type: long
-
zeek.files.analyzers -
在文件分析期间完成的分析类型集。
type: keyword
-
zeek.files.mime_type -
文件的 Mime 类型。
type: keyword
-
zeek.files.filename -
文件的名称(如果可用)。
type: keyword
-
zeek.files.local_orig -
如果此文件的源是网络连接,则此字段指示数据是否来自本地网络。
type: boolean
-
zeek.files.is_orig -
如果此文件的源是网络连接,则此字段指示文件是由连接的发起方还是响应方发送的。
type: boolean
-
zeek.files.duration -
分析文件的持续时间。不是会话的持续时间。
type: double
-
zeek.files.seen_bytes -
为文件提供给文件分析引擎的字节数。
type: long
-
zeek.files.total_bytes -
应该构成完整文件的总字节数。
type: long
-
zeek.files.missing_bytes -
在分析过程中完全丢失的文件流中的字节数。
type: long
-
zeek.files.overflow_bytes -
未传递给流文件分析器的文件流中的字节数。这可能是重叠的字节或无法重新组装的字节。
type: long
-
zeek.files.timedout -
文件分析是否至少超时一次。
type: boolean
-
zeek.files.parent_fuid -
与从中提取此文件的容器文件关联的标识符,作为文件分析的一部分。
type: keyword
-
zeek.files.md5 -
文件内容的 MD5 摘要。
type: keyword
-
zeek.files.sha1 -
文件内容的 SHA1 摘要。
type: keyword
-
zeek.files.sha256 -
文件内容的 SHA256 摘要。
type: keyword
-
zeek.files.extracted -
提取文件的本地文件名。
type: keyword
-
zeek.files.extracted_cutoff -
指示提取的文件是否被截断,因此未完全提取。
type: boolean
-
zeek.files.extracted_size -
提取到磁盘的字节数。
type: long
-
zeek.files.entropy -
文件内容的信息密度。
type: double
由 Zeek FTP 日志导出的字段
-
zeek.ftp.user -
当前 FTP 会话的用户名。
type: keyword
-
zeek.ftp.password -
如果捕获到当前 FTP 会话的密码。
type: keyword
-
zeek.ftp.command -
客户端给出的命令。
type: keyword
-
zeek.ftp.arg -
如果提供了命令,则为该命令的参数。
type: keyword
-
zeek.ftp.file.size -
如果命令指示文件传输,则为文件的大小。
type: long
-
zeek.ftp.file.mime_type -
嗅探到的文件 mime 类型。
type: keyword
-
zeek.ftp.file.fuid -
(如果加载了 base/protocols/ftp/files.bro)文件唯一 ID。
type: keyword
-
zeek.ftp.reply.code -
服务器响应命令的回复代码。
type: integer
-
zeek.ftp.reply.msg -
服务器响应命令的回复消息。
type: keyword
预期的 FTP 数据通道。
-
zeek.ftp.data_channel.passive -
是否为控制通道切换了 PASV 模式。
type: boolean
-
zeek.ftp.data_channel.originating_host -
将发起数据连接的主机。
type: ip
-
zeek.ftp.data_channel.response_host -
将接受数据连接的主机。
type: ip
-
zeek.ftp.data_channel.response_port -
接受方正在监听数据连接的端口。
type: integer
-
zeek.ftp.cwd -
此会话所在的当前工作目录。通过将默认值设为 .,我们可以表示,除非发现了更具体的信息,否则可以使用现有但未知的目录。
type: keyword
当前正在等待响应的命令。
-
zeek.ftp.cmdarg.cmd -
命令。
type: keyword
-
zeek.ftp.cmdarg.arg -
如果给出了命令的参数。
type: keyword
-
zeek.ftp.cmdarg.seq -
用于跟踪已执行命令数量的计数器。
type: integer
-
zeek.ftp.pending_commands -
已发送但尚未响应的命令的队列在此处跟踪。
type: integer
-
zeek.ftp.passive -
指示会话处于主动模式还是被动模式。
type: boolean
-
zeek.ftp.capture_password -
确定是否为此请求捕获密码。
type: boolean
-
zeek.ftp.last_auth_requested -
如果加载了 base/protocols/ftp/gridftp.bro,则存在。上次使用的身份验证/安全机制。
type: keyword
Zeek HTTP 日志导出的字段
-
zeek.http.trans_depth -
表示此请求/响应事务在连接中的管道深度。
type: integer
-
zeek.http.status_msg -
服务器返回的状态消息。
type: keyword
-
zeek.http.info_code -
服务器返回的最后看到的 1xx 信息性回复代码。
type: integer
-
zeek.http.info_msg -
服务器返回的最后看到的 1xx 信息性回复消息。
type: keyword
-
zeek.http.tags -
一组指示器,指示与特定请求/响应对相关的已发现的各种属性。
type: keyword
-
zeek.http.password -
如果为请求执行基本身份验证,则为密码。
type: keyword
-
zeek.http.captured_password -
确定是否为此请求捕获密码。
type: boolean
-
zeek.http.proxied -
所有可能指示 HTTP 请求是否被代理的标头。
type: keyword
-
zeek.http.range_request -
指示此请求是否可以假定响应中包含 206 部分内容。
type: boolean
-
zeek.http.client_header_names -
客户端发送的 HTTP 标头名称的向量。此处不包含标头值,只有标头名称。
type: keyword
-
zeek.http.server_header_names -
服务器发送的 HTTP 标头名称的向量。此处不包含标头值,只有标头名称。
type: keyword
-
zeek.http.orig_fuids -
来自发起者的文件唯一 ID 的有序向量。
type: keyword
-
zeek.http.orig_mime_types -
来自发起者的 MIME 类型的有序向量。
type: keyword
-
zeek.http.orig_filenames -
来自发起者的文件名的有序向量。
type: keyword
-
zeek.http.resp_fuids -
来自响应者的文件唯一 ID 的有序向量。
type: keyword
-
zeek.http.resp_mime_types -
来自响应者的 MIME 类型的有序向量。
type: keyword
-
zeek.http.resp_filenames -
来自响应者的文件名的有序向量。
type: keyword
-
zeek.http.orig_mime_depth -
HTTP 请求消息正文中的当前 MIME 实体数。
type: integer
-
zeek.http.resp_mime_depth -
HTTP 响应消息正文中的当前 MIME 实体数。
type: integer
Zeek Intel 日志导出的字段。
-
zeek.intel.seen.indicator -
情报指示器。
type: keyword
-
zeek.intel.seen.indicator_type -
指示器表示的数据类型。
type: keyword
-
zeek.intel.seen.host -
如果指示器类型为 Intel::ADDR,则此字段将存在。
type: keyword
-
zeek.intel.seen.conn -
如果数据是在连接中发现的,则连接记录应放在此处,以便为数据提供上下文。
type: keyword
-
zeek.intel.seen.where -
发现数据的位置。
type: keyword
-
zeek.intel.seen.node -
发现匹配的节点的名称。
type: keyword
-
zeek.intel.seen.uid -
如果数据是在连接中发现的,则连接 uid 应放在此处,以便为数据提供上下文。如果提供了 conn 字段,则将自动填写此字段。
type: keyword
-
zeek.intel.seen.f -
如果数据是在文件中发现的,则文件记录应放在此处,以便为数据提供上下文。
type: object
-
zeek.intel.seen.fuid -
如果数据是在文件中发现的,则文件 uid 应放在此处,以便为数据提供上下文。如果提供了文件记录 f,则将自动填写此字段。
type: keyword
-
zeek.intel.matched -
用于表示在看到的数据中匹配情报数据的事件。
type: keyword
-
zeek.intel.sources -
为此匹配提供数据的来源。
type: keyword
-
zeek.intel.fuid -
如果文件与此情报命中关联,则这是该文件的 uid。
type: keyword
-
zeek.intel.file_mime_type -
如果情报命中与文件相关,则为 MIME 类型。如果提供了 $f 字段,则将自动填写此字段。
type: keyword
-
zeek.intel.file_desc -
通常可以描述文件以提供更多上下文。如果提供了 $f 字段,则将自动填写此字段。
type: keyword
Zeek IRC 日志导出的字段
-
zeek.irc.nick -
为连接提供的昵称。
type: keyword
-
zeek.irc.user -
为连接提供的用户名。
type: keyword
-
zeek.irc.command -
客户端给出的命令。
type: keyword
-
zeek.irc.value -
客户端提供的命令的值。
type: keyword
-
zeek.irc.addl -
命令的任何其他数据。
type: keyword
-
zeek.irc.dcc.file.name -
如果加载了 base/protocols/irc/dcc-send.bro,则存在。请求的 DCC 文件名。
type: keyword
-
zeek.irc.dcc.file.size -
如果加载了 base/protocols/irc/dcc-send.bro,则存在。发送方指示的 DCC 传输大小。
type: long
-
zeek.irc.dcc.mime_type -
如果加载了 base/protocols/irc/dcc-send.bro,则存在。文件的嗅探 MIME 类型。
type: keyword
-
zeek.irc.fuid -
如果加载了 base/protocols/irc/files.bro,则存在。文件唯一 ID。
type: keyword
Zeek Kerberos 日志导出的字段
-
zeek.kerberos.request_type -
请求类型 - 身份验证服务 (AS) 或票证授予服务 (TGS)。
type: keyword
-
zeek.kerberos.client -
客户端名称。
type: keyword
-
zeek.kerberos.service -
服务名称。
type: keyword
-
zeek.kerberos.success -
请求结果。
type: boolean
-
zeek.kerberos.error.code -
错误代码。
type: integer
-
zeek.kerberos.error.msg -
错误消息。
type: keyword
-
zeek.kerberos.valid.from -
票证的有效起始时间。
type: date
-
zeek.kerberos.valid.until -
票证的有效截止时间。
type: date
-
zeek.kerberos.valid.days -
票证有效的总天数。
type: integer
-
zeek.kerberos.cipher -
票证加密类型。
type: keyword
-
zeek.kerberos.forwardable -
已请求可转发的票证。
type: boolean
-
zeek.kerberos.renewable -
已请求可续订的票证。
type: boolean
-
zeek.kerberos.ticket.auth -
用于授权请求/事务的票证哈希。
type: keyword
-
zeek.kerberos.ticket.new -
KDC 返回的票证哈希。
type: keyword
-
zeek.kerberos.cert.client.value -
客户端证书。
type: keyword
-
zeek.kerberos.cert.client.fuid -
客户端证书的文件唯一 ID。
type: keyword
-
zeek.kerberos.cert.client.subject -
客户端证书的主题。
type: keyword
-
zeek.kerberos.cert.server.value -
服务器证书。
type: keyword
-
zeek.kerberos.cert.server.fuid -
服务器证书的文件唯一 ID。
type: keyword
-
zeek.kerberos.cert.server.subject -
服务器证书的主题。
type: keyword
Zeek modbus 日志导出的字段。
-
zeek.modbus.function -
发送的功能消息的名称。
type: keyword
-
zeek.modbus.exception -
如果响应失败,则为异常。
type: keyword
-
zeek.modbus.track_address -
如果加载了 policy/protocols/modbus/track-memmap.bro,则存在。Modbus 跟踪地址。
type: integer
Zeek MySQL 日志导出的字段。
-
zeek.mysql.cmd -
发出的命令。
type: keyword
-
zeek.mysql.arg -
向命令发出的参数。
type: keyword
-
zeek.mysql.success -
命令是否成功。
type: boolean
-
zeek.mysql.rows -
受影响的行数(如果有)。
type: integer
-
zeek.mysql.response -
服务器消息(如果有)。
type: keyword
Zeek 通知日志导出的字段。
-
zeek.notice.connection_id -
相关连接会话的标识符。
type: keyword
-
zeek.notice.icmp_id -
相关 ICMP 会话的标识符。
type: keyword
-
zeek.notice.file.id -
与此通知相关的单个文件的标识符。
type: keyword
-
zeek.notice.file.parent_id -
与从中提取此文件的容器文件关联的标识符。
type: keyword
-
zeek.notice.file.source -
文件数据源的标识。例如,它可能是传输文件的网络协议,或读取的本地文件路径,或其他一些输入源。
type: keyword
-
zeek.notice.file.mime_type -
如果通知与文件相关,则为 MIME 类型。
type: keyword
-
zeek.notice.file.is_orig -
如果此文件的源是网络连接,则此字段指示文件是由连接的发起方还是响应方发送的。
type: boolean
-
zeek.notice.file.seen_bytes -
为文件提供给文件分析引擎的字节数。
type: long
-
zeek.notice.ffile.total_bytes -
应该构成完整文件的总字节数。
type: long
-
zeek.notice.file.missing_bytes -
在分析过程中完全丢失的文件流中的字节数。
type: long
-
zeek.notice.file.overflow_bytes -
未传递给流文件分析器的文件流中的字节数。这可能是重叠的字节或无法重新组装的字节。
type: long
-
zeek.notice.fuid -
如果此通知与文件相关,则为文件唯一 ID。
type: keyword
-
zeek.notice.note -
通知的类型。
type: keyword
-
zeek.notice.msg -
通知的人工可读消息。
type: keyword
-
zeek.notice.sub -
人工可读的子消息。
type: keyword
-
zeek.notice.n -
关联的计数或状态代码。
type: long
-
zeek.notice.peer_name -
引发此通知的远程对等方的名称。
type: keyword
-
zeek.notice.peer_descr -
引发此通知的对等方的文本描述。
type: text
-
zeek.notice.actions -
已应用于此通知的操作。
type: keyword
-
zeek.notice.email_body_sections -
通过将文本块添加到此元素中,其他脚本可以扩展正在通过电子邮件发送的通知。
type: text
-
zeek.notice.email_delay_tokens -
将字符串令牌添加到此集中将导致内置的电子邮件功能延迟发送电子邮件,直到令牌被删除或电子邮件被延迟了指定的时间长度。
type: keyword
-
zeek.notice.identifier -
当生成用于重复数据删除通知的通知时,将提供此字段。
type: keyword
-
zeek.notice.suppress_for -
此字段指示应抑制此唯一通知的时间长度。
type: double
-
zeek.notice.dropped -
指示是否丢弃了源 IP 地址并拒绝了网络访问。
type: boolean
Zeek NTLM 日志导出的字段。
-
zeek.ntlm.domain -
客户端给出的域名。
type: keyword
-
zeek.ntlm.hostname -
客户端给出的主机名。
type: keyword
-
zeek.ntlm.success -
指示身份验证是否成功。
type: boolean
-
zeek.ntlm.username -
客户端给出的用户名。
type: keyword
-
zeek.ntlm.server.name.dns -
服务器在 CHALLENGE 中给出的 DNS 名称。
type: keyword
-
zeek.ntlm.server.name.netbios -
服务器在 CHALLENGE 中给出的 NetBIOS 名称。
type: keyword
-
zeek.ntlm.server.name.tree -
服务器在 CHALLENGE 中给出的树名称。
type: keyword
Zeek NTP 日志导出的字段。
-
zeek.ntp.version -
NTP 版本号 (1、2、3、4)。
type: integer
-
zeek.ntp.mode -
正在使用的 NTP 模式。
type: integer
-
zeek.ntp.stratum -
层级(主服务器、辅助服务器等)。
type: integer
-
zeek.ntp.poll -
连续消息之间以秒为单位的最大间隔。
type: double
-
zeek.ntp.precision -
系统时钟的精度,以秒为单位。
type: double
-
zeek.ntp.root_delay -
到参考时钟的总往返延迟,以秒为单位。
type: double
-
zeek.ntp.root_disp -
到参考时钟的总分散,以秒为单位。
type: double
-
zeek.ntp.ref_id -
对于层级 0,使用 4 个字符的字符串进行调试。对于层级 1,使用 IANA 分配给参考时钟的 ID。高于层级 1 时,如果使用 IPv4,则为参考时钟的 IP 地址。请注意,NTP 协议最初并未指定足够大的字段来表示 IPv6 地址,因此它们使用参考时钟 IPv6 地址的 MD5 哈希值的前四个字节(即,这里的 IPv4 地址不一定是 IPv4 地址)。
type: keyword
-
zeek.ntp.ref_time -
系统时钟上次设置或校正的时间。
type: date
-
zeek.ntp.org_time -
客户端向 NTP 服务器发送请求时的时间。
type: date
-
zeek.ntp.rec_time -
服务器从 NTP 客户端收到请求时的时间。
type: date
-
zeek.ntp.xmt_time -
服务器向 NTP 客户端发送响应时的时间。
type: date
-
zeek.ntp.num_exts -
扩展字段的数量(当前未解析)。
type: integer
Zeek OCSP 日志导出的字段,在线证书状态协议 (OCSP)。仅在加载策略脚本时创建。
-
zeek.ocsp.file_id -
OCSP 回复的文件 ID。
type: keyword
-
zeek.ocsp.hash.algorithm -
用于生成 issuerNameHash 和 issuerKeyHash 的哈希算法。
type: keyword
-
zeek.ocsp.hash.issuer.name -
颁发者可分辨名称的哈希值。
type: keyword
-
zeek.ocsp.hash.issuer.key -
颁发者公钥的哈希值。
type: keyword
-
zeek.ocsp.serial_number -
受影响证书的序列号。
type: keyword
-
zeek.ocsp.status -
受影响证书的状态。
type: keyword
-
zeek.ocsp.revoke.time -
证书被吊销的时间。
type: date
-
zeek.ocsp.revoke.reason -
证书被吊销的原因。
type: keyword
-
zeek.ocsp.update.this -
已知显示的状态正确的时间。
type: date
-
zeek.ocsp.update.next -
有关证书状态的新信息可用的最晚时间。
type: date
Zeek pe 日志导出的字段。
-
zeek.pe.client -
客户端的版本字符串。
type: keyword
-
zeek.pe.id -
此可移植可执行文件的文件 ID。
type: keyword
-
zeek.pe.machine -
编译该文件的目标机器。
type: keyword
-
zeek.pe.compile_time -
创建文件的时间。
type: date
-
zeek.pe.os -
所需的操作系统。
type: keyword
-
zeek.pe.subsystem -
运行此文件所需的子系统。
type: keyword
-
zeek.pe.is_exe -
该文件是可执行文件,还是只是一个目标文件?
type: boolean
-
zeek.pe.is_64bit -
该文件是 64 位可执行文件吗?
type: boolean
-
zeek.pe.uses_aslr -
该文件是否支持地址空间布局随机化?
type: boolean
-
zeek.pe.uses_dep -
该文件是否支持数据执行保护?
type: boolean
-
zeek.pe.uses_code_integrity -
该文件是否强制执行代码完整性检查?
type: boolean
-
zeek.pe.uses_seh -
该文件是否使用结构化异常处理?
type: boolean
-
zeek.pe.has_import_table -
该文件是否有导入表?
type: boolean
-
zeek.pe.has_export_table -
该文件是否有导出表?
type: boolean
-
zeek.pe.has_cert_table -
该文件是否有属性证书表?
type: boolean
-
zeek.pe.has_debug_data -
该文件是否有调试表?
type: boolean
-
zeek.pe.section_names -
按顺序排列的节名称。
type: keyword
Zeek Radius 日志导出的字段。
-
zeek.radius.username -
用户名(如果存在)。
type: keyword
-
zeek.radius.mac -
MAC 地址(如果存在)。
type: keyword
-
zeek.radius.framed_addr -
分配给网络访问服务器的地址(如果存在)。这只是来自 RADIUS 服务器的提示,网络访问服务器不一定必须遵守该地址。
type: ip
-
zeek.radius.remote_ip -
远程 IP 地址(如果存在)。这是从 Tunnel-Client-Endpoint 属性收集的。
type: ip
-
zeek.radius.connect_info -
连接信息(如果存在)。
type: keyword
-
zeek.radius.reply_msg -
来自服务器质询的回复消息。这通常显示给正在进行身份验证的用户。
type: keyword
-
zeek.radius.result -
身份验证成功或失败。
type: keyword
-
zeek.radius.ttl -
从第一个请求到“Access-Accept”消息或错误之间的时间间隔。如果该字段为空,则表示未看到请求或响应。
type: integer
-
zeek.radius.logged -
是否已记录此项,可以忽略。
type: boolean
Zeek RDP 日志导出的字段。
-
zeek.rdp.cookie -
客户端计算机使用的 Cookie 值。这通常是用户名。
type: keyword
-
zeek.rdp.result -
连接的状态结果。它是 RDP 协商失败消息和 GCC 服务器创建响应消息的混合。
type: keyword
-
zeek.rdp.security_protocol -
服务器选择的安全协议。
type: keyword
-
zeek.rdp.keyboard_layout -
客户端计算机的键盘布局(语言)。
type: keyword
-
zeek.rdp.client.build -
客户端计算机使用的 RDP 客户端版本。
type: keyword
-
zeek.rdp.client.client_name -
客户端计算机的名称。
type: keyword
-
zeek.rdp.client.product_id -
客户端计算机的产品 ID。
type: keyword
-
zeek.rdp.desktop.width -
客户端计算机的桌面宽度。
type: integer
-
zeek.rdp.desktop.height -
客户端计算机的桌面高度。
type: integer
-
zeek.rdp.desktop.color_depth -
客户端在高_color_depth 字段中请求的颜色深度。
type: keyword
-
zeek.rdp.cert.type -
如果连接正在使用本机 RDP 加密进行加密,则这是正在使用的证书类型。
type: keyword
-
zeek.rdp.cert.count -
看到的证书数量。X.509 可以传输整个证书链。
type: integer
-
zeek.rdp.cert.permanent -
指示提供的证书或证书链是永久的还是临时的。
type: boolean
-
zeek.rdp.encryption.level -
连接的加密级别。
type: keyword
-
zeek.rdp.encryption.method -
连接的加密方法。
type: keyword
-
zeek.rdp.done -
跟踪记录 RDP 连接的状态。
type: boolean
-
zeek.rdp.ssl -
(如果加载了 policy/protocols/rdp/indicate_ssl.bro)标记通过 SSL 看到的连接。
type: boolean
Zeek RFB 日志导出的字段。
-
zeek.rfb.version.client.major -
客户端的主版本。
type: keyword
-
zeek.rfb.version.client.minor -
客户端的次版本。
type: keyword
-
zeek.rfb.version.server.major -
服务器的主版本。
type: keyword
-
zeek.rfb.version.server.minor -
服务器的次版本。
type: keyword
-
zeek.rfb.auth.success -
身份验证是否成功。
type: boolean
-
zeek.rfb.auth.method -
所用身份验证方法的标识符。
type: keyword
-
zeek.rfb.share_flag -
客户端是否具有独占会话或共享会话。
type: boolean
-
zeek.rfb.desktop_name -
正在共享的屏幕的名称。
type: keyword
-
zeek.rfb.width -
正在共享的屏幕的宽度。
type: integer
-
zeek.rfb.height -
正在共享的屏幕的高度。
type: integer
Zeek 签名日志导出的字段。
-
zeek.signature.note -
与签名事件关联的通知。
type: keyword
-
zeek.signature.sig_id -
匹配的签名的名称。
type: keyword
-
zeek.signature.event_msg -
签名匹配事件的更具描述性的消息。
type: keyword
-
zeek.signature.sub_msg -
提取的有效负载数据或额外消息。
type: keyword
-
zeek.signature.sig_count -
签名数,通常来自汇总计数。
type: integer
-
zeek.signature.host_count -
主机数,来自汇总计数。
type: integer
Zeek SIP 日志导出的字段。
-
zeek.sip.transaction_depth -
表示此请求/响应事务在连接中的管道深度。
type: integer
-
zeek.sip.sequence.method -
SIP 请求中使用的动词 (INVITE, REGISTER 等)。
type: keyword
-
zeek.sip.sequence.number -
来自客户端的 CSeq: 标头的内容。
type: keyword
-
zeek.sip.uri -
请求中使用的 URI。
type: keyword
-
zeek.sip.date -
来自客户端的 Date: 标头的内容。
type: keyword
-
zeek.sip.request.from -
请求 From: 标头的内容。注意:通常附加到发送方的 tag= 值被删除且不会记录。
type: keyword
-
zeek.sip.request.to -
To: 标头的内容。
type: keyword
-
zeek.sip.request.path -
客户端消息传输路径,从标头中提取。
type: keyword
-
zeek.sip.request.body_length -
来自客户端的 Content-Length: 标头的内容。
type: long
-
zeek.sip.response.from -
响应 From: 标头的内容。注意:通常附加到发送方的 tag= 值被删除且不会记录。
type: keyword
-
zeek.sip.response.to -
响应 To: 标头的内容。
type: keyword
-
zeek.sip.response.path -
服务器消息传输路径,从标头中提取。
type: keyword
-
zeek.sip.response.body_length -
来自服务器的 Content-Length: 标头的内容。
type: long
-
zeek.sip.reply_to -
Reply-To: 标头的内容。
type: keyword
-
zeek.sip.call_id -
来自客户端的 Call-ID: 标头的内容。
type: keyword
-
zeek.sip.subject -
来自客户端的 Subject: 标头的内容。
type: keyword
-
zeek.sip.user_agent -
来自客户端的 User-Agent: 标头的内容。
type: keyword
-
zeek.sip.status.code -
服务器返回的状态代码。
type: integer
-
zeek.sip.status.msg -
服务器返回的状态消息。
type: keyword
-
zeek.sip.warning -
Warning: 标头的内容。
type: keyword
-
zeek.sip.content_type -
来自服务器的 Content-Type: 标头的内容。
type: keyword
Zeek smb_cmd 日志导出的字段。
-
zeek.smb_cmd.command -
客户端发送的命令。
type: keyword
-
zeek.smb_cmd.sub_command -
客户端发送的子命令(如果存在)。
type: keyword
-
zeek.smb_cmd.argument -
客户端发送的命令参数(如果有)。
type: keyword
-
zeek.smb_cmd.status -
服务器对客户端命令的回复。
type: keyword
-
zeek.smb_cmd.rtt -
从请求到响应的往返时间。
type: double
-
zeek.smb_cmd.version -
命令的 SMB 版本。
type: keyword
-
zeek.smb_cmd.username -
经过身份验证的用户名(如果可用)。
type: keyword
-
zeek.smb_cmd.tree -
如果与树相关,则这是当前命令使用的树。
type: keyword
-
zeek.smb_cmd.tree_service -
树的类型(磁盘共享、打印机共享、命名管道等)。
type: keyword
如果命令引用了文件,则将其存储在此处。
-
zeek.smb_cmd.file.name -
如果看到文件名。
type: keyword
-
zeek.smb_cmd.file.action -
此日志记录表示的操作。
type: keyword
-
zeek.smb_cmd.file.uid -
引用文件的 UID。
type: keyword
-
zeek.smb_cmd.file.host.tx -
传输主机地址。
type: ip
-
zeek.smb_cmd.file.host.rx -
接收主机地址。
type: ip
-
zeek.smb_cmd.smb1_offered_dialects -
如果加载了 base/protocols/smb/smb1-main.bro,则存在。客户端提供的方言。
type: keyword
-
zeek.smb_cmd.smb2_offered_dialects -
如果加载了 base/protocols/smb/smb2-main.bro,则存在。客户端提供的方言。
type: integer
Zeek SMB Files 日志导出的字段。
-
zeek.smb_files.action -
此日志记录表示的操作。
type: keyword
-
zeek.smb_files.fid -
引用此文件的 ID。
type: integer
-
zeek.smb_files.name -
如果看到文件名。
type: keyword
-
zeek.smb_files.path -
从此文件传输到或从其传输的树中提取的路径。
type: keyword
-
zeek.smb_files.previous_name -
如果看到重命名操作,则这将是该文件之前的名称。
type: keyword
-
zeek.smb_files.size -
文件的大小(以字节为单位)。
type: long
文件的时间戳。
-
zeek.smb_files.times.accessed -
文件的访问时间。
type: date
-
zeek.smb_files.times.changed -
文件的更改时间。
type: date
-
zeek.smb_files.times.created -
文件的创建时间。
type: date
-
zeek.smb_files.times.modified -
文件的修改时间。
type: date
-
zeek.smb_files.uuid -
如果为 DCE/RPC,则引用此文件的 UUID。
type: keyword
Zeek SMB_Mapping 日志导出的字段。
-
zeek.smb_mapping.path -
树路径的名称。
type: keyword
-
zeek.smb_mapping.service -
树的资源类型(磁盘共享、打印机共享、命名管道等)。
type: keyword
-
zeek.smb_mapping.native_file_system -
树的文件系统。
type: keyword
-
zeek.smb_mapping.share_type -
如果这是 SMB2,则将包含共享类型。对于 SMB1,将推断共享类型并将其包括在内。
type: keyword
Zeek SMTP 日志导出的字段。
-
zeek.smtp.transaction_depth -
一个计数,表示在单个连接中传输多个消息时此消息事务的深度。
type: integer
-
zeek.smtp.helo -
Helo 标头的内容。
type: keyword
-
zeek.smtp.mail_from -
在 MAIL FROM 标头中找到的电子邮件地址。
type: keyword
-
zeek.smtp.rcpt_to -
在 RCPT TO 标头中找到的电子邮件地址。
type: keyword
-
zeek.smtp.date -
Date 标头的内容。
type: date
-
zeek.smtp.from -
From 标头的内容。
type: keyword
-
zeek.smtp.to -
To 标头的内容。
type: keyword
-
zeek.smtp.cc -
CC 标头的内容。
type: keyword
-
zeek.smtp.reply_to -
ReplyTo 标头的内容。
type: keyword
-
zeek.smtp.msg_id -
MsgID 标头的内容。
type: keyword
-
zeek.smtp.in_reply_to -
In-Reply-To 标头的内容。
type: keyword
-
zeek.smtp.subject -
Subject 标头的内容。
type: keyword
-
zeek.smtp.x_originating_ip -
X-Originating-IP 标头的内容。
type: keyword
-
zeek.smtp.first_received -
第一个 Received 标头的内容。
type: keyword
-
zeek.smtp.second_received -
第二个 Received 标头的内容。
type: keyword
-
zeek.smtp.last_reply -
服务器发送给客户端的最后一条消息。
type: keyword
-
zeek.smtp.path -
从标头中提取的消息传输路径。
type: ip
-
zeek.smtp.user_agent -
来自客户端的 User-Agent 标头的值。
type: keyword
-
zeek.smtp.tls -
指示连接已切换到使用 TLS。
type: boolean
-
zeek.smtp.process_received_from -
指示是否应继续处理 “Received: from” 标头。
type: boolean
-
zeek.smtp.has_client_activity -
指示是否已看到客户端活动,但尚未记录。
type: boolean
-
zeek.smtp.fuids -
(如果加载了 base/protocols/smtp/files.bro)附加到消息的文件唯一 ID 的有序向量。
type: keyword
-
zeek.smtp.is_webmail -
指示消息是否通过网络邮件界面发送。
type: boolean
Zeek SNMP 日志导出的字段。
-
zeek.snmp.duration -
SNMP 会话的第一个数据包与看到的最后一个数据包之间的时间量。
type: double
-
zeek.snmp.version -
正在使用的 SNMP 版本。
type: keyword
-
zeek.snmp.community -
与会话关联的第一个 SNMP 数据包的 community 字符串。这用作 SNMP(v1 和 v2c)管理/安全框架的一部分。请参阅 RFC 1157 或 RFC 1901。
type: keyword
-
zeek.snmp.get.requests -
会话中看到的 GetRequest/GetNextRequest PDU 中的变量绑定数。
type: integer
-
zeek.snmp.get.bulk_requests -
会话中看到的 GetBulkRequest PDU 中的变量绑定数。
type: integer
-
zeek.snmp.get.responses -
会话中看到的 GetResponse/Response PDU 中的变量绑定数。
type: integer
-
zeek.snmp.set.requests -
会话中看到的 SetRequest PDU 中的变量绑定数。
type: integer
-
zeek.snmp.display_string -
SNMP 响应器端点的系统描述。
type: keyword
-
zeek.snmp.up_since -
SNMP 响应器端点声称自那时以来已启动的时间。
type: date
Zeek SOCKS 日志导出的字段。
-
zeek.socks.version -
SOCKS 的协议版本。
type: integer
-
zeek.socks.user -
用于请求登录到代理的用户名。
type: keyword
-
zeek.socks.password -
用于请求登录到代理的密码。
type: keyword
-
zeek.socks.status -
使用代理的尝试的服务器状态。
type: keyword
-
zeek.socks.request.host -
客户端请求的 SOCKS 地址。可以是地址、名称或两者。
type: keyword
-
zeek.socks.request.port -
客户端请求的端口。
type: integer
-
zeek.socks.bound.host -
服务器绑定的地址。可以是地址、名称或两者。
type: keyword
-
zeek.socks.bound.port -
服务器绑定的端口。
type: integer
-
zeek.socks.capture_password -
确定是否为此请求捕获密码。
type: boolean
Zeek SSH 日志导出的字段。
-
zeek.ssh.client -
客户端的版本字符串。
type: keyword
-
zeek.ssh.direction -
连接方向。如果客户端是登录到外部主机的本地主机,则这将是 OUTBOUND。INBOUND 将设置为相反的情况。
type: keyword
-
zeek.ssh.host_key -
服务器的密钥指纹。
type: keyword
-
zeek.ssh.server -
服务器的版本字符串。
type: keyword
-
zeek.ssh.version -
SSH 主版本(1 或 2)。
type: integer
此会话中使用的加密算法。
-
zeek.ssh.algorithm.cipher -
正在使用的加密算法。
type: keyword
-
zeek.ssh.algorithm.compression -
正在使用的压缩算法。
type: keyword
-
zeek.ssh.algorithm.host_key -
服务器主机密钥的算法。
type: keyword
-
zeek.ssh.algorithm.key_exchange -
正在使用的密钥交换算法。
type: keyword
-
zeek.ssh.algorithm.mac -
正在使用的签名 (MAC) 算法。
type: keyword
-
zeek.ssh.auth.attempts -
我们观察到的身份验证尝试次数。总是至少有一个,因为某些服务器可能根本不支持身份验证。请务必注意,并非所有这些都是失败的,因为某些服务器需要双因素身份验证(例如,密码和公钥)。
type: integer
-
zeek.ssh.auth.success -
身份验证结果。
type: boolean
Zeek SSL 日志导出的字段。
-
zeek.ssl.version -
已记录的 SSL/TLS 版本。
type: keyword
-
zeek.ssl.cipher -
已记录的 SSL/TLS 密码套件。
type: keyword
-
zeek.ssl.curve -
使用 ECDH/ECDHE 时记录的椭圆曲线。
type: keyword
-
zeek.ssl.resumed -
标志,指示会话是否恢复,重复使用先前连接中交换的密钥材料。
type: boolean
-
zeek.ssl.next_protocol -
服务器使用应用层下一协议扩展选择的下一个协议。
type: keyword
-
zeek.ssl.established -
标志,指示此 ssl 会话是否已成功建立。
type: boolean
-
zeek.ssl.validation.status -
此连接的证书验证结果。
type: keyword
-
zeek.ssl.validation.code -
此连接的证书验证结果,以 OpenSSL 验证代码给出。
type: keyword
-
zeek.ssl.last_alert -
连接期间看到的最后一个警报。
type: keyword
-
zeek.ssl.server.name -
服务器名称指示器 SSL/TLS 扩展的值。它指示客户端请求的服务器名称。
type: keyword
-
zeek.ssl.server.cert_chain -
服务器提供的用于验证其完整签名链的证书链。
type: keyword
-
zeek.ssl.server.cert_chain_fuids -
服务器提供的证书的证书文件标识符的有序向量。
type: keyword
服务器提供的 X.509 证书的签名者的主题。
-
zeek.ssl.server.issuer.common_name -
服务器提供的 X.509 证书的签名者的公用名。
type: keyword
-
zeek.ssl.server.issuer.country -
服务器提供的 X.509 证书的签名者的国家代码。
type: keyword
-
zeek.ssl.server.issuer.locality -
服务器提供的 X.509 证书的签名者的所在地。
type: keyword
-
zeek.ssl.server.issuer.organization -
服务器提供的 X.509 证书的签名者的组织。
type: keyword
-
zeek.ssl.server.issuer.organizational_unit -
服务器提供的 X.509 证书的签名者的组织单位。
type: keyword
-
zeek.ssl.server.issuer.state -
服务器提供的 X.509 证书的签名者的州或省名称。
type: keyword
服务器提供的 X.509 证书的主题。
-
zeek.ssl.server.subject.common_name -
服务器提供的 X.509 证书的公用名。
type: keyword
-
zeek.ssl.server.subject.country -
服务器提供的 X.509 证书的国家代码。
type: keyword
-
zeek.ssl.server.subject.locality -
服务器提供的 X.509 证书的所在地。
type: keyword
-
zeek.ssl.server.subject.organization -
服务器提供的 X.509 证书的组织。
type: keyword
-
zeek.ssl.server.subject.organizational_unit -
服务器提供的 X.509 证书的组织单位。
type: keyword
-
zeek.ssl.server.subject.state -
服务器提供的 X.509 证书的州或省名称。
type: keyword
-
zeek.ssl.client.cert_chain -
客户端提供的用于验证其完整签名链的证书链。
type: keyword
-
zeek.ssl.client.cert_chain_fuids -
客户端提供的证书的证书文件标识符的有序向量。
type: keyword
客户端提供的 X.509 证书的签名者的主题。
-
zeek.ssl.client.issuer.common_name -
客户端提供的 X.509 证书的签名者的公用名。
type: keyword
-
zeek.ssl.client.issuer.country -
客户端提供的 X.509 证书的签名者的国家代码。
type: keyword
-
zeek.ssl.client.issuer.locality -
客户端提供的 X.509 证书的签名者的所在地。
type: keyword
-
zeek.ssl.client.issuer.organization -
客户端提供的 X.509 证书的签名者的组织。
type: keyword
-
zeek.ssl.client.issuer.organizational_unit -
客户端提供的 X.509 证书的签名者的组织单位。
type: keyword
-
zeek.ssl.client.issuer.state -
客户端提供的 X.509 证书的签名者的州或省名称。
type: keyword
客户端提供的 X.509 证书的主题。
-
zeek.ssl.client.subject.common_name -
客户端提供的 X.509 证书的公用名。
type: keyword
-
zeek.ssl.client.subject.country -
客户端提供的 X.509 证书的国家代码。
type: keyword
-
zeek.ssl.client.subject.locality -
客户端提供的 X.509 证书的所在地。
type: keyword
-
zeek.ssl.client.subject.organization -
客户端提供的 X.509 证书的组织。
type: keyword
-
zeek.ssl.client.subject.organizational_unit -
客户端提供的 X.509 证书的组织单位。
type: keyword
-
zeek.ssl.client.subject.state -
客户端提供的 X.509 证书的州或省名称。
type: keyword
Zeek stats 日志导出的字段。
-
zeek.stats.peer -
生成此日志的对等方。主要用于集群。
type: keyword
-
zeek.stats.memory -
当前正在使用的内存量,单位为 MB。
type: integer
-
zeek.stats.packets.processed -
自上次统计间隔以来处理的数据包数。
type: long
-
zeek.stats.packets.dropped -
如果读取实时流量,则自上次统计间隔以来丢弃的数据包数。
type: long
-
zeek.stats.packets.received -
如果读取实时流量,则自上次统计间隔以来在链路中看到的数据包数。
type: long
-
zeek.stats.bytes.received -
如果读取实时流量,则自上次统计间隔以来接收的字节数。
type: long
-
zeek.stats.connections.tcp.active -
当前内存中的 TCP 连接。
type: integer
-
zeek.stats.connections.tcp.count -
自上次统计间隔以来看到的 TCP 连接。
type: integer
-
zeek.stats.connections.udp.active -
当前内存中的 UDP 连接。
type: integer
-
zeek.stats.connections.udp.count -
自上次统计间隔以来看到的 UDP 连接。
type: integer
-
zeek.stats.connections.icmp.active -
当前内存中的 ICMP 连接。
type: integer
-
zeek.stats.connections.icmp.count -
自上次统计间隔以来看到的 ICMP 连接。
type: integer
-
zeek.stats.events.processed -
自上次统计间隔以来处理的事件数。
type: integer
-
zeek.stats.events.queued -
自上次统计间隔以来已排队的事件数。
type: integer
-
zeek.stats.timers.count -
自上次统计间隔以来调度的计时器数。
type: integer
-
zeek.stats.timers.active -
当前调度的计时器数。
type: integer
-
zeek.stats.files.count -
自上次统计间隔以来看到的文件数。
type: integer
-
zeek.stats.files.active -
当前正在积极查看的文件数。
type: integer
-
zeek.stats.dns_requests.count -
自上次统计间隔以来看到的 DNS 请求数。
type: integer
-
zeek.stats.dns_requests.active -
当前等待答复的 DNS 请求数。
type: integer
-
zeek.stats.reassembly_size.tcp -
重新组装中 TCP 数据的当前大小。
type: integer
-
zeek.stats.reassembly_size.file -
重新组装中文件数据的当前大小。
type: integer
-
zeek.stats.reassembly_size.frag -
重新组装中数据包片段数据的当前大小。
type: integer
-
zeek.stats.reassembly_size.unknown -
重新组装中未知数据的当前大小(现在只有 PIA 缓冲区)。
type: integer
-
zeek.stats.timestamp_lag -
如果读取实时流量,则墙上时钟和数据包时间戳之间的滞后时间。
type: integer
Zeek syslog 日志导出的字段。
-
zeek.syslog.facility -
消息的 Syslog 设施。
type: keyword
-
zeek.syslog.severity -
消息的 Syslog 严重性。
type: keyword
-
zeek.syslog.message -
纯文本消息。
type: keyword
Zeek SSH 日志导出的字段。
-
zeek.tunnel.type -
隧道类型。
type: keyword
-
zeek.tunnel.action -
发生的活动类型。
type: keyword
Zeek Weird 日志导出的字段。
-
zeek.weird.name -
发生的 weird 的名称。
type: keyword
-
zeek.weird.additional_info -
如果存在,则伴随 weird 的附加信息。
type: keyword
-
zeek.weird.notice -
指示此异常事件是否也被转化为通知。
type: boolean
-
zeek.weird.peer -
产生此异常事件的对等端。 如果特定的集群节点出现问题,这有助于在集群部署中识别哪个节点出现问题。
type: keyword
-
zeek.weird.identifier -
当生成异常事件以进行重复数据删除时,应提供此字段。 对于异常事件的单个实例,标识符字符串应该是唯一的。 此字段用于定义何时在概念上,一个异常事件是先前异常事件的重复。
type: keyword
Zeek x509 日志导出的字段。
-
zeek.x509.id -
此证书的文件 ID。
type: keyword
关于证书的基本信息。
-
zeek.x509.certificate.version -
版本号。
type: integer
-
zeek.x509.certificate.serial -
序列号。
type: keyword
主题。
-
zeek.x509.certificate.subject.country -
证书主题中提供的国家/地区。
type: keyword
-
zeek.x509.certificate.subject.common_name -
证书主题中提供的通用名称。
type: keyword
-
zeek.x509.certificate.subject.locality -
证书主题中提供的区域/市。
type: keyword
-
zeek.x509.certificate.subject.organization -
证书主题中提供的组织。
type: keyword
-
zeek.x509.certificate.subject.organizational_unit -
证书主题中提供的组织单位。
type: keyword
-
zeek.x509.certificate.subject.state -
证书主题中提供的州/省。
type: keyword
颁发者。
-
zeek.x509.certificate.issuer.country -
证书颁发者字段中提供的国家/地区。
type: keyword
-
zeek.x509.certificate.issuer.common_name -
证书颁发者字段中提供的通用名称。
type: keyword
-
zeek.x509.certificate.issuer.locality -
证书颁发者字段中提供的区域/市。
type: keyword
-
zeek.x509.certificate.issuer.organization -
证书颁发者字段中提供的组织。
type: keyword
-
zeek.x509.certificate.issuer.organizational_unit -
证书颁发者字段中提供的组织单位。
type: keyword
-
zeek.x509.certificate.issuer.state -
证书颁发者字段中提供的州/省。
type: keyword
-
zeek.x509.certificate.common_name -
最后一个(最具体)通用名称。
type: keyword
证书有效时间戳
-
zeek.x509.certificate.valid.from -
证书无效之前的的时间戳。
type: date
-
zeek.x509.certificate.valid.until -
证书无效之后的时间戳。
type: date
-
zeek.x509.certificate.key.algorithm -
密钥算法的名称。
type: keyword
-
zeek.x509.certificate.key.type -
如果密钥可被openssl解析(rsa、dsa 或 ec),则为密钥类型。
type: keyword
-
zeek.x509.certificate.key.length -
密钥长度,以位为单位。
type: integer
-
zeek.x509.certificate.signature_algorithm -
签名算法的名称。
type: keyword
-
zeek.x509.certificate.exponent -
如果是 RSA 证书,则为指数。
type: keyword
-
zeek.x509.certificate.curve -
如果是 EC 证书,则为曲线。
type: keyword
证书的主题备用名称扩展。
-
zeek.x509.san.dns -
SAN 中的 DNS 条目列表。
type: keyword
-
zeek.x509.san.uri -
SAN 中的 URI 条目列表。
type: keyword
-
zeek.x509.san.email -
SAN 中的电子邮件条目列表。
type: keyword
-
zeek.x509.san.ip -
SAN 中的 IP 条目列表。
type: ip
-
zeek.x509.san.other_fields -
如果证书包含其他未识别或未解析的名称字段,则为 True。
type: boolean
证书的基本约束扩展。
-
zeek.x509.basic_constraints.certificate_authority -
是否设置了 CA 标志。
type: boolean
-
zeek.x509.basic_constraints.path_length -
最大路径长度。
type: integer
-
zeek.x509.log_cert -
如果加载了 policy/protocols/ssl/log-hostcerts-only.bro,则存在。如果设置为 F,则会禁止证书的日志记录。
type: boolean