来自 ETW 输入 (Windows 事件跟踪) 的字段。
winlog
所有特定于 Windows 事件跟踪的字段都定义在此处。
-
winlog.activity_id -
一个全局唯一的标识符,用于标识当前活动。使用此标识符发布的事件属于同一活动。
type: keyword
required: False
-
winlog.channel -
用于启用特殊事件处理。低于 16 的通道值保留供 Microsoft 使用,以便通过 ETW 运行时启用特殊处理。通道值 16 及以上将被 ETW 运行时忽略(与通道 0 相同处理),并且可以赋予用户定义的语义。
type: keyword
required: False
-
winlog.event_data -
特定于事件的数据。此对象的內容特定于任何提供者和事件。
type: object
required: False
-
winlog.flags -
提供有关事件信息的标志,例如它记录到的会话类型以及事件是否包含扩展数据。
type: keyword
required: False
-
winlog.keywords -
关键字用于指示事件在事件类别集中的成员资格。
type: keyword
required: False
-
winlog.level -
严重性级别。级别值 0 到 5 由 Microsoft 定义。级别值 6 到 15 保留。级别值 16 到 255 可以由事件提供者定义。
type: keyword
required: False
-
winlog.opcode -
在事件中定义的操作码。任务和操作码通常用于识别记录事件的应用程序中的位置。
type: keyword
required: False
-
winlog.process_id -
标识生成事件的进程。
type: keyword
required: False
-
winlog.provider_guid -
一个全局唯一的标识符,用于标识记录事件的提供者。
type: keyword
required: False
-
winlog.provider_name -
事件日志记录的来源(记录记录的应用程序或服务)。
type: keyword
required: False
-
winlog.session -
配置的会话,用于将来自提供者的 ETW 事件转发到使用者。
type: keyword
required: False
-
winlog.severity -
严重性的可读级别。
type: keyword
required: False
-
winlog.task -
在事件中定义的任务。任务和操作码通常用于识别记录事件的应用程序中的位置。
type: keyword
required: False
-
winlog.thread_id -
标识生成事件的线程。
type: keyword
required: False
-
winlog.version -
指定基于清单的事件的版本。
type: long
required: False