用于处理来自 AWS 的日志的模块。
aws
来自 AWS 日志的字段。
cloudtrail
AWS CloudTrail 日志的字段。
-
aws.cloudtrail.event_version -
日志事件格式的 CloudTrail 版本。
类型:keyword
user_identity
userIdentity 元素包含有关发出请求的 IAM 身份类型的详细信息,以及使用的凭据。如果使用了临时凭据,则该元素会显示如何获取凭据。
-
aws.cloudtrail.user_identity.type -
身份的类型
类型:keyword
-
aws.cloudtrail.user_identity.arn -
发出调用的委托人的亚马逊资源名称 (ARN)。
类型:keyword
-
aws.cloudtrail.user_identity.access_key_id -
用于签署请求的访问密钥 ID。
类型:keyword
session_context
如果使用临时安全凭据发出了请求,则此元素提供有关为这些凭据创建的会话的信息
-
aws.cloudtrail.user_identity.session_context.mfa_authenticated -
如果根用户或其凭据用于请求的 IAM 用户也使用 MFA 设备进行了身份验证,则该值为 true;否则为 false。
类型:keyword
-
aws.cloudtrail.user_identity.session_context.creation_date -
签发临时安全凭据的日期和时间。
类型:date
session_issuer
如果使用临时安全凭据发出了请求,则此元素提供有关如何获取凭据的信息。
-
aws.cloudtrail.user_identity.session_context.session_issuer.type -
临时安全凭据的来源,例如 Root、IAMUser 或 Role。
类型:keyword
-
aws.cloudtrail.user_identity.session_context.session_issuer.principal_id -
用于获取凭据的实体的内部 ID。
类型:keyword
-
aws.cloudtrail.user_identity.session_context.session_issuer.arn -
用于获取临时安全凭据的来源(账户、IAM 用户或角色)的 ARN。
类型:keyword
-
aws.cloudtrail.user_identity.session_context.session_issuer.account_id -
拥有用于获取凭据的实体的账户。
类型:keyword
-
aws.cloudtrail.user_identity.invoked_by -
发出请求的 AWS 服务的名称,例如 Amazon EC2 Auto Scaling 或 AWS Elastic Beanstalk。
类型:keyword
-
aws.cloudtrail.error_code -
如果请求返回错误,则为 AWS 服务错误。
类型:keyword
-
aws.cloudtrail.error_message -
如果请求返回错误,则为错误的描述。
类型:keyword
-
aws.cloudtrail.request_parameters -
随请求一起发送的参数(如果有)。
类型:keyword
-
aws.cloudtrail.request_parameters.text -
类型:text
-
aws.cloudtrail.response_elements -
对进行更改的操作(创建、更新或删除操作)的响应元素。
类型:keyword
-
aws.cloudtrail.response_elements.text -
类型:text
-
aws.cloudtrail.additional_eventdata -
有关事件的附加数据,这些数据不是请求或响应的一部分。
类型:keyword
-
aws.cloudtrail.additional_eventdata.text -
类型:text
-
aws.cloudtrail.request_id -
标识请求的值。被调用的服务生成此值。
类型:keyword
-
aws.cloudtrail.event_type -
标识生成事件记录的事件类型。
类型:keyword
-
aws.cloudtrail.api_version -
标识与 AwsApiCall eventType 值关联的 API 版本。
类型:keyword
-
aws.cloudtrail.management_event -
一个布尔值,用于标识事件是否为管理事件。
类型:keyword
-
aws.cloudtrail.read_only -
标识此操作是否为只读操作。
类型:keyword
resources
事件中访问的资源列表。
-
aws.cloudtrail.resources.arn -
资源 ARN
类型:keyword
-
aws.cloudtrail.resources.account_id -
资源所有者的账户 ID
类型:keyword
-
aws.cloudtrail.resources.type -
资源类型标识符,格式为:AWS::aws-service-name::data-type-name
类型:keyword
-
aws.cloudtrail.recipient_account_id -
表示接收此事件的账户 ID。
类型:keyword
-
aws.cloudtrail.service_event_details -
标识服务事件,包括触发事件的原因和结果。
类型:keyword
-
aws.cloudtrail.service_event_details.text -
类型:text
-
aws.cloudtrail.shared_event_id -
由 CloudTrail 生成的 GUID,用于唯一标识发送到不同 AWS 账户的来自同一 AWS 操作的 CloudTrail 事件。
类型:keyword
-
aws.cloudtrail.vpc_endpoint_id -
标识从 VPC 向另一个 AWS 服务(例如 Amazon S3)发出请求的 VPC 端点。
类型:keyword
-
aws.cloudtrail.event_category -
显示 LookupEvents 调用中使用的事件类别。
- 对于管理事件,值为 management。
- 对于数据事件,值为 data。
- 对于 Insights 事件,值为 insight。
类型:keyword
console_login
特定于 ConsoleLogin 事件的字段
additional_eventdata
ConsoleLogin 事件的附加事件数据
-
aws.cloudtrail.console_login.additional_eventdata.mobile_version -
标识 ConsoleLogin 是否来自移动版本
类型:boolean
-
aws.cloudtrail.console_login.additional_eventdata.login_to -
ConsoleLogin 的 URL
类型:keyword
-
aws.cloudtrail.console_login.additional_eventdata.mfa_used -
标识在 ConsoleLogin 期间是否使用了多因素身份验证
类型:boolean
flattened
针对子字段事先未知的对象的 ES flattened 数据类型。
-
aws.cloudtrail.flattened.additional_eventdata -
有关事件的附加数据,这些数据不是请求或响应的一部分。
类型:flattened
-
aws.cloudtrail.flattened.request_parameters -
随请求一起发送的参数(如果有)。
类型:flattened
-
aws.cloudtrail.flattened.response_elements -
对进行更改的操作(创建、更新或删除操作)的响应元素。
类型:flattened
-
aws.cloudtrail.flattened.service_event_details -
标识服务事件,包括触发事件的原因和结果。
类型:flattened
digest
来自 Cloudtrail Digest 日志的字段
-
aws.cloudtrail.digest.log_files -
摘要中包含的日志文件列表。
类型:nested
-
aws.cloudtrail.digest.start_time -
摘要文件涵盖的起始 UTC 时间范围,以 CloudTrail 传输日志文件的时间为参考。
类型:date
-
aws.cloudtrail.digest.end_time -
摘要文件涵盖的结束 UTC 时间范围,以 CloudTrail 传输日志文件的时间为参考。
类型:date
-
aws.cloudtrail.digest.s3_bucket -
已将当前摘要文件传输到的 Amazon S3 存储桶的名称。
类型:keyword
-
aws.cloudtrail.digest.s3_object -
当前摘要文件的 Amazon S3 对象密钥(即 Amazon S3 存储桶位置)。
类型:keyword
-
aws.cloudtrail.digest.newest_event_time -
摘要中所有日志文件中的最新事件的 UTC 时间。
类型:date
-
aws.cloudtrail.digest.oldest_event_time -
摘要中所有日志文件中最早事件的 UTC 时间。
类型:date
-
aws.cloudtrail.digest.previous_s3_bucket -
已将先前摘要文件传输到的 Amazon S3 存储桶。
类型:keyword
-
aws.cloudtrail.digest.previous_hash_algorithm -
用于对先前摘要文件进行哈希处理的哈希算法的名称。
类型:keyword
-
aws.cloudtrail.digest.public_key_fingerprint -
与用于签署此摘要文件的私钥匹配的公钥的十六进制编码指纹。
类型:keyword
-
aws.cloudtrail.digest.signature_algorithm -
用于签署摘要文件的算法。
类型:keyword
-
aws.cloudtrail.insight_details -
显示有关 Insights 事件的底层触发因素的信息,例如事件源、用户代理、统计信息、API 名称,以及该事件是 Insights 事件的开始还是结束。
类型:flattened
cloudwatch
AWS CloudWatch 日志的字段。
-
aws.cloudwatch.message -
CloudWatch 日志消息。
类型:text
ec2
CloudWatch 中 AWS EC2 日志的字段。
-
aws.ec2.ip_address -
请求者的互联网地址。
类型:keyword
elb
AWS ELB 日志的字段。
-
aws.elb.name -
负载均衡器的名称。
类型:keyword
-
aws.elb.type -
v2 负载均衡器的负载均衡器类型。
类型:keyword
-
aws.elb.target_group.arn -
处理请求的目标组的 ARN。
类型:keyword
-
aws.elb.listener -
接收连接的 ELB 侦听器。
类型:keyword
-
aws.elb.protocol -
负载均衡器的协议(http 或 tcp)。
类型:keyword
-
aws.elb.request_processing_time.sec -
从收到连接或请求到将其发送到已注册后端的总时间(以秒为单位)。
类型:float
-
aws.elb.backend_processing_time.sec -
从将连接发送到后端到后端开始响应的总时间(以秒为单位)。
类型:float
-
aws.elb.response_processing_time.sec -
从后端收到响应到将其发送到客户端的总时间(以秒为单位)。
类型:float
-
aws.elb.connection_time.ms -
连接的总时间(以毫秒为单位),从打开到关闭。
类型:long
-
aws.elb.tls_handshake_time.ms -
建立连接后 TLS 握手完成的总时间(以毫秒为单位)。
类型:long
-
aws.elb.backend.ip -
处理此连接的后端的 IP 地址。
类型:keyword
-
aws.elb.backend.port -
处理此连接的后端中的端口。
类型:keyword
-
aws.elb.backend.http.response.status_code -
来自后端的 HTTP 状态代码(发送到来自 ELB 的客户端的状态代码存储在
http.response.status_code中类型:keyword
-
aws.elb.ssl_cipher -
TLS/SSL 连接中使用的 SSL 密码。
类型:keyword
-
aws.elb.ssl_protocol -
TLS/SSL 连接中使用的 SSL 协议。
类型:keyword
-
aws.elb.chosen_cert.arn -
在 TLS/SSL 连接中呈现给客户端的所选证书的 ARN。
类型:keyword
-
aws.elb.chosen_cert.serial -
在 TLS/SSL 连接中呈现给客户端的所选证书的序列号。
类型:keyword
-
aws.elb.incoming_tls_alert -
如果存在,则为负载均衡器从客户端接收到的 TLS 警报的整数值。
类型:keyword
-
aws.elb.tls_named_group -
TLS 命名组。
类型:keyword
-
aws.elb.trace_id -
X-Amzn-Trace-Id标头的值。类型:keyword
-
aws.elb.matched_rule_priority -
如果规则匹配,则为匹配请求的规则的优先级值。
类型:keyword
-
aws.elb.action_executed -
处理请求时执行的操作(转发、固定响应、身份验证……)。它可以包含多个值。
类型:keyword
-
aws.elb.redirect_url -
如果执行了重定向操作,则使用的 URL。
类型:keyword
-
aws.elb.error.reason -
如果执行的操作失败,则为错误原因。
类型:keyword
-
aws.elb.target_port -
处理此请求的目标的 IP 地址和端口列表。
类型:keyword
-
aws.elb.target_status_code -
目标响应中的状态代码列表。
类型:keyword
-
aws.elb.classification -
用于去同步缓解的分类。
类型:keyword
-
aws.elb.classification_reason -
分类原因代码。
类型:keyword
s3access
AWS S3 服务器访问日志的字段。
-
aws.s3access.bucket_owner -
源存储桶所有者的规范用户 ID。
类型:keyword
-
aws.s3access.bucket -
针对其处理请求的存储桶的名称。
类型:keyword
-
aws.s3access.remote_ip -
请求者的表观互联网地址。
类型:ip
-
aws.s3access.requester -
请求者的规范用户 ID,或未经身份验证的请求的 -。
类型:keyword
-
aws.s3access.request_id -
Amazon S3 生成的用于唯一标识每个请求的字符串。
类型:keyword
-
aws.s3access.operation -
此处列出的操作声明为 SOAP.operation、REST.HTTP_method.resource_type、WEBSITE.HTTP_method.resource_type 或 BATCH.DELETE.OBJECT。
类型:keyword
-
aws.s3access.key -
请求的“键”部分,采用 URL 编码,如果操作不采用键参数,则为“-”。
类型:keyword
-
aws.s3access.request_uri -
HTTP 请求消息的 Request-URI 部分。
类型:keyword
-
aws.s3access.http_status -
响应的数字 HTTP 状态代码。
类型:long
-
aws.s3access.error_code -
Amazon S3 错误代码,如果没有发生错误,则为“-”。
类型:keyword
-
aws.s3access.bytes_sent -
发送的响应字节数,不包括 HTTP 协议开销,如果为零,则为“-”。
类型:long
-
aws.s3access.object_size -
相关对象的总大小。
类型:long
-
aws.s3access.total_time -
从服务器的角度来看,请求处于飞行状态的毫秒数。
类型:long
-
aws.s3access.turn_around_time -
Amazon S3 处理您的请求所花费的毫秒数。
类型:long
-
aws.s3access.referrer -
HTTP Referrer 标头的值(如果存在)。
类型:keyword
-
aws.s3access.user_agent -
HTTP User-Agent 标头的值。
类型:keyword
-
aws.s3access.version_id -
请求中的版本 ID,如果操作不采用 versionId 参数,则为“-”。
类型:keyword
-
aws.s3access.host_id -
x-amz-id-2 或 Amazon S3 扩展请求 ID。
类型:keyword
-
aws.s3access.signature_version -
用于对请求进行身份验证的签名版本,SigV2 或 SigV4,对于未经身份验证的请求,则为“-”。
类型:keyword
-
aws.s3access.cipher_suite -
为 HTTPS 请求协商的安全套接层 (SSL) 密码,对于 HTTP,则为“-”。
类型:keyword
-
aws.s3access.authentication_type -
使用的请求身份验证类型,AuthHeader 用于身份验证标头,QueryString 用于查询字符串(预签名 URL),对于未经身份验证的请求,则为“-”。
类型:keyword
-
aws.s3access.host_header -
用于连接到 Amazon S3 的端点。
类型:keyword
-
aws.s3access.tls_version -
客户端协商的传输层安全 (TLS) 版本。
类型:keyword
vpcflow
AWS VPC 流日志的字段。
-
aws.vpcflow.version -
VPC 流日志版本。如果使用默认格式,则版本为 2。如果指定自定义格式,则版本为 3。
类型:keyword
-
aws.vpcflow.account_id -
流日志的 AWS 账户 ID。
类型:keyword
-
aws.vpcflow.interface_id -
为其记录流量的网络接口的 ID。
类型:keyword
-
aws.vpcflow.action -
与流量关联的操作,ACCEPT 或 REJECT。
类型:keyword
-
aws.vpcflow.log_status -
流日志的日志记录状态,OK、NODATA 或 SKIPDATA。
类型:keyword
-
aws.vpcflow.instance_id -
与为其记录流量的网络接口关联的实例的 ID(如果实例归您所有)。
类型:keyword
-
aws.vpcflow.pkt_srcaddr -
流量的包级别(原始)源 IP 地址。
类型:ip
-
aws.vpcflow.pkt_dstaddr -
流量的包级别(原始)目标 IP 地址。
类型:ip
-
aws.vpcflow.vpc_id -
包含为其记录流量的网络接口的 VPC 的 ID。
类型:keyword
-
aws.vpcflow.subnet_id -
包含为其记录流量的网络接口的子网的 ID。
类型:keyword
-
aws.vpcflow.tcp_flags -
以下 TCP 标志的位掩码值:2=SYN、18=SYN-ACK、1=FIN、4=RST
类型:keyword
-
aws.vpcflow.tcp_flags_array -
TCP 标志列表:*fin、syn、rst、psh、ack、urg*
类型:keyword
-
aws.vpcflow.type -
流量类型:IPv4、IPv6 或 EFA。
类型:keyword