用于解析系统日志文件的模块。
system
来自系统日志文件的字段。
auth
来自 Linux 授权日志的字段。
-
system.auth.timestamp -
类型: 别名
别名指向: @timestamp
-
system.auth.hostname -
类型: 别名
别名指向: host.hostname
-
system.auth.program -
类型: 别名
别名指向: process.name
-
system.auth.pid -
类型: 别名
别名指向: process.pid
-
system.auth.message -
类型: 别名
别名指向: message
-
system.auth.user -
类型: 别名
别名指向: user.name
-
system.auth.ssh.method -
SSH 身份验证方法。可以是 "password" 或 "publickey" 之一。
-
system.auth.ssh.signature -
客户端公钥的签名。
-
system.auth.ssh.dropped_ip -
来自已打开并立即关闭的 SSH 连接的客户端 IP。
类型: ip
-
system.auth.ssh.event -
日志中找到的 SSH 事件(Accepted、Invalid、Failed 等)。
示例: Accepted
-
system.auth.ssh.ip -
类型: 别名
别名指向: source.ip
-
system.auth.ssh.port -
类型: 别名
别名指向: source.port
-
system.auth.ssh.geoip.continent_name -
类型: 别名
别名指向: source.geo.continent_name
-
system.auth.ssh.geoip.country_iso_code -
类型: 别名
别名指向: source.geo.country_iso_code
-
system.auth.ssh.geoip.location -
类型: 别名
别名指向: source.geo.location
-
system.auth.ssh.geoip.region_name -
类型: 别名
别名指向: source.geo.region_name
-
system.auth.ssh.geoip.city_name -
类型: 别名
别名指向: source.geo.city_name
-
system.auth.ssh.geoip.region_iso_code -
类型: 别名
别名指向: source.geo.region_iso_code
sudo
由 sudo 命令创建的事件的特定字段。
-
system.auth.sudo.error -
sudo 命令失败时的错误消息。
示例: user NOT in sudoers
-
system.auth.sudo.tty -
执行 sudo 命令的 TTY。
-
system.auth.sudo.pwd -
执行 sudo 命令的当前目录。
-
system.auth.sudo.user -
sudo 命令切换到的目标用户。
示例: root
-
system.auth.sudo.command -
通过 sudo 执行的命令。
useradd
由 useradd 命令创建的事件的特定字段。
-
system.auth.useradd.home -
新用户的 home 文件夹。
-
system.auth.useradd.shell -
新用户的默认 shell。
-
system.auth.useradd.name -
类型: 别名
别名指向: user.name
-
system.auth.useradd.uid -
类型: 别名
别名指向: user.id
-
system.auth.useradd.gid -
类型: 别名
别名指向: group.id
groupadd
由 groupadd 命令创建的事件的特定字段。
-
system.auth.groupadd.name -
类型: 别名
别名指向: group.name
-
system.auth.groupadd.gid -
类型: 别名
别名指向: group.id
syslog
包含来自 syslog 系统日志的字段。
-
system.syslog.timestamp -
类型: 别名
别名指向: @timestamp
-
system.syslog.hostname -
类型: 别名
别名指向: host.hostname
-
system.syslog.program -
类型: 别名
别名指向: process.name
-
system.syslog.pid -
类型: 别名
别名指向: process.pid
-
system.syslog.message -
类型: 别名
别名指向: message