› ›

Osquery 字段

由 osquery 模块导出的字段

结果指标集导出的通用字段。

osquery.result.name

生成此事件的查询名称。

type: keyword

osquery.result.action

对于增量数据，标记条目是添加还是删除。它可以是“added”、“removed”或“snapshot”之一。

type: keyword

osquery.result.host_identifier

运行 osquery 代理的宿主的标识符。通常是主机名。

type: keyword

osquery.result.unix_time

事件的 Unix 时间戳，以自纪元以来的秒数为单位。用于计算 @timestamp 列。

type: long

osquery.result.calendar_time

收集时间的字符串表示形式，格式为 osquery。

type: keyword