用于解析 auditd 日志的模块。
-
user.terminal -
用户执行观察到的活动时所在的终端或 tty 设备。
类型:关键字
-
user.audit.id -
用户的多个唯一标识符。
类型:关键字
-
user.audit.name -
用户的短名称或登录名。
类型:关键字
示例:albert
-
user.audit.group.id -
系统/平台上组的唯一标识符。
类型:关键字
-
user.audit.group.name -
组的名称。
类型:关键字
-
user.filesystem.id -
用户的多个唯一标识符。
类型:关键字
-
user.filesystem.name -
用户的短名称或登录名。
类型:关键字
示例:albert
-
user.filesystem.group.id -
系统/平台上组的唯一标识符。
类型:关键字
-
user.filesystem.group.name -
组的名称。
类型:关键字
-
user.owner.id -
用户的多个唯一标识符。
类型:关键字
-
user.owner.name -
用户的短名称或登录名。
类型:关键字
示例:albert
-
user.owner.group.id -
系统/平台上组的唯一标识符。
类型:关键字
-
user.owner.group.name -
组的名称。
类型:关键字
-
user.saved.id -
用户的多个唯一标识符。
类型:关键字
-
user.saved.name -
用户的短名称或登录名。
类型:关键字
示例:albert
-
user.saved.group.id -
系统/平台上组的唯一标识符。
类型:关键字
-
user.saved.group.name -
组的名称。
类型:关键字
auditd
来自 auditd 日志的字段。
log
来自 Linux 审计日志的字段。并非所有字段都在此处记录,因为它们是动态的,并且因审计事件类型而异。
-
auditd.log.old_auid -
对于登录事件,这是在本次登录之前用于用户的旧审计 ID。
-
auditd.log.new_auid -
对于登录事件,这是新的审计 ID。审计 ID 可用于将未来的事件追溯到用户,即使他们的身份发生变化(例如成为 root 用户)。
-
auditd.log.old_ses -
对于登录事件,这是在本次登录之前用于用户的旧会话 ID。
-
auditd.log.new_ses -
对于登录事件,这是新的会话 ID。它可用于通过会话 ID 将用户绑定到未来的事件。
-
auditd.log.sequence -
审计事件序列号。
类型:长整型
-
auditd.log.items -
事件中的项目数。
-
auditd.log.item -
项目字段指示总项目数中的哪个项目。此数字从零开始;值为 0 表示它是第一个项目。
-
auditd.log.tty -
类型:关键字
-
auditd.log.a0 -
系统调用的第一个参数。
-
auditd.log.addr -
类型:IP
-
auditd.log.rport -
类型:长整型
-
auditd.log.laddr -
类型:IP
-
auditd.log.lport -
类型:长整型
-
auditd.log.acct -
类型:别名
别名为:user.name
-
auditd.log.pid -
类型:别名
别名为:process.pid
-
auditd.log.ppid -
类型:别名
别名为:process.parent.pid
-
auditd.log.res -
类型:别名
别名为:event.outcome
-
auditd.log.record_type -
类型:别名
别名为:event.action
-
auditd.log.geoip.continent_name -
类型:别名
别名为:source.geo.continent_name
-
auditd.log.geoip.country_iso_code -
类型:别名
别名为:source.geo.country_iso_code
-
auditd.log.geoip.location -
类型:别名
别名为:source.geo.location
-
auditd.log.geoip.region_name -
类型:别名
别名为:source.geo.region_name
-
auditd.log.geoip.city_name -
类型:别名
别名为:source.geo.city_name
-
auditd.log.geoip.region_iso_code -
类型:别名
别名为:source.geo.region_iso_code
-
auditd.log.arch -
类型:别名
别名为:host.architecture
-
auditd.log.gid -
类型:别名
别名为:user.group.id
-
auditd.log.uid -
类型:别名
别名为:user.id
-
auditd.log.agid -
类型:别名
别名为:user.audit.group.id
-
auditd.log.auid -
类型:别名
别名为:user.audit.id
-
auditd.log.fsgid -
类型:别名
别名为:user.filesystem.group.id
-
auditd.log.fsuid -
类型:别名
别名为:user.filesystem.id
-
auditd.log.egid -
类型:别名
别名为:user.effective.group.id
-
auditd.log.euid -
类型:别名
别名为:user.effective.id
-
auditd.log.sgid -
类型:别名
别名为:user.saved.group.id
-
auditd.log.suid -
类型:别名
别名为:user.saved.id
-
auditd.log.ogid -
类型:别名
别名为:user.owner.group.id
-
auditd.log.ouid -
类型:别名
别名为:user.owner.id
-
auditd.log.comm -
类型:别名
别名为:process.name
-
auditd.log.exe -
类型:别名
别名为:process.executable
-
auditd.log.terminal -
类型:别名
别名为:user.terminal
-
auditd.log.msg -
类型:别名
别名为:message
-
auditd.log.src -
类型:别名
别名为:source.address
-
auditd.log.dst -
类型:别名
别名为:destination.address