通用事件格式 (CEF) 数据。
cef
默认情况下,decode_cef 处理器会将 CEF 消息中的所有数据写入此 cef 对象。它包含 CEF 标头字段和扩展数据。
-
cef.version -
消息使用的 CEF 规范版本。
类型: keyword
-
cef.device.vendor -
生成消息的设备的供应商。
类型: keyword
-
cef.device.product -
生成消息的设备的产品。
类型: keyword
-
cef.device.version -
生成消息的产品的版本。
类型: keyword
-
cef.device.event_class_id -
事件类型的唯一标识符。
类型: keyword
-
cef.severity -
事件的重要性。有效的字符串值为 Unknown、Low、Medium、High 和 Very-High。有效的整数值为 0-3=Low、4-6=Medium、7- 8=High 和 9-10=Very-High。
类型: keyword
示例: Very-High
-
cef.name -
事件的简短描述。
类型: keyword
extensions
CEF 扩展字段中携带的键值对集合。
-
cef.extensions.agentAddress -
处理事件的 ArcSight 连接器的 IP 地址。
类型: ip
-
cef.extensions.agentDnsDomain -
处理事件的 ArcSight 连接器的 DNS 域名。
类型: keyword
-
cef.extensions.agentHostName -
处理事件的 ArcSight 连接器的主机名。
类型: keyword
-
cef.extensions.agentId -
处理事件的 ArcSight 连接器的代理 ID。
类型: keyword
-
cef.extensions.agentMacAddress -
处理事件的 ArcSight 连接器的 MAC 地址。
类型: keyword
-
cef.extensions.agentNtDomain -
无
类型: keyword
-
cef.extensions.agentReceiptTime -
ArcSight 连接器收到有关事件的信息的时间。
类型: date
-
cef.extensions.agentTimeZone -
处理事件的 ArcSight 连接器的代理时区。
类型: keyword
-
cef.extensions.agentTranslatedAddress -
无
类型: ip
-
cef.extensions.agentTranslatedZoneExternalID -
无
类型: keyword
-
cef.extensions.agentTranslatedZoneURI -
无
类型: keyword
-
cef.extensions.agentType -
处理事件的 ArcSight 连接器的代理类型
类型: keyword
-
cef.extensions.agentVersion -
处理事件的 ArcSight 连接器的版本。
类型: keyword
-
cef.extensions.agentZoneExternalID -
无
类型: keyword
-
cef.extensions.agentZoneURI -
无
类型: keyword
-
cef.extensions.applicationProtocol -
应用程序级协议,例如 HTTP、HTTPS、SSHv2、Telnet、POP、IMPA、IMAPS 等。
类型: keyword
-
cef.extensions.baseEventCount -
与该事件关联的计数。观察到相同事件多少次?如果为 1,则可以省略计数。
类型: long
-
cef.extensions.bytesIn -
传入传输的字节数,相对于源到目标的关系,意味着数据从源流向目标。
类型: long
-
cef.extensions.bytesOut -
相对于源到目标的关系,传出的字节数。例如,从目标流向源的数据的字节数。
类型: long
-
cef.extensions.customerExternalID -
无
类型: keyword
-
cef.extensions.customerURI -
无
类型: keyword
-
cef.extensions.destinationAddress -
标识事件在 IP 网络中所指的目标地址。格式为 IPv4 地址。
类型: ip
-
cef.extensions.destinationDnsDomain -
完整的完全限定域名 (FQDN) 的 DNS 域名部分。
类型: keyword
-
cef.extensions.destinationGeoLatitude -
目标 IP 地址所属的纬度值。
类型: double
-
cef.extensions.destinationGeoLongitude -
目标 IP 地址所属的经度值。
类型: double
-
cef.extensions.destinationHostName -
标识事件在 IP 网络中所指的目标。格式应为与目标节点关联的完全限定域名 (FQDN),当节点可用时。
类型: keyword
-
cef.extensions.destinationMacAddress -
六个冒号分隔的十六进制数字。
类型: keyword
-
cef.extensions.destinationNtDomain -
目标地址的 Windows 域名。
类型: keyword
-
cef.extensions.destinationPort -
有效的端口号介于 0 到 65535 之间。
类型: long
-
cef.extensions.destinationProcessId -
提供与事件关联的目标进程的 ID。例如,如果事件包含进程 ID 105,则“105”是进程 ID。
类型: long
-
cef.extensions.destinationProcessName -
事件的目标进程的名称。
类型: keyword
-
cef.extensions.destinationServiceName -
此事件的目标服务。
类型: keyword
-
cef.extensions.destinationTranslatedAddress -
标识事件在 IP 网络中所指的翻译后的目标。
类型: ip
-
cef.extensions.destinationTranslatedPort -
端口在翻译后;例如,防火墙。有效的端口号为 0 到 65535。
类型: long
-
cef.extensions.destinationTranslatedZoneExternalID -
无
类型: keyword
-
cef.extensions.destinationTranslatedZoneURI -
目标资产在 ArcSight 中分配到的翻译后的区域的 URI。
类型: keyword
-
cef.extensions.destinationUserId -
通过 ID 标识目标用户。例如,在 UNIX 中,root 用户通常与用户 ID 0 关联。
类型: keyword
-
cef.extensions.destinationUserName -
通过名称标识目标用户。这是与事件的目标关联的用户。电子邮件地址通常映射到 UserName 字段。收件人是放入此字段的候选人。
类型: keyword
-
cef.extensions.destinationUserPrivileges -
典型值为“Administrator”、“User”和“Guest”。这标识目标用户的权限。例如,在 UNIX 中,对 root 用户执行的活动将被标识为“Administrator”的 destinationUser Privileges。
类型: keyword
-
cef.extensions.destinationZoneExternalID -
无
类型: keyword
-
cef.extensions.destinationZoneURI -
目标资产在 ArcSight 中分配到的区域的 URI。
类型: keyword
-
cef.extensions.deviceAction -
设备采取的行动。
类型: keyword
-
cef.extensions.deviceAddress -
标识事件在 IP 网络中所指的设备地址。
类型: ip
-
cef.extensions.deviceCustomFloatingPoint1Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomFloatingPoint3Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomFloatingPoint4Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomDate1 -
两个可用于映射不适用于此字典中任何其他字段的字段的时间戳字段之一。
类型: date
-
cef.extensions.deviceCustomDate1Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomDate2 -
两个可用于映射不适用于此字典中任何其他字段的字段的时间戳字段之一。
类型: date
-
cef.extensions.deviceCustomDate2Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomFloatingPoint1 -
四个可用于映射不适用于此字典中任何其他字段的字段的浮点字段之一。
类型: double
-
cef.extensions.deviceCustomFloatingPoint2 -
四个可用于映射不适用于此字典中任何其他字段的字段的浮点字段之一。
类型: double
-
cef.extensions.deviceCustomFloatingPoint2Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomFloatingPoint3 -
四个可用于映射不适用于此字典中任何其他字段的字段的浮点字段之一。
类型: double
-
cef.extensions.deviceCustomFloatingPoint4 -
四个可用于映射不适用于此字典中任何其他字段的字段的浮点字段之一。
类型: double
-
cef.extensions.deviceCustomIPv6Address1 -
四个可用于映射不适用于此字典中任何其他字段的字段的 IPv6 地址字段之一。
类型: ip
-
cef.extensions.deviceCustomIPv6Address1Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomIPv6Address2 -
四个可用于映射不适用于此字典中任何其他字段的字段的 IPv6 地址字段之一。
类型: ip
-
cef.extensions.deviceCustomIPv6Address2Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomIPv6Address3 -
四个可用于映射不适用于此字典中任何其他字段的字段的 IPv6 地址字段之一。
类型: ip
-
cef.extensions.deviceCustomIPv6Address3Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomIPv6Address4 -
四个可用于映射不适用于此字典中任何其他字段的字段的 IPv6 地址字段之一。
类型: ip
-
cef.extensions.deviceCustomIPv6Address4Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomNumber1 -
三个可用于映射不适用于此字典中任何其他字段的字段的数字字段之一。谨慎使用,并在可能的情况下,尽可能寻找更具体的字典提供的字段。这些字段通常保留给客户使用,除非必要,否则供应商不应设置这些字段。
类型: long
-
cef.extensions.deviceCustomNumber1Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomNumber2 -
三个可用于映射不适用于此字典中任何其他字段的字段的数字字段之一。谨慎使用,并在可能的情况下,尽可能寻找更具体的字典提供的字段。这些字段通常保留给客户使用,除非必要,否则供应商不应设置这些字段。
类型: long
-
cef.extensions.deviceCustomNumber2Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomNumber3 -
三个可用于映射不适用于此字典中任何其他字段的字段的数字字段之一。谨慎使用,并在可能的情况下,尽可能寻找更具体的字典提供的字段。这些字段通常保留给客户使用,除非必要,否则供应商不应设置这些字段。
类型: long
-
cef.extensions.deviceCustomNumber3Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomString1 -
六个可用于映射不适用于此字典中任何其他字段的字段的字符串之一。谨慎使用,并在可能的情况下,尽可能寻找更具体的字典提供的字段。这些字段通常保留给客户使用,除非必要,否则供应商不应设置这些字段。
类型: keyword
-
cef.extensions.deviceCustomString1Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomString2 -
六个可用于映射不适用于此字典中任何其他字段的字段的字符串之一。谨慎使用,并在可能的情况下,尽可能寻找更具体的字典提供的字段。这些字段通常保留给客户使用,除非必要,否则供应商不应设置这些字段。
类型: keyword
-
cef.extensions.deviceCustomString2Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomString3 -
六个可用于映射不适用于此字典中任何其他字段的字段的字符串之一。谨慎使用,并在可能的情况下,尽可能寻找更具体的字典提供的字段。这些字段通常保留给客户使用,除非必要,否则供应商不应设置这些字段。
类型: keyword
-
cef.extensions.deviceCustomString3Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomString4 -
六个可用于映射不适用于此字典中任何其他字段的字段的字符串之一。谨慎使用,并在可能的情况下,尽可能寻找更具体的字典提供的字段。这些字段通常保留给客户使用,除非必要,否则供应商不应设置这些字段。
类型: keyword
-
cef.extensions.deviceCustomString4Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomString5 -
六个可用于映射不适用于此字典中任何其他字段的字段的字符串之一。谨慎使用,并在可能的情况下,尽可能寻找更具体的字典提供的字段。这些字段通常保留给客户使用,除非必要,否则供应商不应设置这些字段。
类型: keyword
-
cef.extensions.deviceCustomString5Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceCustomString6 -
六个可用于映射不适用于此字典中任何其他字段的字段的字符串之一。谨慎使用,并在可能的情况下,尽可能寻找更具体的字典提供的字段。这些字段通常保留给客户使用,除非必要,否则供应商不应设置这些字段。
类型: keyword
-
cef.extensions.deviceCustomString6Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceDirection -
有关观察到的通信方向的任何信息。支持以下值 - “0”表示入站,“1”表示出站。
类型: long
-
cef.extensions.deviceDnsDomain -
完整的完全限定域名 (FQDN) 的 DNS 域名部分。
类型: keyword
-
cef.extensions.deviceEventCategory -
表示源设备分配的类别。设备通常使用自己的分类模式对事件进行分类。例如“/Monitor/Disk/Read”。
类型: keyword
-
cef.extensions.deviceExternalId -
唯一标识生成此事件的设备的名称。
类型: keyword
-
cef.extensions.deviceFacility -
生成此事件的设施。例如,Syslog 与每个事件关联一个明确的设施。
类型: keyword
-
cef.extensions.deviceFlexNumber1 -
两个可用于映射不适用于此字典中任何其他字段的字段的备用数字字段之一。谨慎使用,并在可能的情况下,尽可能寻找更具体的字典提供的字段。这些字段通常保留给客户使用,除非必要,否则供应商不应设置这些字段。
类型: long
-
cef.extensions.deviceFlexNumber1Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceFlexNumber2 -
两个可用于映射不适用于此字典中任何其他字段的字段的备用数字字段之一。谨慎使用,并在可能的情况下,尽可能寻找更具体的字典提供的字段。这些字段通常保留给客户使用,除非必要,否则供应商不应设置这些字段。
类型: long
-
cef.extensions.deviceFlexNumber2Label -
所有自定义字段都有一个对应的标签字段。这些字段中的每一个都是字符串,并描述自定义字段的用途。
类型: keyword
-
cef.extensions.deviceHostName -
格式应为与设备节点关联的完全限定域名 (FQDN),当节点可用时。
类型: keyword
-
cef.extensions.deviceInboundInterface -
数据包或数据进入设备的接口。
类型: keyword
-
cef.extensions.deviceMacAddress -
六个冒号分隔的十六进制数字。
类型: keyword
-
cef.extensions.deviceNtDomain -
设备地址的 Windows 域名。
类型: keyword
-
cef.extensions.deviceOutboundInterface -
数据包或数据离开设备的接口。
类型: keyword
-
cef.extensions.devicePayloadId -
与事件关联的有效负载的唯一标识符。
类型: keyword
-
cef.extensions.deviceProcessId -
提供生成事件的设备上的进程的 ID。
类型: long
-
cef.extensions.deviceProcessName -
与事件关联的进程名称。一个示例可能是生成 UNIX 中的 syslog 条目的进程。
类型: keyword
-
cef.extensions.deviceReceiptTime -
与活动相关的事件接收到的时间。格式为 MMM dd yyyy HH:mm:ss 或自纪元(1970 年 1 月 1 日)以来的毫秒数
类型: date
-
cef.extensions.deviceTimeZone -
生成事件的设备的时区。
类型: keyword
-
cef.extensions.deviceTranslatedAddress -
标识事件在 IP 网络中所指的翻译后的设备地址。
类型: ip
-
cef.extensions.deviceTranslatedZoneExternalID -
无
类型: keyword
-
cef.extensions.deviceTranslatedZoneURI -
设备资产在 ArcSight 中分配到的翻译后的区域的 URI。
类型: keyword
-
cef.extensions.deviceZoneExternalID -
无
类型: keyword
-
cef.extensions.deviceZoneURI -
设备资产在 ArcSight 中分配到的区域的 URI。
类型: keyword
-
cef.extensions.endTime -
与事件相关的活动结束的时间。格式为 MMM dd yyyy HH:mm:ss 或自纪元(1970 年 1 月 1 日)以来的毫秒数。一个例子是报告会话结束。
类型: date
-
cef.extensions.eventId -
这是 ArcSight 分配给每个事件的唯一 ID。
类型: long
-
cef.extensions.eventOutcome -
显示结果,通常为“success”或“failure”。
类型: keyword
-
cef.extensions.externalId -
源设备使用的 ID。它们通常是递增的数字,与事件相关联。
类型: keyword
-
cef.extensions.fileCreateTime -
文件创建的时间。
类型: date
-
cef.extensions.fileHash -
文件的哈希值。
类型: keyword
-
cef.extensions.fileId -
与文件关联的 ID 可以是 inode。
类型: keyword
-
cef.extensions.fileModificationTime -
文件上次修改的时间。
类型: date
-
cef.extensions.filename -
仅文件名(不含路径)。
类型: keyword
-
cef.extensions.filePath -
文件的完整路径,包括文件名本身。
类型: keyword
-
cef.extensions.filePermission -
文件的权限。
类型: keyword
-
cef.extensions.fileSize -
文件的大小。
类型: long
-
cef.extensions.fileType -
文件类型(管道、套接字等)。
类型: keyword
-
cef.extensions.flexDate1 -
一个时间戳字段,用于映射不适用于此字典中任何其他定义的时间戳字段的时间戳。谨慎使用所有 flex 字段,并在可能的情况下,尽可能寻找更具体的字典提供的字段。这些字段通常保留给客户使用,除非必要,否则供应商不应设置这些字段。
类型: date
-
cef.extensions.flexDate1Label -
标签字段是字符串,并描述 flex 字段的用途。
类型: keyword
-
cef.extensions.flexString1 -
这四个浮点型字段中的一个可用于映射字典中不适用于其他任何字段的字段。谨慎使用,并在可能的情况下寻求更具体的字典提供的字段。这些字段通常保留供客户使用,除非必要,否则供应商不应设置这些字段。
类型: keyword
-
cef.extensions.flexString2 -
这四个浮点型字段中的一个可用于映射字典中不适用于其他任何字段的字段。谨慎使用,并在可能的情况下寻求更具体的字典提供的字段。这些字段通常保留供客户使用,除非必要,否则供应商不应设置这些字段。
类型: keyword
-
cef.extensions.flexString1Label -
标签字段是字符串,并描述 flex 字段的用途。
类型: keyword
-
cef.extensions.flexString2Label -
标签字段是字符串,并描述 flex 字段的用途。
类型: keyword
-
cef.extensions.message -
关于事件的更多详细信息的任意消息。可以使用 \n 作为换行符来生成多行条目。
类型: keyword
-
cef.extensions.oldFileCreateTime -
旧文件创建时间。
类型: date
-
cef.extensions.oldFileHash -
旧文件的哈希值。
类型: keyword
-
cef.extensions.oldFileId -
与旧文件关联的 ID 可以是 inode。
类型: keyword
-
cef.extensions.oldFileModificationTime -
旧文件上次修改时间。
类型: date
-
cef.extensions.oldFileName -
旧文件的名称。
类型: keyword
-
cef.extensions.oldFilePath -
旧文件的完整路径,包括文件名本身。
类型: keyword
-
cef.extensions.oldFilePermission -
旧文件的权限。
类型: keyword
-
cef.extensions.oldFileSize -
旧文件的大小。
类型: long
-
cef.extensions.oldFileType -
旧文件的类型(管道、套接字等)。
类型: keyword
-
cef.extensions.rawEvent -
无
类型: keyword
-
cef.extensions.Reason -
生成审核事件的原因。例如“密码错误”或“未知用户”。这也可以是错误或返回值。例如“0x1234”。
类型: keyword
-
cef.extensions.requestClientApplication -
与请求关联的用户代理。
类型: keyword
-
cef.extensions.requestContext -
请求来源内容的描述(例如 HTTP 引用)。
类型: keyword
-
cef.extensions.requestCookies -
与请求关联的 cookie。
类型: keyword
-
cef.extensions.requestMethod -
用于访问 URL 的 HTTP 方法。
类型: keyword
-
cef.extensions.requestUrl -
在 HTTP 请求的情况下,此字段包含访问的 URL。URL 应包含协议。
类型: keyword
-
cef.extensions.sourceAddress -
标识事件在 IP 网络中所指的源。
类型: ip
-
cef.extensions.sourceDnsDomain -
完整的完全限定域名 (FQDN) 的 DNS 域名部分。
类型: keyword
-
cef.extensions.sourceGeoLatitude -
无
类型: double
-
cef.extensions.sourceGeoLongitude -
无
类型: double
-
cef.extensions.sourceHostName -
标识事件在 IP 网络中所指的源。格式应为与源节点关联的完全限定域名 (FQDN),当模式可用时。例如:host 或 host.domain.com。
类型: keyword
-
cef.extensions.sourceMacAddress -
六个冒号分隔的十六进制数字。
类型: keyword
示例:00:0d:60:af:1b:61
-
cef.extensions.sourceNtDomain -
源地址的 Windows 域名。
类型: keyword
-
cef.extensions.sourcePort -
有效的端口号为 0 到 65535。
类型: long
-
cef.extensions.sourceProcessId -
与事件关联的源进程的 ID。
类型: long
-
cef.extensions.sourceProcessName -
事件源进程的名称。
类型: keyword
-
cef.extensions.sourceServiceName -
负责生成此事件的服务。
类型: keyword
-
cef.extensions.sourceTranslatedAddress -
标识事件在 IP 网络中所指的翻译后的源。
类型: ip
-
cef.extensions.sourceTranslatedPort -
例如,由防火墙翻译后的端口号。有效的端口号为 0 到 65535。
类型: long
-
cef.extensions.sourceTranslatedZoneExternalID -
无
类型: keyword
-
cef.extensions.sourceTranslatedZoneURI -
目标资产在 ArcSight 中分配到的翻译后的区域的 URI。
类型: keyword
-
cef.extensions.sourceUserId -
通过 ID 标识源用户。这是与事件源关联的用户。例如,在 UNIX 中,root 用户通常与用户 ID 0 关联。
类型: keyword
-
cef.extensions.sourceUserName -
通过名称标识源用户。电子邮件地址也映射到 UserName 字段。发送者是放入此字段的候选人。
类型: keyword
-
cef.extensions.sourceUserPrivileges -
典型值是“管理员”、“用户”和“访客”。它标识源用户的权限。例如,在 UNIX 中,由 root 用户执行的活动将使用“管理员”标识。
类型: keyword
-
cef.extensions.sourceZoneExternalID -
无
类型: keyword
-
cef.extensions.sourceZoneURI -
源资产在 ArcSight 中分配到的区域的 URI。
类型: keyword
-
cef.extensions.startTime -
事件所指的活动开始的时间。格式为 MMM dd yyyy HH:mm:ss 或自纪元(1970 年 1 月 1 日)以来的毫秒数
类型: date
-
cef.extensions.transportProtocol -
标识使用的第 4 层协议。可能的值是协议,例如 TCP 或 UDP。
类型: keyword
-
cef.extensions.type -
0 表示基本事件,1 表示聚合,2 表示关联,3 表示操作。对于基本事件(类型 0),此字段可以省略。
类型: long
-
cef.extensions.categoryDeviceType -
设备类型。示例 - 代理、IDS、Web 服务器
类型: keyword
-
cef.extensions.categoryObject -
事件所涉及的对象。例如,它可以是操作系统、数据库、文件等。
类型: keyword
-
cef.extensions.categoryBehavior -
与事件关联的操作或行为。它是对对象的操作。
类型: keyword
-
cef.extensions.categoryTechnique -
使用的技术(例如 /DoS)。
类型: keyword
-
cef.extensions.categoryDeviceGroup -
通用设备组,如防火墙。
类型: keyword
-
cef.extensions.categorySignificance -
事件重要性的特征。
类型: keyword
-
cef.extensions.categoryOutcome -
事件的结果(例如,成功、失败或尝试)。
类型: keyword
-
cef.extensions.managerReceiptTime -
Arcsight ESM 接收事件的时间。
类型: date
-
source.service.name -
事件的源服务。
类型: keyword
-
destination.service.name -
事件的目标服务。
类型: keyword