ECS 字段

事件起源的日期/时间。这是从事件中提取的日期/时间，通常代表事件由源生成的时间。如果事件源没有原始时间戳，此值通常由事件首次被管道接收的时间填充。所有事件的必填字段。

类型: date

示例: 2016-05-23T08:05:34.853Z

必需: True

自定义键值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例：docker 和 k8s 标签。

类型: object

示例: {"application": "foo-bar", "env": "production"}

对于日志事件，message 字段包含日志消息，经过优化，便于在日志查看器中查看。对于没有原始 message 字段的结构化日志，可以将其他字段连接起来，形成事件的人类可读摘要。如果存在多个消息，可以将它们合并为一条消息。

类型: match_only_text

示例: Hello World

用于标记每个事件的关键字列表。

类型: keyword

示例: ["production", "env2"]

代理的扩展构建信息。此字段旨在包含数据源可能提供的任何构建信息，不需要任何特定的格式。

类型: keyword

示例: metricbeat version 7.6.0 (amd64), libbeat 7.6.0 [6a23e8f8f30f5001ba344e4e54d8d9cb82cb107c built 2020-02-05 23:10:10 +0000 UTC]

此代理的短暂标识符（如果存在）。此 ID 通常在重启时更改，但 agent.id 不会。

类型: keyword

示例: 8a4f500f

此代理的唯一标识符（如果存在）。例如：对于 Beats，这将是 beat.id。

类型: keyword

示例: 8a4f500d

代理的自定义名称。这是可以赋予代理的名称。例如，如果两个 Filebeat 实例在同一主机上运行，但需要人类可读的分离，说明来自哪个 Filebeat 实例的数据，这将很有用。如果未给出名称，则名称通常为空。

类型: keyword

示例: foo

代理的类型。代理类型始终保持不变，应由使用的代理提供。在 Filebeat 的情况下，即使在同一台机器上运行两个 Filebeat 实例，代理也始终是 Filebeat。

类型: keyword

示例: filebeat

代理的版本。

类型: keyword

示例: 6.0.0-rc2

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

组织名称。

类型: keyword

示例: Google LLC

类型: match_only_text

某些事件客户端地址定义含糊不清。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后，它应该根据实际情况复制到 .ip 或 .domain。

类型: keyword

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

组织名称。

类型: keyword

示例: Google LLC

类型: match_only_text

从客户端发送到服务器的字节数。

类型: long

示例: 184

格式: bytes

客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。此值可以来自原始事件，也可以从富集添加。

类型: keyword

示例: foo.example.com

城市名称。

类型: keyword

示例: Montreal

代表大陆名称的两位字母代码。

类型: keyword

示例: NA

大陆的名称。

类型: keyword

示例: 北美

国家 ISO 代码。

类型: keyword

示例: CA

国家名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可以是其数据中心的名称、楼层号（如果描述了本地物理实体）、城市名称。通常不用于自动地理定位。

类型: keyword

示例: boston-dc

与位置关联的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

客户端的 IP 地址 (IPv4 或 IPv6)。

类型: ip

客户端的 MAC 地址。建议使用 RFC 7042 中的符号格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节的无符号整数。连续的八位字节由连字符隔开。

类型: keyword

示例: 00-00-5E-00-53-23

基于源 NAT 会话的源 IP 的翻译 IP（例如，内部客户端到互联网）。通常情况下，连接会经过负载均衡器、防火墙或路由器。

类型: ip

基于源 NAT 会话的源端口的翻译端口（例如，内部客户端到互联网）。通常情况下，连接会经过负载均衡器、防火墙或路由器。

类型: long

格式: string

从客户端发送到服务器的数据包数量。

类型: long

示例: 12

客户端的端口。

类型: long

格式: string

剥离子域后的最高注册客户端域名。例如，“foo.example.com”的注册域名是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定此值。尝试通过简单地获取最后两个标签来近似此值对于“co.uk”等 TLD 不会很好地工作。

类型: keyword

示例: example.com

完全限定域名中的子域名部分包括除了注册域名下的主机名以外的所有名称。在部分限定域名中，或者如果无法确定全名的限定级别，子域名将包含注册域名下方的所有名称。例如，“www.east.mydomain.co.uk”的子域名部分是“east”。如果域名有多级子域名，例如“sub2.sub1.example.com”，则子域名字段应包含“sub2.sub1”，没有尾随句点。

类型: keyword

示例: east

有效顶级域名 (eTLD)，也称为域名后缀，是域名名称的最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定此值。尝试通过简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 不会很好地工作。

类型: keyword

示例: co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

用户电子邮件地址。

类型: keyword

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

类型: match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

系统/平台上组的唯一标识符。

类型: keyword

组的名称。

类型: keyword

唯一的用户哈希值，用于以匿名形式关联用户的相关信息。如果 user.id 或 user.name 包含机密信息，则不能使用它们，这时此字段很有用。

类型: keyword

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

用户的短名称或登录名。

类型: keyword

示例: a.einstein

类型: match_only_text

事件发生时用户的角色数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

用于识别多租户环境中不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型: keyword

示例: 666777888999

用于识别多租户环境中不同实体的云帐户名称或别名。示例：AWS 帐户名称、Google Cloud ORG 显示名称。

类型: keyword

示例: elastic-dev

此主机、资源或服务所在的可用区。

类型: keyword

示例: us-east-1c

主机机器的实例 ID。

类型: keyword

示例: i-1234567890abcdef0

主机机器的实例名称。

类型: keyword

主机机器的机器类型。

类型: keyword

示例: t2.medium

用于识别多租户环境中不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型: keyword

示例: 666777888999

用于识别多租户环境中不同实体的云帐户名称或别名。示例：AWS 帐户名称、Google Cloud ORG 显示名称。

类型: keyword

示例: elastic-dev

此主机、资源或服务所在的可用区。

类型: keyword

示例: us-east-1c

主机机器的实例 ID。

类型: keyword

示例: i-1234567890abcdef0

主机机器的实例名称。

类型: keyword

主机机器的机器类型。

类型: keyword

示例: t2.medium

云项目的标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

类型: keyword

示例: my-project

云项目的名称。示例：Google Cloud 项目名称、Azure 项目名称。

类型: keyword

示例: my project

云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。

类型: keyword

示例: aws

此主机、资源或服务所在的区域。

类型: keyword

示例: us-east-1

云服务名称用于区分在提供商内部不同平台上运行的服务，例如 AWS EC2 与 Lambda，GCP GCE 与 App Engine，Azure VM 与 App Server。示例：app engine、app service、cloud run、fargate、lambda。

类型: keyword

示例：lambda

云项目的标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

类型: keyword

示例: my-project

云项目的名称。示例：Google Cloud 项目名称、Azure 项目名称。

类型: keyword

示例: my project

云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。

类型: keyword

示例: aws

此主机、资源或服务所在的区域。

类型: keyword

示例: us-east-1

云服务名称用于区分在提供商内部不同平台上运行的服务，例如 AWS EC2 与 Lambda，GCP GCE 与 App Engine，Azure VM 与 App Server。示例：app engine、app service、cloud run、fargate、lambda。

类型: keyword

示例：lambda

用于识别多租户环境中不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型: keyword

示例: 666777888999

用于识别多租户环境中不同实体的云帐户名称或别名。示例：AWS 帐户名称、Google Cloud ORG 显示名称。

类型: keyword

示例: elastic-dev

此主机、资源或服务所在的可用区。

类型: keyword

示例: us-east-1c

主机机器的实例 ID。

类型: keyword

示例: i-1234567890abcdef0

主机机器的实例名称。

类型: keyword

主机机器的机器类型。

类型: keyword

示例: t2.medium

云项目的标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

类型: keyword

示例: my-project

云项目的名称。示例：Google Cloud 项目名称、Azure 项目名称。

类型: keyword

示例: my project

云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。

类型: keyword

示例: aws

此主机、资源或服务所在的区域。

类型: keyword

示例: us-east-1

云服务名称用于区分在提供商内部不同平台上运行的服务，例如 AWS EC2 与 Lambda，GCP GCE 与 App Engine，Azure VM 与 App Server。示例：app engine、app service、cloud run、fargate、lambda。

类型: keyword

示例：lambda

用于签署进程的哈希算法。当同一个签署者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型: keyword

示例：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

用于签署进程的标识符。它用于识别软件供应商制造的应用程序。该字段与 Apple *OS 相关。

类型: keyword

示例：com.apple.xpc.proxy

有关证书状态的附加信息。这对记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度，则保留为空。

类型: keyword

示例：ERROR_UNTRUSTED_ROOT

代码签署者的主体名称

类型: keyword

示例：Microsoft Corporation

用于签署进程的团队标识符。它用于识别软件产品的团队或供应商。该字段与 Apple *OS 相关。

类型: keyword

示例：EQHXZ8M8AV

生成和签署代码签名的时间日期。

类型: date

示例：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任度可能很复杂，并且此字段应仅由积极检查状态的工具填充。

类型：布尔值

示例：true

布尔值，用于捕获是否根据二进制内容验证数字签名。如果未检查证书，则保留为空。

类型：布尔值

示例：true

使用的 CPU 百分比，通过 CPU 内核数量进行归一化，范围为 0 到 1。缩放系数：1000。

类型：scaled_float

自上次度量收集以来成功读取的总字节数（从所有磁盘中聚合）。

类型: long

自上次度量收集以来成功写入的总字节数（从所有磁盘中聚合）。

类型: long

唯一的容器 ID。

类型: keyword

容器构建的基础镜像的名称。

类型: keyword

容器镜像标签。

类型: keyword

镜像标签。

类型: object

内存使用率百分比，范围为 0 到 1。缩放系数：1000。

类型：scaled_float

容器名称。

类型: keyword

自上次度量收集以来，容器在所有网络接口上发送的字节数（量规）。

类型: long

自上次度量收集以来，容器在所有网络接口上接收的字节数（量规）。

类型: long

管理此容器的运行时。

类型: keyword

示例：docker

该字段可以包含任何有意义的东西来表示数据来源。示例包括 nginx.access、prometheus、endpoint 等。对于否则适合但没有设置 dataset 的数据流，我们对 dataset 值使用值“generic”。event.dataset 应与 data_stream.dataset 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，dataset 值还有其他限制：* 必须不包含 - * 不超过 100 个字符

类型：constant_keyword

示例：nginx.access

用户定义的命名空间。命名空间有助于允许对数据进行分组。许多用户已经以这种方式组织其索引，并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 default 填充此字段。如果未使用任何值，则回退到 default。除了上面提到的 Elasticsearch 索引命名标准之外，namespace 值还有其他限制：* 必须不包含 - * 不超过 100 个字符

类型：constant_keyword

示例：production

数据流的总体类型。目前允许的值是“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。

类型：constant_keyword

示例：logs

某些事件目标地址的定义不明确。该事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后，它应该根据它是哪一个，复制到 .ip 或 .domain 中。

类型: keyword

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

组织名称。

类型: keyword

示例: Google LLC

类型: match_only_text

从目标发送到源的字节数。

类型: long

示例: 184

格式: bytes

目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能来自富集添加。

类型: keyword

示例: foo.example.com

城市名称。

类型: keyword

示例: Montreal

代表大陆名称的两位字母代码。

类型: keyword

示例: NA

大陆的名称。

类型: keyword

示例: 北美

国家 ISO 代码。

类型: keyword

示例: CA

国家名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可以是其数据中心的名称、楼层号（如果描述了本地物理实体）、城市名称。通常不用于自动地理定位。

类型: keyword

示例: boston-dc

与位置关联的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

目标的 IP 地址（IPv4 或 IPv6）。

类型: ip

目标的 MAC 地址。建议使用 RFC 7042 中的符号格式：每个八位字节（即 8 位字节）用两个 [大写] 十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节用连字符隔开。

类型: keyword

示例: 00-00-5E-00-53-23

基于 NAT 会话的翻译后的目标 IP（例如，互联网到私有 DMZ）通常与负载均衡器、防火墙或路由器一起使用。

类型: ip

源会话被 NAT 设备翻译到的端口。通常与负载均衡器、防火墙或路由器一起使用。

类型: long

格式: string

从目标发送到源的数据包。

类型: long

示例: 12

目标的端口。

类型: long

格式: string

剥离子域的最高注册目标域。例如，“foo.example.com”的注册域是“example.com”。此值可以使用公共后缀列表等列表精确确定 (http://publicsuffix.org)。仅仅通过获取最后两个标签来近似这个方法，对于像“co.uk”这样的 TLD 来说效果不好。

类型: keyword

示例: example.com

完全限定域名中的子域名部分包括除了注册域名下的主机名以外的所有名称。在部分限定域名中，或者如果无法确定全名的限定级别，子域名将包含注册域名下方的所有名称。例如，“www.east.mydomain.co.uk”的子域名部分是“east”。如果域名有多级子域名，例如“sub2.sub1.example.com”，则子域名字段应包含“sub2.sub1”，没有尾随句点。

类型: keyword

示例: east

有效顶级域名 (eTLD)，也称为域名后缀，是域名名称的最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定此值。尝试通过简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 不会很好地工作。

类型: keyword

示例: co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

用户电子邮件地址。

类型: keyword

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

类型: match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

系统/平台上组的唯一标识符。

类型: keyword

组的名称。

类型: keyword

唯一的用户哈希值，用于以匿名形式关联用户的相关信息。如果 user.id 或 user.name 包含机密信息，则不能使用它们，这时此字段很有用。

类型: keyword

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

用户的短名称或登录名。

类型: keyword

示例: a.einstein

类型: match_only_text

事件发生时用户的角色数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

用于签署进程的哈希算法。当同一个签署者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型: keyword

示例：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

用于签署进程的标识符。它用于识别软件供应商制造的应用程序。该字段与 Apple *OS 相关。

类型: keyword

示例：com.apple.xpc.proxy

有关证书状态的附加信息。这对记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度，则保留为空。

类型: keyword

示例：ERROR_UNTRUSTED_ROOT

代码签署者的主体名称

类型: keyword

示例：Microsoft Corporation

用于签署进程的团队标识符。它用于识别软件产品的团队或供应商。该字段与 Apple *OS 相关。

类型: keyword

示例：EQHXZ8M8AV

生成和签署代码签名的时间日期。

类型: date

示例：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任度可能很复杂，并且此字段应仅由积极检查状态的工具填充。

类型：布尔值

示例：true

布尔值，用于捕获是否根据二进制内容验证数字签名。如果未检查证书，则保留为空。

类型：布尔值

示例：true

MD5 哈希。

类型: keyword

SHA1 哈希。

类型: keyword

SHA256 哈希。

类型: keyword

SHA512 哈希。

类型: keyword

SSDEEP 哈希。

类型: keyword

库的名称。这通常映射到磁盘上文件的名称。

类型: keyword

示例：kernel32.dll

库的完整文件路径。

类型: keyword

示例：C:\Windows\System32\kernel32.dll

文件的 CPU 架构目标。

类型: keyword

示例：x64

文件的内部公司名称，在编译时提供。

类型: keyword

示例：Microsoft Corporation

文件的内部描述，在编译时提供。

类型: keyword

示例：Paint

文件的内部版本，在编译时提供。

类型: keyword

示例：6.3.9600.17415

PE 文件中导入的哈希。imphash（或导入哈希）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后也是如此，这将改变更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 上了解详情。

类型: keyword

示例：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型: keyword

示例：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型: keyword

示例：Microsoft® Windows® Operating System

一个数组，包含服务器返回的每个答案部分的对应对象。这些对象的主要键由 ECS 定义。包含更多信息的记录可能包含比 ECS 定义的更多的键。并非所有 DNS 数据源都提供有关 DNS 答案的所有详细信息。在最少的情况下，答案对象必须包含 data 键。如果有更多信息可用，请尽可能将其映射到 ECS，并将任何其他字段作为自定义字段添加到答案对象中。

类型: object

此资源记录中包含的 DNS 数据的类别。

类型: keyword

示例：IN

描述资源的数据。此数据的含义取决于资源记录的类型和类别。

类型: keyword

示例：10.10.10.10

此资源记录所涉及的域名。如果正在解析 CNAME 链，则每个答案的 name 应与答案的 data 相对应。它不应只是简单地重复原始的 question.name。

类型: keyword

示例：www.example.com

此资源记录可以在缓存中保留的秒数，之后应将其丢弃。零值意味着不应缓存数据。

类型: long

示例：180

此资源记录中包含的数据的类型。

类型: keyword

示例：CNAME

包含 2 个字母的 DNS 头部标志的数组。预期值是：AA、TC、RD、RA、AD、CD、DO。

类型: keyword

示例：["RD", "RA"]

由生成查询的程序分配的 DNS 数据包标识符。标识符被复制到响应中。

类型: keyword

示例：62111

指定消息中查询类型的 DNS 操作码。此值由查询的发起者设置，并复制到响应中。

类型: keyword

示例：QUERY

正在查询的记录类别。

类型: keyword

示例：IN

正在查询的名称。如果名称字段包含不可打印字符（低于 32 或高于 126），则应将这些字符表示为转义的基数 10 整数 (\DDD)。反斜杠和引号应进行转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

类型: keyword

示例：www.example.com

最高注册域名，剥离了子域名。例如，"foo.example.com" 的注册域名是 "example.com"。此值可以使用类似于公共后缀列表（http://publicsuffix.org）的列表精确地确定。通过简单地获取最后两个标签来近似此值对于像 "co.uk" 这样的 TLD 来说效果不佳。

类型: keyword

示例: example.com

子域名是在注册域名下所有标签。如果域名有多个子域名级别，例如 "sub2.sub1.example.com"，则子域名字段应包含 "sub2.sub1"，不带尾部的句点。

类型: keyword

示例：www

有效顶级域名 (eTLD)，也称为域名后缀，是域名名称的最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定此值。尝试通过简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 不会很好地工作。

类型: keyword

示例: co.uk

正在查询的记录类型。

类型: keyword

示例：AAAA

包含 answers.data 中看到的所有 IP 的数组。 answers 数组可能难以使用，因为它可以包含各种数据格式。将 answers 中看到的所有 IP 地址提取到 dns.resolved_ip 使得可以将它们索引为 IP 地址，并使它们更容易可视化和查询。

类型: ip

示例：["10.10.10.10", "10.10.10.11"]

DNS 响应代码。

类型: keyword

示例：NOERROR

捕获的 DNS 事件类型，查询或答案。如果您的 DNS 事件来源仅为您提供 DNS 查询，则您只应创建类型为 dns.type:query 的 dns 事件。如果您的 DNS 事件来源还为您提供答案，则您应该为每个查询创建一个事件（可选地，在看到查询时立即创建）。以及包含所有查询详细信息以及答案数组的第二个事件。

类型: keyword

示例：answer

此事件符合的 ECS 版本。 ecs.version 是一个必填字段，必须存在于所有事件中。当跨多个索引（可能符合略微不同的 ECS 版本）查询时，此字段使集成能够调整到事件的模式版本。

类型: keyword

示例：1.0.0

必需: True

ELF 文件的机器架构。

类型: keyword

示例：x86-64

ELF 文件的字节顺序。

类型: keyword

示例：小端序

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

在可能的情况下从文件的元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型: date

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

ELF 文件的头部类别。

类型: keyword

ELF 头部的数据库。

类型: keyword

ELF 文件的头部入口点。

类型: long

格式: string

原始 ELF 文件的 "0x1"。

类型: keyword

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

ELF 文件的头部类型。

类型: keyword

ELF 头部的版本。

类型: keyword

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件的每个部分的对应对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

该部分的卡方概率分布。

类型: long

格式：数字

从该部分计算的香农熵。

类型: long

格式：数字

ELF 部分列表标志。

类型: keyword

ELF 部分列表名称。

类型: keyword

ELF 部分列表偏移量。

类型: keyword

ELF 部分列表物理大小。

类型: long

格式: bytes

ELF 部分列表类型。

类型: keyword

ELF 部分列表虚拟地址。

类型: long

格式: string

ELF 部分列表虚拟大小。

类型: long

格式: string

一个数组，包含 ELF 文件的每个段的对应对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型: keyword

ELF 对象段类型。

类型: keyword

此 ELF 对象使用的共享库列表。

类型: keyword

ELF 文件的 telfhash 符号哈希。

类型: keyword

描述错误的错误代码。

类型: keyword

错误的唯一标识符。

类型: keyword

错误消息。

类型: match_only_text

此错误的堆栈跟踪（纯文本）。

类型：通配符

类型: match_only_text

错误的类型，例如异常的类名。

类型: keyword

示例：java.lang.NullPointerException

事件捕获的动作。这描述了事件中的信息。它比 event.category 更具体。例如，group-add、process-started、file-created。该值通常由实现者定义。

类型: keyword

示例：user-password-change

代理通常负责填充 agent.id 字段的值。如果接收事件的系统能够基于客户端的认证信息验证该值，那么可以使用此字段来反映该验证的结果。例如，如果代理的连接通过 mTLS 进行认证，并且客户端证书包含颁发给该证书的代理的 ID，那么可以将事件中的 agent.id 值与证书进行比较。如果值匹配，则将 event.agent_id_status: verified 添加到事件中，否则应使用其他允许值之一。如果未执行验证，则应省略该字段。允许的值是：verified - agent.id 字段值与从认证元数据中获得的预期值匹配。 mismatch - agent.id 字段值与从认证元数据中获得的预期值不匹配。 missing - 事件中没有 agent.id 字段可供验证。 auth_metadata_missing - 没有认证元数据，或者缺少有关代理 ID 的信息。

类型: keyword

示例：verified

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的第二级。 event.category 表示 ECS 类别的“大桶”。例如，过滤 event.category:process 会产生与进程活动相关的所有事件。此字段与 event.type 密切相关，event.type 用作子类别。此字段是一个数组。这将允许对属于多个类别的某些事件进行适当的分类。

类型: keyword

示例：authentication

此事件的标识代码（如果存在）。一些事件源使用事件代码来明确地识别消息，无论消息语言或措辞调整如何。Windows 事件 ID 就是一个例子。

类型: keyword

示例：4648

event.created 包含代理或管道首次读取事件的日期/时间。此字段不同于 @timestamp，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会有所不同。可以使用此差异来计算事件源生成事件与代理首次处理事件之间的时间延迟。这可以用于监控代理或管道的跟上事件源的能力。如果这两个时间戳相同，则应使用 @timestamp。

类型: date

示例：2016-05-23T08:05:34.857Z

数据集的名称。如果事件源发布了多种类型的日志或事件（例如访问日志、错误日志），则数据集用于指定事件来自哪个日志或事件。建议但不强制将数据集名称以模块名称开头，然后是一个点，最后是数据集名称。

类型: keyword

示例：apache.access

事件的持续时间，以纳秒为单位。如果 event.start 和 event.end 已知，则此值应为结束时间和开始时间之间的差值。

类型: long

格式：持续时间

event.end 包含事件结束的时间或活动最后被观察到的时间。

类型: date

原始字段的哈希值（可能是 logstash 指纹），以便能够证明日志的完整性。

类型: keyword

示例：123456789012345678901234567890ABCD

描述事件的唯一 ID。

类型: keyword

示例: 8a4f500d

事件到达中央数据存储的时间戳。这与 @timestamp 不同，@timestamp 表示事件最初发生的时间。它也与 event.created 不同，event.created 用于捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳的顺序应该是：@timestamp < event.created < event.ingested。

类型: date

例如：2016-05-23T08:05:35.101Z

这是 ECS 分类字段中的四个字段之一，它指示 ECS 类别层次结构中的最高级别。 event.kind 提供有关事件包含的信息类型的概述，而不会具体到事件内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于通知如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制，还有助于了解数据是否以固定时间间隔传入。

类型: keyword

例如：alert

此数据来源的模块名称。如果您的监控代理支持模块或插件的概念来处理给定来源的事件（例如 Apache 日志），则 event.module 应包含此模块的名称。

类型: keyword

例如：apache

整个事件的原始文本消息。用于演示日志完整性或在可能需要完整日志消息（在将其拆分为多个部分之前）的情况下使用，例如，用于重新索引。此字段未被索引，并且已禁用 doc_values。它不能被搜索，但可以从 _source 中检索。如果用户希望覆盖此字段并对其进行索引，请参阅 Elasticsearch 参考 中的 字段数据类型。

类型: keyword

例如：Sep 19 08:26:10 host CEF:0|Security| threatmanager|1.0|100| worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2spt=1232

字段未被索引。

这是 ECS 分类字段中的四个字段之一，它指示 ECS 类别层次结构中的最低级别。 event.outcome 只是表示事件是否代表从生成事件的实体的角度来看的成功或失败。请注意，当单个事务在多个事件中描述时，每个事件都可能根据其视角填充不同的 event.outcome 值。还要注意，对于复合事件（包含多个逻辑事件的单个事件），此字段应填充最能体现事件生成者视角的整体成功或失败的值。进一步注意，并非所有事件都将具有关联的结果。例如，此字段通常不会为指标事件、具有 event.type:info 的事件或任何结果在逻辑上没有意义的事件填充。

类型: keyword

例如：success

事件来源。Syslog 或 Windows 事件日志等事件传输通常会提到事件来源。它可以是生成事件的软件名称（例如，Sysmon、httpd），或操作系统（内核、Microsoft-Windows-Security-Auditing）的子系统名称。

类型: keyword

例如：kernel

根据来源，此事件发生的原因。它描述了事件中捕获的特定操作或结果的为什么。在 event.action 捕获事件的操作时，event.reason 描述了为什么采取了该操作。例如，具有 event.action（拒绝请求）的 Web 代理还可以填充 event.reason，说明拒绝的原因（例如，blocked site）。

类型: keyword

例如：终止了意外进程

指向有关此事件的更多信息的参考 URL。此 URL 指向此事件的静态定义。警报事件（由 event.kind:alert 指示）是此字段的常见用例。

类型: keyword

例如：https://system.example.com/event/#0001234

事件的风险评分或优先级（例如，安全解决方案）。在此处使用系统的原始值。

类型：float

事件的标准化风险评分或优先级，范围为 0 到 100。如果您使用多个系统来分配风险评分，并且您希望查看所有系统中的标准化值，这将非常有用。

类型：float

事件的序列号。序列号是某些事件源发布的值，用于明确表示事件的确切顺序，而不管时间戳精度如何。

类型: long

格式: string

根据您的事件源，事件的数字严重性。不同的严重性值可能意味着不同的源和用例。实施者有责任确保来自同一源的事件的严重性保持一致。Syslog 严重性应位于 log.syslog.severity.code 中。 event.severity 用于表示事件源（例如，防火墙、IDS）的严重性。如果事件源未发布其自身的严重性，则可以选择将 log.syslog.severity.code 复制到 event.severity。

类型: long

例如：7

格式: string

event.start 包含事件开始时间或首次观察到活动的时间。

类型: date

当事件的时间戳未包含时区信息（例如默认 Syslog 时间戳）时，应填充此字段。否则，它是可选的。可接受的时区格式为：规范 ID（例如，“Europe/Amsterdam”）、缩写形式（例如，“EST”）或 HH:mm 差值（例如，“-05:00”）。

类型: keyword

这是 ECS 分类字段中的四个字段之一，它指示 ECS 类别层次结构中的第三级。 event.type 代表一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件过滤到适合单一可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的事件进行适当的分类。

类型: keyword

指向外部系统的 URL，以便继续调查此事件。此 URL 指向另一个系统，可以在其中对该事件的特定事件进行深入调查。警报事件（由 event.kind:alert 指示）是此字段的常见用例。

类型: keyword

例如：https://mysystem.example.com/alert/5271dedb-f5b0-4218-87f0-4ac4870a38fe

布尔值，指示函数的冷启动。

类型：布尔值

当前函数执行的执行 ID。

类型: keyword

例如：af9d5aa4-a685-4c5f-a22b-444f80b3cc28

有关函数触发器的详细信息。

类型：嵌套

触发请求、消息、事件等的 ID。

类型: keyword

例如：123456789

函数执行的触发器。预期值是：* http * pubsub * datasource * timer * other

类型: keyword

例如：http

文件最后一次被访问的时间。请注意，并非所有文件系统都会跟踪访问时间。

类型: date

文件属性数组。属性名称将因平台而异。以下是一些预期在此字段中出现的非详尽列表的值：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型: keyword

例如：["readonly", "system"]

用于签署进程的哈希算法。当同一个签署者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型: keyword

示例：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

用于签署进程的标识符。它用于识别软件供应商制造的应用程序。该字段与 Apple *OS 相关。

类型: keyword

示例：com.apple.xpc.proxy

有关证书状态的附加信息。这对记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度，则保留为空。

类型: keyword

示例：ERROR_UNTRUSTED_ROOT

代码签署者的主体名称

类型: keyword

示例：Microsoft Corporation

用于签署进程的团队标识符。它用于识别软件产品的团队或供应商。该字段与 Apple *OS 相关。

类型: keyword

示例：EQHXZ8M8AV

生成和签署代码签名的时间日期。

类型: date

示例：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任度可能很复杂，并且此字段应仅由积极检查状态的工具填充。

类型：布尔值

示例：true

布尔值，用于捕获是否根据二进制内容验证数字签名。如果未检查证书，则保留为空。

类型：布尔值

示例：true

文件创建时间。请注意，并非所有文件系统都会存储创建时间。

类型: date

文件属性或元数据最后一次更改的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将在同一时间进行调整，因为 mtime 是文件的属性。

类型: date

作为文件来源的设备。

类型: keyword

例如：sda

文件所在的目录。它应包括驱动器盘符（如果适用）。

类型: keyword

例如：/home/alice

文件所在的驱动器盘符。此字段仅在 Windows 上相关。该值应为大写，不包括冒号。

类型: keyword

例如：C

ELF 文件的机器架构。

类型: keyword

示例：x86-64

ELF 文件的字节顺序。

类型: keyword

示例：小端序

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

在可能的情况下从文件的元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型: date

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

ELF 文件的头部类别。

类型: keyword

ELF 头部的数据库。

类型: keyword

ELF 文件的头部入口点。

类型: long

格式: string

原始 ELF 文件的 "0x1"。

类型: keyword

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

ELF 文件的头部类型。

类型: keyword

ELF 头部的版本。

类型: keyword

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件的每个部分的对应对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

该部分的卡方概率分布。

类型: long

格式：数字

从该部分计算的香农熵。

类型: long

格式：数字

ELF 部分列表标志。

类型: keyword

ELF 部分列表名称。

类型: keyword

ELF 部分列表偏移量。

类型: keyword

ELF 部分列表物理大小。

类型: long

格式: bytes

ELF 部分列表类型。

类型: keyword

ELF 部分列表虚拟地址。

类型: long

格式: string

ELF 部分列表虚拟大小。

类型: long

格式: string

一个数组，包含 ELF 文件的每个段的对应对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型: keyword

ELF 对象段类型。

类型: keyword

此 ELF 对象使用的共享库列表。

类型: keyword

ELF 文件的 telfhash 符号哈希。

类型: keyword

文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名（例如，example.tar.gz）时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型: keyword

例如：png

叉是与文件系统对象关联的附加数据。在 Linux 上，资源叉用于存储与文件系统对象关联的附加数据。文件始终至少具有一个用于数据部分的叉，并且可能存在其他叉。在 NTFS 上，这类似于备用数据流 (ADS)，而文件的默认数据流称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 通常采用以下形式：C:\path\to\filename.extension:some_fork_name，并且 some_fork_name 是应填充 fork_name 的值。 filename.extension 应填充 file.name，并且 extension 应填充 file.extension。完整路径 file.path 将包括叉名。

类型: keyword

例如：Zone.Identifer

文件的首要组 ID (GID)。

类型: keyword

例如：1001

文件的首要组名称。

类型: keyword

例如：alice

MD5 哈希。

类型: keyword

SHA1 哈希。

类型: keyword

SHA256 哈希。

类型: keyword

SHA512 哈希。

类型: keyword

SSDEEP 哈希。

类型: keyword

表示文件系统中文件的 inode。

类型: keyword

例如：256383

MIME 类型应使用 IANA 官方类型 标识文件或字节流的格式（如果可能）。当有多个类型适用时，应使用最具体的类型。

类型: keyword

文件的八进制表示的模式。

类型: keyword

例如：0640

文件内容最后一次修改的时间。

类型: date

包括扩展名的文件名，不包括目录。

类型: keyword

例如：example.png

文件所有者的用户名。

类型: keyword

例如：alice

文件的完整路径，包括文件名。它应包括驱动器盘符（如果适用）。

类型: keyword

例如：/home/alice/example.png

类型: match_only_text

文件的 CPU 架构目标。

类型: keyword

示例：x64

文件的内部公司名称，在编译时提供。

类型: keyword

示例：Microsoft Corporation

文件的内部描述，在编译时提供。

类型: keyword

示例：Paint

文件的内部版本，在编译时提供。

类型: keyword

示例：6.3.9600.17415

PE 文件中导入的哈希。imphash（或导入哈希）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后也是如此，这将改变更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 上了解详情。

类型: keyword

示例：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型: keyword

示例：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型: keyword

示例：Microsoft® Windows® Operating System

文件大小（以字节为单位）。仅在 file.type 为“file”时相关。

类型: long

例如：16384

符号链接的目标路径。

类型: keyword

类型: match_only_text

文件类型（file、dir 或 symlink）。

类型: keyword

例如：file

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型: keyword

例如：1001

主体备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型: keyword

示例：*.elastic.co

颁发证书颁发机构的通用名称 (CN) 列表。

类型: keyword

示例：Example SHA2 High Assurance Server CA

国家/地区 © 代码列表

类型: keyword

示例：US

颁发证书颁发机构的识别名称 (DN)。

类型: keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

地区名称 (L) 列表

类型: keyword

示例：Mountain View

颁发证书颁发机构的组织 (O) 列表。

类型: keyword

示例：Example Inc

颁发证书颁发机构的组织单位 (OU) 列表。

类型: keyword

示例：www.example.com

州或省份名称 (ST、S 或 P) 列表

类型: keyword

示例：California

证书不再被视为有效的日期和时间。

类型: date

示例：2020-07-16 03:15:39+00:00

证书首次被视为有效的日期和时间。

类型: date

示例：2019-08-16 01:40:25+00:00

用于生成公钥的算法。

类型: keyword

示例：RSA

椭圆曲线公钥算法使用的曲线。这与算法有关。

类型: keyword

示例：nistp521

用于推导出公钥的指数。这与算法有关。

类型: long

示例：65537

字段未被索引。

公钥空间的大小（以位计）。

类型: long

示例：2048

证书颁发机构颁发的唯一序列号。为了保持一致性，如果此值为字母数字，则应格式化为不带冒号且为大写字符。

类型: keyword

示例：55FBB9C7DEBF09809D12CCAA

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型: keyword

示例：SHA256-RSA

主体的通用名称 (CN) 列表。

类型: keyword

示例：shared.global.example.net

国家/地区 © 代码列表

类型: keyword

示例：US

证书主体实体的识别名称 (DN)。

类型: keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

地区名称 (L) 列表

类型: keyword

示例：San Francisco

主体的组织 (O) 列表。

类型: keyword

示例：Example, Inc.

主体的组织单位 (OU) 列表。

类型: keyword

州或省份名称 (ST、S 或 P) 列表

类型: keyword

示例：California

x509 格式的版本。

类型: keyword

示例：3

城市名称。

类型: keyword

示例: Montreal

代表大陆名称的两位字母代码。

类型: keyword

示例: NA

大陆的名称。

类型: keyword

示例: 北美

国家 ISO 代码。

类型: keyword

示例: CA

国家名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可以是其数据中心的名称、楼层号（如果描述了本地物理实体）、城市名称。通常不用于自动地理定位。

类型: keyword

示例: boston-dc

与位置关联的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

系统/平台上组的唯一标识符。

类型: keyword

组的名称。

类型: keyword

MD5 哈希。

类型: keyword

SHA1 哈希。

类型: keyword

SHA256 哈希。

类型: keyword

SHA512 哈希。

类型: keyword

SSDEEP 哈希。

类型: keyword

操作系统架构。

类型: keyword

示例：x86_64

使用的 CPU 百分比，通过 CPU 核心数量进行归一化，范围从 0 到 1。缩放因子：1000。例如：对于一个双核主机，此值应为两个核心的平均值，介于 0 到 1 之间。

类型：scaled_float

自上次度量收集以来成功读取的总字节数（从所有磁盘中聚合）。

类型: long

自上次度量收集以来成功写入的总字节数（从所有磁盘中聚合）。

类型: long

主机所属域的名称。例如，在 Windows 上，这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可能是主机 LDAP 提供者的域。

类型: keyword

示例：CONTOSO

城市名称。

类型: keyword

示例: Montreal

代表大陆名称的两位字母代码。

类型: keyword

示例: NA

大陆的名称。

类型: keyword

示例: 北美

国家 ISO 代码。

类型: keyword

示例: CA

国家名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可以是其数据中心的名称、楼层号（如果描述了本地物理实体）、城市名称。通常不用于自动地理定位。

类型: keyword

示例: boston-dc

与位置关联的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

主机的主机名。它通常包含 hostname 命令在主机上返回的内容。

类型: keyword

唯一的主机 ID。由于主机名并不总是唯一的，因此请使用在您的环境中有意义的值。例如：当前使用 beat.name。

类型: keyword

主机 IP 地址。

类型: ip

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）都用两位 [大写] 十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节用连字符分隔。

类型: keyword

示例：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

类型: keyword

自上次指标收集以来，主机在所有网络接口上发送的字节数（度量）。

类型: long

自上次指标收集以来，主机在所有网络接口上发送的数据包数（度量）。

类型: long

自上次指标收集以来，主机在所有网络接口上接收的字节数（度量）。

类型: long

自上次指标收集以来，主机在所有网络接口上接收的数据包数（度量）。

类型: long

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型: keyword

示例：debian

操作系统名称，包括版本或代号。

类型: keyword

示例：Mac OS Mojave

类型: match_only_text

作为原始字符串的操作系统内核版本。

类型: keyword

示例：4.4.0-112-generic

操作系统名称，不带版本。

类型: keyword

示例：Mac OS X

类型: match_only_text

操作系统平台（例如 centos、ubuntu、windows）。

类型: keyword

示例：darwin

使用 os.type 字段将操作系统分类为主要的商业系列之一。应使用以下值之一（小写）：linux、macos、unix、windows。如果您处理的操作系统不在列表中，则不应填充此字段。如果您有任何需要添加的其他操作系统，请在 ECS 的问题跟踪器中提出一个问题。

类型: keyword

示例：macos

作为原始字符串的操作系统版本。

类型: keyword

示例：10.14.1

主机的类型。对于云提供商，这可能是机器类型，例如 t2.medium。如果是虚拟机，这可能是容器，例如，或在您的环境中有意义的其他信息。

类型: keyword

主机已启动的秒数。

类型: long

示例：1325

请求主体的大小（以字节计）。

类型: long

示例：887

格式: bytes

完整的 HTTP 请求主体。

类型：通配符

示例：Hello world

类型: match_only_text

请求的总大小（以字节计）（主体和标头）。

类型: long

示例：1437

格式: bytes

每个 HTTP 请求的唯一标识符，用于在事务中关联客户端和服务器之间的日志。该 ID 可能包含在非标准 HTTP 标头中，例如 X-Request-ID 或 X-Correlation-ID。

类型: keyword

示例：123e4567-e89b-12d3-a456-426614174000

HTTP 请求方法。该值应保留其在原始事件中的大小写。例如，GET、get 和 GeT 都被认为是此字段的有效值。

类型: keyword

示例：POST

请求主体的 MIME 类型。此值仅应根据请求主体的內容填充，而不是根据 Content-Type 标头填充。将请求的 MIME 类型与请求的 Content-Type 标头进行比较有助于检测威胁或配置错误的客户端。

类型: keyword

示例：image/gif

此 HTTP 请求的来源。

类型: keyword

示例：https://blog.example.com/

响应主体的大小（以字节计）。

类型: long

示例：887

格式: bytes

完整的 HTTP 响应主体。

类型：通配符

示例：Hello world

类型: match_only_text

响应的总大小（以字节计）（主体和标头）。

类型: long

示例：1437

格式: bytes

响应主体的 MIME 类型。此值仅应根据响应主体的內容填充，而不是根据 Content-Type 标头填充。将响应的 MIME 类型与响应的 Content-Type 标头进行比较有助于检测配置错误的服务器。

类型: keyword

示例：image/gif

HTTP 响应状态代码。

类型: long

示例：404

格式: string

HTTP 版本。

类型: keyword

示例：1.1

系统报告的接口别名，通常在防火墙实现中用于例如内部、外部或 DMZ 逻辑接口命名。

类型: keyword

示例：outside

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型: keyword

示例：10

系统报告的接口名称。

类型: keyword

示例：eth0

此事件来自的日志文件的完整路径，包括文件名。它应包含驱动器盘符（如果适用）。如果事件不是从日志文件中读取的，请不要填充此字段。

类型: keyword

示例：/var/log/fun-times.log

日志事件的原始日志级别。如果事件源提供日志级别或文本严重性，则这是放在 log.level 中的级别。如果您的源没有指定一个级别，您可以在此处放置您的事件传输的严重性（例如 Syslog 严重性）。一些示例是 warn、err、i、informational。

类型: keyword

示例：error

应用程序中日志记录器的名称。这通常是初始化日志记录器的类的名称，也可以是自定义名称。

类型: keyword

例如：org.elasticsearch.bootstrap.Bootstrap

包含生成日志事件的源代码的文件的行号。

类型: long

例如：42

包含生成日志事件的源代码的文件的名称。请注意，此字段并非用于捕获日志文件。捕获日志文件的正确字段是 log.file.path。

类型: keyword

例如：Bootstrap.java

生成日志事件的函数或方法的名称。

类型: keyword

例如：init

如果事件是通过 Syslog 传输的，则为事件的 Syslog 元数据。请参见 RFC 5424 或 3164。

类型: object

如果可用，则为日志事件的 Syslog 数字设施。根据 RFC 5424 和 3164，此值应为 0 到 23 之间的整数。

类型: long

例如：23

格式: string

如果可用，则为日志事件的 Syslog 基于文本的设施。

类型: keyword

例如：local7

如果可用，则为事件的 Syslog 数字优先级。根据 RFC 5424 和 3164，优先级为 8 * 设施 + 严重性。因此，此数字预计应包含 0 到 191 之间的值。

类型: long

例如：135

格式: string

如果可用，则为日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件的事件源提供不同的数字严重性值（例如，防火墙、IDS），则您的源的数字严重性应转到 event.severity。如果事件源未指定不同的严重性，则可以选择将 Syslog 严重性复制到 event.severity。

类型: long

示例：3

如果可用，则为日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件的事件源提供不同的严重性值（例如，防火墙、IDS），则您的源的文本严重性应转到 log.level。如果事件源未指定不同的严重性，则可以选择将 Syslog 严重性复制到 log.level。

类型: keyword

例如：错误

当从网络连接详细信息（源/目标 IP、端口、证书或线格式）识别出特定应用程序或服务时，此字段将捕获应用程序或服务的名称。例如，原始事件标识来自 https 网络连接中的特定 Web 服务的网络连接，例如 facebook 或 twitter。字段值必须规范化为小写，以便于查询。

类型: keyword

例如：aim

双向传输的总字节数。如果已知 source.bytes 和 destination.bytes，则 network.bytes 为它们的总和。

类型: long

例如：368

格式: bytes

源和目标 IP 和端口以及通信中使用的协议的哈希值。这是识别流的工具无关标准。了解有关 https://github.com/corelight/community-id-spec 的更多信息。

类型: keyword

例如：1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0=

网络流量的方向。建议的值为：* 入站 * 出站 * 入站 * 出站 * 内部 * 外部 * 未知

从基于主机的监控环境映射事件时，请从主机的角度填充此字段，使用“入站”或“出站”值。从基于网络或周边的监控环境映射事件时，请从网络周边的角度填充此字段，使用“入站”、“出站”、“内部”或“外部”值。请注意，“内部”不跨越周边边界，用于描述周边内两个主机之间的通信。“外部”用于描述两个外部主机的流量。例如，这对于 ISP 或 VPN 服务提供商非常有用。

类型: keyword

例如：入站

当源 IP 地址为代理时，主机 IP 地址。

类型: ip

例如：192.1.1.2

IANA 协议编号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议编号的 NetFlow 和 sFlow 相关日志非常匹配。

类型: keyword

例如：6

network.inner 字段是在 network.vlan 字段之外添加的，用于描述 q-in-q VLAN 标记存在时的最内层 VLAN。允许的字段包括 vlan.id 和 vlan.name。内层 VLAN 字段通常用于将具有多个 802.1q 封装的流量发送到网络传感器（例如 Zeek、Wireshark）。

类型: object

观察者报告的 VLAN ID。

类型: keyword

示例：10

观察者报告的可选 VLAN 名称。

类型: keyword

示例：outside

操作员为其网络部分提供的名称。

类型: keyword

例如：访客 Wi-Fi

双向传输的总数据包数。如果已知 source.packets 和 destination.packets，则 network.packets 为它们的总和。

类型: long

例如：24

在 OSI 模型中，这将是应用层协议。例如，http、dns 或 ssh。字段值必须规范化为小写，以便于查询。

类型: keyword

例如：http

与 network.iana_number 相同，但使用传输层 (udp、tcp、ipv6-icmp 等) 的关键字名称。字段值必须规范化为小写，以便于查询。

类型: keyword

例如：tcp

在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值必须规范化为小写，以便于查询。

类型: keyword

例如：ipv4

观察者报告的 VLAN ID。

类型: keyword

示例：10

观察者报告的可选 VLAN 名称。

类型: keyword

示例：outside

Observer.egress 包含有关接口编号和名称、VLAN 以及区域信息的信息，用于对出站流量进行分类。仅在跨接端口上使用网络传感器等单臂监控应仅使用 observer.ingress 对流量进行分类。

类型: object

系统报告的接口别名，通常在防火墙实现中用于例如内部、外部或 DMZ 逻辑接口命名。

类型: keyword

示例：outside

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型: keyword

示例：10

系统报告的接口名称。

类型: keyword

示例：eth0

观察者报告的 VLAN ID。

类型: keyword

示例：10

观察者报告的可选 VLAN 名称。

类型: keyword

示例：outside

观察者报告的出站流量的网络区域，用于对出站流量的目标区域进行分类，例如内部、外部、DMZ、HR、法律等。

类型: keyword

例如：公共互联网

城市名称。

类型: keyword

示例: Montreal

代表大陆名称的两位字母代码。

类型: keyword

示例: NA

大陆的名称。

类型: keyword

示例: 北美

国家 ISO 代码。

类型: keyword

示例: CA

国家名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可以是其数据中心的名称、楼层号（如果描述了本地物理实体）、城市名称。通常不用于自动地理定位。

类型: keyword

示例: boston-dc

与位置关联的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

观察者的主机名。

类型: keyword

Observer.ingress 包含有关接口编号和名称、VLAN 以及区域信息的信息，用于对入站流量进行分类。仅在跨接端口上使用网络传感器等单臂监控应仅使用 observer.ingress 对流量进行分类。

类型: object

系统报告的接口别名，通常在防火墙实现中用于例如内部、外部或 DMZ 逻辑接口命名。

类型: keyword

示例：outside

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型: keyword

示例：10

系统报告的接口名称。

类型: keyword

示例：eth0

观察者报告的 VLAN ID。

类型: keyword

示例：10

观察者报告的可选 VLAN 名称。

类型: keyword

示例：outside

观察者报告的入站流量的网络区域，用于对入站流量的源区域进行分类。例如，内部、外部、DMZ、HR、法律等。

类型: keyword

例如：DMZ

观察者的 IP 地址。

类型: ip

观察者的 MAC 地址。建议使用 RFC 7042 中的符号格式：每个字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示字节作为无符号整数的值。连续的字节用连字符分隔。

类型: keyword

示例：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

观察者的自定义名称。这是可以为观察者提供的名称。例如，如果组织中使用了多个相同型号的防火墙，这将非常有用。如果不需要自定义名称，则可以将该字段留空。

类型: keyword

例如：1_proxySG

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型: keyword

示例：debian

操作系统名称，包括版本或代号。

类型: keyword

示例：Mac OS Mojave

类型: match_only_text

作为原始字符串的操作系统内核版本。

类型: keyword

示例：4.4.0-112-generic

操作系统名称，不带版本。

类型: keyword

示例：Mac OS X

类型: match_only_text

操作系统平台（例如 centos、ubuntu、windows）。

类型: keyword

示例：darwin

使用 os.type 字段将操作系统分类为主要的商业系列之一。应使用以下值之一（小写）：linux、macos、unix、windows。如果您处理的操作系统不在列表中，则不应填充此字段。如果您有任何需要添加的其他操作系统，请在 ECS 的问题跟踪器中提出一个问题。

类型: keyword

示例：macos

作为原始字符串的操作系统版本。

类型: keyword

示例：10.14.1

观察者的产品名称。

类型: keyword

例如：s200

观察者序列号。

类型: keyword

数据来自的观察者的类型。没有预定义的观察者类型列表。一些示例包括 forwarder、firewall、ids、ips、proxy、poller、sensor、APM server。

类型: keyword

例如：firewall

观察者的供应商名称。

类型: keyword

例如：Symantec

观察者版本。

类型: keyword

用于执行操作的 API 版本

类型: keyword

例如：v1beta1

集群的名称。

类型: keyword

用于管理集群的 API 的 URL。

类型: keyword

集群的版本。

类型: keyword

正在执行操作的命名空间。

类型: keyword

例如：kube-system

受事件影响的组织（对于多租户编排器设置）。

类型: keyword

例如：elastic

正在操作的资源的名称。

类型: keyword

例如：test-pod-cdcws

正在操作的资源的类型。

类型: keyword

例如：服务

编排器集群类型（例如，kubernetes、nomad 或 cloudfoundry）。

类型: keyword

例如：kubernetes

组织的唯一标识符。

类型: keyword

组织名称。

类型: keyword

类型: match_only_text

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型: keyword

示例：debian

操作系统名称，包括版本或代号。

类型: keyword

示例：Mac OS Mojave

类型: match_only_text

作为原始字符串的操作系统内核版本。

类型: keyword

示例：4.4.0-112-generic

操作系统名称，不带版本。

类型: keyword

示例：Mac OS X

类型: match_only_text

操作系统平台（例如 centos、ubuntu、windows）。

类型: keyword

示例：darwin

使用 os.type 字段将操作系统分类为主要的商业系列之一。应使用以下值之一（小写）：linux、macos、unix、windows。如果您处理的操作系统不在列表中，则不应填充此字段。如果您有任何需要添加的其他操作系统，请在 ECS 的问题跟踪器中提出一个问题。

类型: keyword

示例：macos

作为原始字符串的操作系统版本。

类型: keyword

示例：10.14.1

包体系结构。

类型: keyword

示例：x86_64

有关已安装包的构建版本的其他信息。例如，使用未发布包的提交 SHA。

类型: keyword

例如：36f4f7e89dd61b0988b12ee000b98966867710cd

已安装包的校验和，用于验证。

类型: keyword

例如：68b329da9893e34099c7d8ad5cb9c940

包的描述。

类型: keyword

例如：用于构建简单/可靠/高效软件的开源编程语言。

指示包的安装方式，例如用户本地、全局。

类型: keyword

例如：全局

安装包的时间。

类型: date

发布软件包的许可证。使用简短的名称，例如，如果可能，来自 SPDX 许可证列表的许可证标识符（https://spdx.org/licenses/）。

类型: keyword

示例：Apache License 2.0

软件包名称

类型: keyword

示例：go

安装软件包的路径。

类型: keyword

示例：/usr/local/Cellar/go/1.12.9/

如果可用，此软件包中软件的主页或参考 URL。

类型: keyword

示例：https://golang.ac.cn

软件包大小（以字节为单位）。

类型: long

示例：62231

格式: string

软件包类型。这应该包含软件包文件类型，而不是软件包管理器名称。示例：rpm、dpkg、brew、npm、gem、nupkg、jar。

类型: keyword

示例：rpm

软件包版本

类型: keyword

示例：1.12.9

文件的 CPU 架构目标。

类型: keyword

示例：x64

文件的内部公司名称，在编译时提供。

类型: keyword

示例：Microsoft Corporation

文件的内部描述，在编译时提供。

类型: keyword

示例：Paint

文件的内部版本，在编译时提供。

类型: keyword

示例：6.3.9600.17415

PE 文件中导入的哈希。imphash（或导入哈希）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后也是如此，这将改变更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 上了解详情。

类型: keyword

示例：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型: keyword

示例：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型: keyword

示例：Microsoft® Windows® Operating System

进程参数数组，从可执行文件的绝对路径开始。可以过滤以保护敏感信息。

类型: keyword

示例：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.args 数组的长度。此字段可用于查询或执行桶分析以了解提供给启动进程的参数数量。更多参数可能表明可疑活动。

类型: long

示例：4

用于签署进程的哈希算法。当同一个签署者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型: keyword

示例：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

用于签署进程的标识符。它用于识别软件供应商制造的应用程序。该字段与 Apple *OS 相关。

类型: keyword

示例：com.apple.xpc.proxy

有关证书状态的附加信息。这对记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度，则保留为空。

类型: keyword

示例：ERROR_UNTRUSTED_ROOT

代码签署者的主体名称

类型: keyword

示例：Microsoft Corporation

用于签署进程的团队标识符。它用于识别软件产品的团队或供应商。该字段与 Apple *OS 相关。

类型: keyword

示例：EQHXZ8M8AV

生成和签署代码签名的时间日期。

类型: date

示例：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任度可能很复杂，并且此字段应仅由积极检查状态的工具填充。

类型：布尔值

示例：true

布尔值，用于捕获是否根据二进制内容验证数字签名。如果未检查证书，则保留为空。

类型：布尔值

示例：true

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

类型：通配符

示例：/usr/bin/ssh -l user 10.0.0.16

类型: match_only_text

ELF 文件的机器架构。

类型: keyword

示例：x86-64

ELF 文件的字节顺序。

类型: keyword

示例：小端序

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

在可能的情况下从文件的元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型: date

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

ELF 文件的头部类别。

类型: keyword

ELF 头部的数据库。

类型: keyword

ELF 文件的头部入口点。

类型: long

格式: string

原始 ELF 文件的 "0x1"。

类型: keyword

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

ELF 文件的头部类型。

类型: keyword

ELF 头部的版本。

类型: keyword

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件的每个部分的对应对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

该部分的卡方概率分布。

类型: long

格式：数字

从该部分计算的香农熵。

类型: long

格式：数字

ELF 部分列表标志。

类型: keyword

ELF 部分列表名称。

类型: keyword

ELF 部分列表偏移量。

类型: keyword

ELF 部分列表物理大小。

类型: long

格式: bytes

ELF 部分列表类型。

类型: keyword

ELF 部分列表虚拟地址。

类型: long

格式: string

ELF 部分列表虚拟大小。

类型: long

格式: string

一个数组，包含 ELF 文件的每个段的对应对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型: keyword

ELF 对象段类型。

类型: keyword

此 ELF 对象使用的共享库列表。

类型: keyword

ELF 文件的 telfhash 符号哈希。

类型: keyword

进程结束时间。

类型: date

示例: 2016-05-23T08:05:34.853Z

进程的唯一标识符。此实现由数据源指定，但此处可以使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程的某些唯一标识组件的哈希值。构建全局唯一标识符是一种常见做法，用于减轻 PID 重用并随着时间的推移以及跨多个受监控主机识别特定进程。

类型: keyword

示例：c2c455d9f99375d

进程可执行文件的绝对路径。

类型: keyword

示例：/usr/bin/ssh

类型: match_only_text

进程的退出代码（如果这是一个终止事件）。如果事件没有退出代码（例如进程启动），则此字段应该不存在。

类型: long

示例：137

MD5 哈希。

类型: keyword

SHA1 哈希。

类型: keyword

SHA256 哈希。

类型: keyword

SHA512 哈希。

类型: keyword

SSDEEP 哈希。

类型: keyword

进程名称。有时称为程序名称或类似名称。

类型: keyword

示例：ssh

类型: match_only_text

进程参数数组，从可执行文件的绝对路径开始。可以过滤以保护敏感信息。

类型: keyword

示例：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.args 数组的长度。此字段可用于查询或执行桶分析以了解提供给启动进程的参数数量。更多参数可能表明可疑活动。

类型: long

示例：4

用于签署进程的哈希算法。当同一个签署者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型: keyword

示例：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

用于签署进程的标识符。它用于识别软件供应商制造的应用程序。该字段与 Apple *OS 相关。

类型: keyword

示例：com.apple.xpc.proxy

有关证书状态的附加信息。这对记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度，则保留为空。

类型: keyword

示例：ERROR_UNTRUSTED_ROOT

代码签署者的主体名称

类型: keyword

示例：Microsoft Corporation

用于签署进程的团队标识符。它用于识别软件产品的团队或供应商。该字段与 Apple *OS 相关。

类型: keyword

示例：EQHXZ8M8AV

生成和签署代码签名的时间日期。

类型: date

示例：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任度可能很复杂，并且此字段应仅由积极检查状态的工具填充。

类型：布尔值

示例：true

布尔值，用于捕获是否根据二进制内容验证数字签名。如果未检查证书，则保留为空。

类型：布尔值

示例：true

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

类型：通配符

示例：/usr/bin/ssh -l user 10.0.0.16

类型: match_only_text

ELF 文件的机器架构。

类型: keyword

示例：x86-64

ELF 文件的字节顺序。

类型: keyword

示例：小端序

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

在可能的情况下从文件的元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型: date

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

ELF 文件的头部类别。

类型: keyword

ELF 头部的数据库。

类型: keyword

ELF 文件的头部入口点。

类型: long

格式: string

原始 ELF 文件的 "0x1"。

类型: keyword

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

ELF 文件的头部类型。

类型: keyword

ELF 头部的版本。

类型: keyword

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件的每个部分的对应对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

该部分的卡方概率分布。

类型: long

格式：数字

从该部分计算的香农熵。

类型: long

格式：数字

ELF 部分列表标志。

类型: keyword

ELF 部分列表名称。

类型: keyword

ELF 部分列表偏移量。

类型: keyword

ELF 部分列表物理大小。

类型: long

格式: bytes

ELF 部分列表类型。

类型: keyword

ELF 部分列表虚拟地址。

类型: long

格式: string

ELF 部分列表虚拟大小。

类型: long

格式: string

一个数组，包含 ELF 文件的每个段的对应对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型: keyword

ELF 对象段类型。

类型: keyword

此 ELF 对象使用的共享库列表。

类型: keyword

ELF 文件的 telfhash 符号哈希。

类型: keyword

进程结束时间。

类型: date

示例: 2016-05-23T08:05:34.853Z

进程的唯一标识符。此实现由数据源指定，但此处可以使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程的某些唯一标识组件的哈希值。构建全局唯一标识符是一种常见做法，用于减轻 PID 重用并随着时间的推移以及跨多个受监控主机识别特定进程。

类型: keyword

示例：c2c455d9f99375d

进程可执行文件的绝对路径。

类型: keyword

示例：/usr/bin/ssh

类型: match_only_text

进程的退出代码（如果这是一个终止事件）。如果事件没有退出代码（例如进程启动），则此字段应该不存在。

类型: long

示例：137

MD5 哈希。

类型: keyword

SHA1 哈希。

类型: keyword

SHA256 哈希。

类型: keyword

SHA512 哈希。

类型: keyword

SSDEEP 哈希。

类型: keyword

进程名称。有时称为程序名称或类似名称。

类型: keyword

示例：ssh

类型: match_only_text

文件的 CPU 架构目标。

类型: keyword

示例：x64

文件的内部公司名称，在编译时提供。

类型: keyword

示例：Microsoft Corporation

文件的内部描述，在编译时提供。

类型: keyword

示例：Paint

文件的内部版本，在编译时提供。

类型: keyword

示例：6.3.9600.17415

PE 文件中导入的哈希。imphash（或导入哈希）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后也是如此，这将改变更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 上了解详情。

类型: keyword

示例：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型: keyword

示例：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型: keyword

示例：Microsoft® Windows® Operating System

进程所属的进程组的标识符。

类型: long

格式: string

进程 ID。

类型: long

示例：4242

格式: string

进程开始时间。

类型: date

示例: 2016-05-23T08:05:34.853Z

线程 ID。

类型: long

示例：4242

格式: string

线程名称。

类型: keyword

示例：thread-0

进程标题。进程标题，有时与进程名称相同。也可以不同：例如，浏览器将其标题设置为当前打开的网页。

类型: keyword

类型: match_only_text

进程已运行的秒数。

类型: long

示例：1325

进程的工作目录。

类型: keyword

例如：/home/alice

类型: match_only_text

文件的 CPU 架构目标。

类型: keyword

示例：x64

文件的内部公司名称，在编译时提供。

类型: keyword

示例：Microsoft Corporation

文件的内部描述，在编译时提供。

类型: keyword

示例：Paint

文件的内部版本，在编译时提供。

类型: keyword

示例：6.3.9600.17415

PE 文件中导入的哈希。imphash（或导入哈希）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后也是如此，这将改变更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 上了解详情。

类型: keyword

示例：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型: keyword

示例：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型: keyword

示例：Microsoft® Windows® Operating System

进程所属的进程组的标识符。

类型: long

格式: string

进程 ID。

类型: long

示例：4242

格式: string

进程开始时间。

类型: date

示例: 2016-05-23T08:05:34.853Z

线程 ID。

类型: long

示例：4242

格式: string

线程名称。

类型: keyword

示例：thread-0

进程标题。进程标题，有时与进程名称相同。也可以不同：例如，浏览器将其标题设置为当前打开的网页。

类型: keyword

类型: match_only_text

进程已运行的秒数。

类型: long

示例：1325

进程的工作目录。

类型: keyword

例如：/home/alice

类型: match_only_text

使用 Base64 编码写入的原始字节。对于 Windows 注册表操作（如 SetValueEx 和 RegQueryValueEx），这对应于 lp_data 指向的数据。这是可选的，但提供了更好的可恢复性，应该为 REG_BINARY 编码的值填充它。

类型: keyword

示例：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

写入字符串类型时的内容。在将字符串数据写入注册表时，填充为数组。对于单个字符串注册表类型（REG_SZ、REG_EXPAND_SZ），这应该是一个包含一个字符串的数组。对于使用 REG_MULTI_SZ 的字符串序列，此数组将是可变长度的。对于数字数据（如 REG_DWORD 和 REG_QWORD），这应该用十进制表示填充（例如 "1"）。

类型：通配符

示例：["C:\rta\red_ttp\bin\myapp.exe"]

用于编码内容的标准注册表类型

类型: keyword

示例：REG_SZ

蜂巢的缩写名称。

类型: keyword

示例：HKLM

密钥的蜂巢相对路径。

类型: keyword

示例：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

完整路径，包括蜂巢、密钥和值

类型: keyword

示例：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

写入的值的名称。

类型: keyword

示例：Debugger

在您的事件中看到的全部哈希值。填充此字段，然后使用它来搜索哈希值可以帮助您在不确定哈希算法的情况下（因此不知道要搜索哪个键名称）时找到帮助。

类型: keyword

在您的事件中看到的全部主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。

类型: keyword

在您的事件中看到的全部 IP。

类型: ip

在事件中看到的全部用户名或其他用户标识符。

类型: keyword

创建用于生成此事件的规则的作者或作者的姓名、组织或化名。

类型: keyword

示例：["Star-Lord"]

使用规则进行事件检测的实体使用的分类值关键字。

类型: keyword

示例：试图泄露信息

生成事件的规则的描述。

类型: keyword

示例：阻止对公共 DNS over HTTPS/TLS 协议的请求

在使用规则进行此事件检测的代理、观察者或其他实体的范围内唯一的规则 ID。

类型: keyword

示例：101

用于生成此事件的规则可用的许可证名称。

类型: keyword

示例：Apache 2.0

生成事件的规则或签名的名称。

类型: keyword

示例：BLOCK_DNS_over_TLS

用于生成此事件的规则的附加信息的参考 URL。此 URL 可以指向供应商关于该规则的文档。如果不可用，它也可以是链接到描述此类型警报的更一般页面的链接。

类型: keyword

示例：https://en.wikipedia.org/wiki/DNS_over_TLS

规则集、策略、组或父类别的名称，其中用于生成此事件的规则是成员。

类型: keyword

示例：Standard_Protocol_Filters

在使用规则进行此事件检测的一组或一组代理、观察者或其他实体的范围内唯一的规则 ID。

类型: keyword

示例：1100110011

用于分析的规则的版本/修订版。

类型: keyword

示例：1.1

某些事件服务器地址定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后应根据其类型将其复制到 .ip 或 .domain。

类型: keyword

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

组织名称。

类型: keyword

示例: Google LLC

类型: match_only_text

从服务器发送到客户端的字节数。

类型: long

示例: 184

格式: bytes

服务器系统的域名。此值可能是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从增强中添加。

类型: keyword

示例: foo.example.com

城市名称。

类型: keyword

示例: Montreal

代表大陆名称的两位字母代码。

类型: keyword

示例: NA

大陆的名称。

类型: keyword

示例: 北美

国家 ISO 代码。

类型: keyword

示例: CA

国家名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可以是其数据中心的名称、楼层号（如果描述了本地物理实体）、城市名称。通常不用于自动地理定位。

类型: keyword

示例: boston-dc

与位置关联的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

服务器的 IP 地址（IPv4 或 IPv6）。

类型: ip

服务器的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节的值为无符号整数。连续的八位字节由连字符隔开。

类型: keyword

示例: 00-00-5E-00-53-23

基于 NAT 会话的翻译后的目标 IP（例如，互联网到私有 DMZ）通常与负载均衡器、防火墙或路由器一起使用。

类型: ip

基于 NAT 会话的翻译后的目标端口（例如，互联网到私有 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

类型: long

格式: string

从服务器发送到客户端的数据包。

类型: long

示例: 12

服务器的端口。

类型: long

格式: string

最高注册服务器域名，去除子域名。例如，"foo.example.com" 的注册域名是 "example.com"。可以使用公共后缀列表（http://publicsuffix.org）等列表来精确确定此值。仅仅通过获取最后两个标签来近似此值对于 "co.uk" 等顶级域来说将无法很好地工作。

类型: keyword

示例: example.com

完全限定域名中的子域名部分包括除了注册域名下的主机名以外的所有名称。在部分限定域名中，或者如果无法确定全名的限定级别，子域名将包含注册域名下方的所有名称。例如，“www.east.mydomain.co.uk”的子域名部分是“east”。如果域名有多级子域名，例如“sub2.sub1.example.com”，则子域名字段应包含“sub2.sub1”，没有尾随句点。

类型: keyword

示例: east

有效顶级域名 (eTLD)，也称为域名后缀，是域名名称的最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定此值。尝试通过简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 不会很好地工作。

类型: keyword

示例: co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

用户电子邮件地址。

类型: keyword

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

类型: match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

系统/平台上组的唯一标识符。

类型: keyword

组的名称。

类型: keyword

唯一的用户哈希值，用于以匿名形式关联用户的相关信息。如果 user.id 或 user.name 包含机密信息，则不能使用它们，这时此字段很有用。

类型: keyword

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

用户的短名称或登录名。

类型: keyword

示例: a.einstein

类型: match_only_text

事件发生时用户的角色数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

收集有关此服务数据的地址。这应该是一个 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

类型: keyword

例如：172.26.0.2:5432

标识服务运行的环境。如果同一服务在不同的环境（生产、暂存、QA、开发等）中运行，则环境可以识别同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。

类型: keyword

示例：production

此服务的短暂标识符（如果存在）。此 ID 通常在重启后会发生变化，但 service.id 不会。

类型: keyword

示例: 8a4f500f

正在运行服务的唯一标识符。如果服务由多个节点组成，则所有节点的 service.id 应相同。此 ID 应唯一标识服务。这使得能够关联特定服务的日志和指标，无论哪个特定节点发出事件。请注意，如果您需要查看来自服务特定主机的事件，则应根据该 host.name 或 host.id 进行过滤，而不是根据服务本身进行过滤。

类型: keyword

例如：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

收集数据服务的名称。服务的名称通常是用户指定的。这允许在多个主机上运行的分布式服务根据名称关联相关的实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，service.name 默认情况下是 service.type 字段的副本，前提是未指定名称。

类型: keyword

例如：elasticsearch-metrics

服务节点的名称。这允许在同一主机上运行的同一服务的两个节点进行区分。因此，service.node.name 通常在给定服务的节点之间是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下，可以使用主机名或容器名称来区分构成此服务的运行实例。如果这些名称没有提供唯一性（例如，同一主机上运行的多个服务实例），则可以手动设置节点名称。

类型: keyword

例如：instance-0000000016

收集有关此服务数据的地址。这应该是一个 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

类型: keyword

例如：172.26.0.2:5432

标识服务运行的环境。如果同一服务在不同的环境（生产、暂存、QA、开发等）中运行，则环境可以识别同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。

类型: keyword

示例：production

此服务的短暂标识符（如果存在）。此 ID 通常在重启后会发生变化，但 service.id 不会。

类型: keyword

示例: 8a4f500f

正在运行服务的唯一标识符。如果服务由多个节点组成，则所有节点的 service.id 应相同。此 ID 应唯一标识服务。这使得能够关联特定服务的日志和指标，无论哪个特定节点发出事件。请注意，如果您需要查看来自服务特定主机的事件，则应根据该 host.name 或 host.id 进行过滤，而不是根据服务本身进行过滤。

类型: keyword

例如：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

收集数据服务的名称。服务的名称通常是用户指定的。这允许在多个主机上运行的分布式服务根据名称关联相关的实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，service.name 默认情况下是 service.type 字段的副本，前提是未指定名称。

类型: keyword

例如：elasticsearch-metrics

服务节点的名称。这允许在同一主机上运行的同一服务的两个节点进行区分。因此，service.node.name 通常在给定服务的节点之间是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下，可以使用主机名或容器名称来区分构成此服务的运行实例。如果这些名称没有提供唯一性（例如，同一主机上运行的多个服务实例），则可以手动设置节点名称。

类型: keyword

例如：instance-0000000016

服务的当前状态。

类型: keyword

收集数据服务的类型。该类型可用于对来自一个服务类型的日志和指标进行分组和关联。例如：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型: keyword

例如：elasticsearch

收集数据服务的版本。这使得能够仅查看特定版本服务的特定数据集。

类型: keyword

例如：3.2.4

服务的当前状态。

类型: keyword

收集有关此服务数据的地址。这应该是一个 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

类型: keyword

例如：172.26.0.2:5432

标识服务运行的环境。如果同一服务在不同的环境（生产、暂存、QA、开发等）中运行，则环境可以识别同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。

类型: keyword

示例：production

此服务的短暂标识符（如果存在）。此 ID 通常在重启后会发生变化，但 service.id 不会。

类型: keyword

示例: 8a4f500f

正在运行服务的唯一标识符。如果服务由多个节点组成，则所有节点的 service.id 应相同。此 ID 应唯一标识服务。这使得能够关联特定服务的日志和指标，无论哪个特定节点发出事件。请注意，如果您需要查看来自服务特定主机的事件，则应根据该 host.name 或 host.id 进行过滤，而不是根据服务本身进行过滤。

类型: keyword

例如：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

收集数据服务的名称。服务的名称通常是用户指定的。这允许在多个主机上运行的分布式服务根据名称关联相关的实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，service.name 默认情况下是 service.type 字段的副本，前提是未指定名称。

类型: keyword

例如：elasticsearch-metrics

服务节点的名称。这允许在同一主机上运行的同一服务的两个节点进行区分。因此，service.node.name 通常在给定服务的节点之间是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下，可以使用主机名或容器名称来区分构成此服务的运行实例。如果这些名称没有提供唯一性（例如，同一主机上运行的多个服务实例），则可以手动设置节点名称。

类型: keyword

例如：instance-0000000016

服务的当前状态。

类型: keyword

收集数据服务的类型。该类型可用于对来自一个服务类型的日志和指标进行分组和关联。例如：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型: keyword

例如：elasticsearch

收集数据服务的版本。这使得能够仅查看特定版本服务的特定数据集。

类型: keyword

例如：3.2.4

收集数据服务的类型。该类型可用于对来自一个服务类型的日志和指标进行分组和关联。例如：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型: keyword

例如：elasticsearch

收集数据服务的版本。这使得能够仅查看特定版本服务的特定数据集。

类型: keyword

例如：3.2.4

某些事件源地址定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后应根据其类型将其复制到 .ip 或 .domain。

类型: keyword

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

组织名称。

类型: keyword

示例: Google LLC

类型: match_only_text

从源发送到目标的字节数。

类型: long

示例: 184

格式: bytes

源系统的域名。此值可能是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从增强中添加。

类型: keyword

示例: foo.example.com

城市名称。

类型: keyword

示例: Montreal

代表大陆名称的两位字母代码。

类型: keyword

示例: NA

大陆的名称。

类型: keyword

示例: 北美

国家 ISO 代码。

类型: keyword

示例: CA

国家名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可以是其数据中心的名称、楼层号（如果描述了本地物理实体）、城市名称。通常不用于自动地理定位。

类型: keyword

示例: boston-dc

与位置关联的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

源的 IP 地址（IPv4 或 IPv6）。

类型: ip

源的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节的值为无符号整数。连续的八位字节由连字符隔开。

类型: keyword

示例: 00-00-5E-00-53-23

基于 NAT 会话的源翻译后的 IP（例如，内部客户端到互联网）。通常用于穿越负载均衡器、防火墙或路由器的连接。

类型: ip

基于 NAT 会话的源翻译后的端口（例如，内部客户端到互联网）。通常与负载均衡器、防火墙或路由器一起使用。

类型: long

格式: string

从源发送到目标的数据包。

类型: long

示例: 12

源的端口。

类型: long

格式: string

最高注册源域名，去除子域名。例如，"foo.example.com" 的注册域名是 "example.com"。可以使用公共后缀列表（http://publicsuffix.org）等列表来精确确定此值。仅仅通过获取最后两个标签来近似此值对于 "co.uk" 等顶级域来说将无法很好地工作。

类型: keyword

示例: example.com

完全限定域名中的子域名部分包括除了注册域名下的主机名以外的所有名称。在部分限定域名中，或者如果无法确定全名的限定级别，子域名将包含注册域名下方的所有名称。例如，“www.east.mydomain.co.uk”的子域名部分是“east”。如果域名有多级子域名，例如“sub2.sub1.example.com”，则子域名字段应包含“sub2.sub1”，没有尾随句点。

类型: keyword

示例: east

有效顶级域名 (eTLD)，也称为域名后缀，是域名名称的最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定此值。尝试通过简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 不会很好地工作。

类型: keyword

示例: co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

用户电子邮件地址。

类型: keyword

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

类型: match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

系统/平台上组的唯一标识符。

类型: keyword

组的名称。

类型: keyword

唯一的用户哈希值，用于以匿名形式关联用户的相关信息。如果 user.id 或 user.name 包含机密信息，则不能使用它们，这时此字段很有用。

类型: keyword

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

用户的短名称或登录名。

类型: keyword

示例: a.einstein

类型: match_only_text

事件发生时用户的角色数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

与事件相关的指示器对象的列表，以及该关联/增强的上下文。

类型：嵌套

包含与事件相关的指示器对象的 objects。

类型: object

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

组织名称。

类型: keyword

示例: Google LLC

类型: match_only_text

使用 STIX 2.1 框架附录 A 中定义的 None/Low/Medium/High 比例标识供应商中立的置信度等级。供应商特定的置信度等级可以作为自定义字段添加。预期值是：* 未指定 * 无 * 低 * 中等 * 高

类型: keyword

例如：中等

描述威胁执行的动作类型。

类型: keyword

例如：观察到 IP x.x.x.x 传递 Angler EK。

将威胁指示器标识为电子邮件地址（无论方向如何）。

类型: keyword

例如：[email protected]

文件最后一次被访问的时间。请注意，并非所有文件系统都会跟踪访问时间。

类型: date

文件属性数组。属性名称将因平台而异。以下是一些预期在此字段中出现的非详尽列表的值：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型: keyword

例如：["readonly", "system"]

用于签署进程的哈希算法。当同一个签署者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型: keyword

示例：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

用于签署进程的标识符。它用于识别软件供应商制造的应用程序。该字段与 Apple *OS 相关。

类型: keyword

示例：com.apple.xpc.proxy

有关证书状态的附加信息。这对记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度，则保留为空。

类型: keyword

示例：ERROR_UNTRUSTED_ROOT

代码签署者的主体名称

类型: keyword

示例：Microsoft Corporation

用于签署进程的团队标识符。它用于识别软件产品的团队或供应商。该字段与 Apple *OS 相关。

类型: keyword

示例：EQHXZ8M8AV

生成和签署代码签名的时间日期。

类型: date

示例：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任度可能很复杂，并且此字段应仅由积极检查状态的工具填充。

类型：布尔值

示例：true

布尔值，用于捕获是否根据二进制内容验证数字签名。如果未检查证书，则保留为空。

类型：布尔值

示例：true

文件创建时间。请注意，并非所有文件系统都会存储创建时间。

类型: date

文件属性或元数据最后一次更改的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将在同一时间进行调整，因为 mtime 是文件的属性。

类型: date

作为文件来源的设备。

类型: keyword

例如：sda

文件所在的目录。它应包括驱动器盘符（如果适用）。

类型: keyword

例如：/home/alice

文件所在的驱动器盘符。此字段仅在 Windows 上相关。该值应为大写，不包括冒号。

类型: keyword

例如：C

ELF 文件的机器架构。

类型: keyword

示例：x86-64

ELF 文件的字节顺序。

类型: keyword

示例：小端序

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

在可能的情况下从文件的元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型: date

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

ELF 文件的头部类别。

类型: keyword

ELF 头部的数据库。

类型: keyword

ELF 文件的头部入口点。

类型: long

格式: string

原始 ELF 文件的 "0x1"。

类型: keyword

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

ELF 文件的头部类型。

类型: keyword

ELF 头部的版本。

类型: keyword

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件的每个部分的对应对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

该部分的卡方概率分布。

类型: long

格式：数字

从该部分计算的香农熵。

类型: long

格式：数字

ELF 部分列表标志。

类型: keyword

ELF 部分列表名称。

类型: keyword

ELF 部分列表偏移量。

类型: keyword

ELF 部分列表物理大小。

类型: long

格式: bytes

ELF 部分列表类型。

类型: keyword

ELF 部分列表虚拟地址。

类型: long

格式: string

ELF 部分列表虚拟大小。

类型: long

格式: string

一个数组，包含 ELF 文件的每个段的对应对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型: keyword

ELF 对象段类型。

类型: keyword

此 ELF 对象使用的共享库列表。

类型: keyword

ELF 文件的 telfhash 符号哈希。

类型: keyword

文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名（例如，example.tar.gz）时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型: keyword

例如：png

叉是与文件系统对象关联的附加数据。在 Linux 上，资源叉用于存储与文件系统对象关联的附加数据。文件始终至少具有一个用于数据部分的叉，并且可能存在其他叉。在 NTFS 上，这类似于备用数据流 (ADS)，而文件的默认数据流称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 通常采用以下形式：C:\path\to\filename.extension:some_fork_name，并且 some_fork_name 是应填充 fork_name 的值。 filename.extension 应填充 file.name，并且 extension 应填充 file.extension。完整路径 file.path 将包括叉名。

类型: keyword

例如：Zone.Identifer

文件的首要组 ID (GID)。

类型: keyword

例如：1001

文件的首要组名称。

类型: keyword

例如：alice

MD5 哈希。

类型: keyword

SHA1 哈希。

类型: keyword

SHA256 哈希。

类型: keyword

SHA512 哈希。

类型: keyword

SSDEEP 哈希。

类型: keyword

表示文件系统中文件的 inode。

类型: keyword

例如：256383

MIME 类型应使用 IANA 官方类型 标识文件或字节流的格式（如果可能）。当有多个类型适用时，应使用最具体的类型。