用于处理 Zeek/Bro 生成的日志的模块
zeek
Zeek/Bro 日志经过标准化后的字段
-
zeek.session_id -
会话的唯一标识符
类型:关键字
capture_loss
Zeek capture_loss 日志导出的字段
-
zeek.capture_loss.ts_delta -
本次测量与上次测量之间的时间延迟。
类型:整数
-
zeek.capture_loss.peer -
如果有多个 Bro 实例记录到同一主机,则此项使用每个对等体的名称来区分它们。
类型:关键字
-
zeek.capture_loss.gaps -
从上次测量间隔到现在的未收到 ACK 数量。
类型:整数
-
zeek.capture_loss.acks -
上次测量间隔内收到的 ACK 总数。
类型:整数
-
zeek.capture_loss.percent_lost -
收到的 ACK 中,已知数据未被看到的比例。
类型:双精度浮点数
connection
Zeek Connection 日志导出的字段
-
zeek.connection.local_orig -
指示会话是否是在本地发起的。
类型:布尔值
-
zeek.connection.local_resp -
指示会话是否是在本地响应的。
类型:布尔值
-
zeek.connection.missed_bytes -
会话丢失的字节数。
类型:长整数
-
zeek.connection.state -
表示会话状态的代码。
类型:关键字
-
zeek.connection.state_message -
会话的状态。
类型:关键字
-
zeek.connection.icmp.type -
ICMP 消息类型。
类型:整数
-
zeek.connection.icmp.code -
ICMP 消息代码。
类型:整数
-
zeek.connection.history -
表示会话历史的标志。
类型:关键字
-
zeek.connection.vlan -
VLAN 标识符。
类型:整数
-
zeek.connection.inner_vlan -
VLAN 标识符。
类型:整数
dce_rpc
Zeek DCE_RPC 日志导出的字段
-
zeek.dce_rpc.rtt -
从请求到响应的往返时间。如果请求或响应未被看到,则此项将为 null。
类型:整数
-
zeek.dce_rpc.named_pipe -
远程管道名称。
类型:关键字
-
zeek.dce_rpc.endpoint -
从 uuid 查找到的端点名称。
类型:关键字
-
zeek.dce_rpc.operation -
在调用中看到的操作。
类型:关键字
dhcp
Zeek DHCP 日志导出的字段
-
zeek.dhcp.domain -
服务器在选项 15 中提供的域。
类型:关键字
-
zeek.dhcp.duration -
DHCP 会话的持续时间,表示从第一个消息到最后一个消息的时间(以秒为单位)。
类型:双精度浮点数
-
zeek.dhcp.hostname -
客户端在主机名选项 12 中提供的名称。
类型:关键字
-
zeek.dhcp.client_fqdn -
客户端在客户端 FQDN 选项 81 中提供的 FQDN。
类型:关键字
-
zeek.dhcp.lease_time -
IP 地址租期间隔(以秒为单位)。
类型:整数
address
此 DHCP 交换中看到的地址。
-
zeek.dhcp.address.assigned -
服务器分配的 IP 地址。
类型:ip
-
zeek.dhcp.address.client -
客户端的 IP 地址。如果事务仅是客户端发送 INFORM 消息,则不会交换租期信息,因此此项有助于了解谁发送了这些消息。要获取此字段中的地址,需要客户端使用非广播地址源至少一条 DHCP 消息。
类型:ip
-
zeek.dhcp.address.mac -
客户端的硬件地址。
类型:关键字
-
zeek.dhcp.address.requested -
客户端请求的 IP 地址。
类型:ip
-
zeek.dhcp.address.server -
DHCP 服务器的 IP 地址。
类型:ip
-
zeek.dhcp.msg.types -
此交换中看到的 DHCP 消息类型列表。
类型:关键字
-
zeek.dhcp.msg.origin -
(如果加载了 policy/protocols/dhcp/msg-orig.bro,则存在) 从 msg.types 字段中发出的每个消息的地址。
类型:ip
-
zeek.dhcp.msg.client -
通常伴随 DHCP_DECLINE 的消息,以便客户端可以告知服务器它拒绝地址的原因。
类型:关键字
-
zeek.dhcp.msg.server -
通常伴随 DHCP_NAK 的消息,以便告知客户端服务器拒绝请求的原因。
类型:关键字
-
zeek.dhcp.software.client -
(如果加载了 policy/protocols/dhcp/software.bro,则存在) 客户端在 vendor_class 选项中报告的软件。
类型:关键字
-
zeek.dhcp.software.server -
(如果加载了 policy/protocols/dhcp/software.bro,则存在) 客户端在 vendor_class 选项中报告的软件。
类型:关键字
-
zeek.dhcp.id.circuit -
(如果加载了 policy/protocols/dhcp/sub-opts.bro,则存在) 由终止交换式或永久式电路的 DHCP 中继代理添加。它对从 DHCP 客户端到服务器的包接收到的电路进行本地标识编码。通常,它应该表示路由器或交换机接口编号。
类型:关键字
-
zeek.dhcp.id.remote_agent -
(如果加载了 policy/protocols/dhcp/sub-opts.bro,则存在) 由中继代理添加的全局唯一标识符,用于标识电路的远程主机端。
类型:关键字
-
zeek.dhcp.id.subscriber -
(如果加载了 policy/protocols/dhcp/sub-opts.bro,则存在) 订阅者 ID 是一个与物理网络配置无关的值,因此无论客户机在何处物理连接,他们的 DHCP 配置都能正确地传递给它们。
类型:关键字
dnp3
Zeek DNP3 日志导出的字段
-
zeek.dnp3.function.request -
请求中功能消息的名称。
类型:关键字
-
zeek.dnp3.function.reply -
响应中功能消息的名称。
类型:关键字
-
zeek.dnp3.id -
响应的内部指示编号。
类型:整数
dns
Zeek DNS 日志导出的字段
-
zeek.dns.trans_id -
DNS 事务标识符。
类型:关键字
-
zeek.dns.rtt -
查询和响应的往返时间。
类型:双精度浮点数
-
zeek.dns.query -
DNS 查询主题的域名。
类型:关键字
-
zeek.dns.qclass -
指定查询类别的 QCLASS 值。
类型:长整数
-
zeek.dns.qclass_name -
查询类别的描述性名称。
类型:关键字
-
zeek.dns.qtype -
指定查询类型的 QTYPE 值。
类型:长整数
-
zeek.dns.qtype_name -
查询类型的描述性名称。
类型:关键字
-
zeek.dns.rcode -
DNS 响应消息中的响应代码值。
类型:长整数
-
zeek.dns.rcode_name -
响应代码值的描述性名称。
类型:关键字
-
zeek.dns.AA -
响应消息中的权威答案位,指定响应名称服务器是问题部分中域名的权威机构。
类型:布尔值
-
zeek.dns.TC -
截断位,指定消息已被截断。
类型:布尔值
-
zeek.dns.RD -
请求消息中的递归所需位,指示客户端希望对该查询进行递归服务。
类型:布尔值
-
zeek.dns.RA -
响应消息中的递归可用位,指示名称服务器支持递归查询。
类型:布尔值
-
zeek.dns.answers -
查询答案中的资源描述集。
类型:关键字
-
zeek.dns.TTLs -
answers 字段描述的相关 RR 的缓存间隔。
类型:双精度浮点数
-
zeek.dns.rejected -
指示 DNS 查询是否被服务器拒绝。
类型:布尔值
-
zeek.dns.total_answers -
回复中的资源记录总数。
类型:整数
-
zeek.dns.total_replies -
回复消息中的资源记录总数。
类型:整数
-
zeek.dns.saw_query -
是否已看到完整的 DNS 查询。
类型:布尔值
-
zeek.dns.saw_reply -
是否已看到完整的 DNS 响应。
类型:布尔值
dpd
Zeek DPD 日志导出的字段
-
zeek.dpd.analyzer -
生成违规的分析器。
类型:关键字
-
zeek.dpd.failure_reason -
分析失败的文本原因。
类型:关键字
-
zeek.dpd.packet_segment -
(如果加载了 policy/frameworks/dpd/packet-segment-logging.bro,则存在) 最有可能导致协议违规的有效负载的一部分。
类型:关键字
files
Zeek Files 日志导出的字段。
-
zeek.files.fuid -
文件的唯一标识符。
类型:关键字
-
zeek.files.tx_host -
传输文件的 host。
类型:ip
-
zeek.files.rx_host -
接收文件的 host。
类型:ip
-
zeek.files.session_ids -
包含此文件的会话。
类型:关键字
-
zeek.files.source -
文件数据源的标识。例如,它可以是传输文件的网络协议,或者读取的本地文件路径,或者其他输入源。
类型:关键字
-
zeek.files.depth -
表示此文件与其源文件之间深度的值。在 SMTP 中,它是消息中 MIME 附件的深度。在 HTTP 中,它是 TCP 连接内请求的深度。
类型:长整数
-
zeek.files.analyzers -
文件分析期间执行的一组分析类型。
类型:关键字
-
zeek.files.mime_type -
文件的 MIME 类型。
类型:关键字
-
zeek.files.filename -
如果有,则为文件的名称。
类型:关键字
-
zeek.files.local_orig -
如果此文件的源是网络连接,则此字段指示数据是否来自本地网络。
类型:布尔值
-
zeek.files.is_orig -
如果此文件的源是网络连接,则此字段指示文件是否由连接的发起者或响应者发送。
类型:布尔值
-
zeek.files.duration -
分析文件的持续时间。不是会话的持续时间。
类型:双精度浮点数
-
zeek.files.seen_bytes -
提供给文件分析引擎的文件字节数。
类型:长整数
-
zeek.files.total_bytes -
构成完整文件的字节总数。
类型:长整数
-
zeek.files.missing_bytes -
在分析过程中完全错过的文件流中的字节数。
类型:长整数
-
zeek.files.overflow_bytes -
未传递给流文件分析器的文件流中的字节数。这可能是重叠的字节,也可能是无法重新组装的字节。
类型:长整数
-
zeek.files.timedout -
指示文件分析是否至少超时一次。
类型:布尔值
-
zeek.files.parent_fuid -
与作为文件分析的一部分从其中提取的容器文件相关的标识符。
类型:关键字
-
zeek.files.md5 -
文件内容的 MD5 摘要。
类型:关键字
-
zeek.files.sha1 -
文件内容的 SHA1 摘要。
类型:关键字
-
zeek.files.sha256 -
文件内容的 SHA256 摘要。
类型:关键字
-
zeek.files.extracted -
提取文件的本地文件名。
类型:关键字
-
zeek.files.extracted_cutoff -
指示正在提取的文件是否被截断,因此未完全提取。
类型:布尔值
-
zeek.files.extracted_size -
提取到磁盘的字节数。
类型:长整数
-
zeek.files.entropy -
文件内容的信息密度。
类型:双精度浮点数
ftp
Zeek FTP 日志导出的字段
-
zeek.ftp.user -
当前 FTP 会话的用户名。
类型:关键字
-
zeek.ftp.password -
如果已捕获,则为当前 FTP 会话的密码。
类型:关键字
-
zeek.ftp.command -
客户端提供的命令。
类型:关键字
-
zeek.ftp.arg -
如果有,则为命令的参数。
类型:关键字
-
zeek.ftp.file.size -
如果命令指示文件传输,则为文件的尺寸。
类型:长整数
-
zeek.ftp.file.mime_type -
嗅探到的文件的 MIME 类型。
类型:关键字
-
zeek.ftp.file.fuid -
(如果加载了 base/protocols/ftp/files.bro,则存在) 文件唯一 ID。
类型:关键字
-
zeek.ftp.reply.code -
服务器对命令的响应代码。
类型:整数
-
zeek.ftp.reply.msg -
服务器对命令的响应消息。
类型:关键字
data_channel
预期的 FTP 数据通道。
-
zeek.ftp.data_channel.passive -
是否为控制通道切换 PASV 模式。
类型:布尔值
-
zeek.ftp.data_channel.originating_host -
将发起数据连接的 host。
类型:ip
-
zeek.ftp.data_channel.response_host -
将接受数据连接的 host。
类型:ip
-
zeek.ftp.data_channel.response_port -
接收方监听数据连接的端口。
类型:整数
-
zeek.ftp.cwd -
此会话所在的当前工作目录。通过将默认值设为 .,我们可以指示除非发现更具体的内容,否则可以使用现有的但未知的目录。
类型:关键字
cmdarg
当前正在等待响应的命令。
-
zeek.ftp.cmdarg.cmd -
命令。
类型:关键字
-
zeek.ftp.cmdarg.arg -
如果有,则为命令的参数。
类型:关键字
-
zeek.ftp.cmdarg.seq -
用于跟踪已执行命令数量的计数器。
类型:整数
-
zeek.ftp.pending_commands -
已发送但尚未得到响应的命令的队列,在此处进行跟踪。
类型:整数
-
zeek.ftp.passive -
指示会话是否处于主动模式或被动模式。
类型:布尔值
-
zeek.ftp.capture_password -
确定是否将捕获此请求的密码。
类型:布尔值
-
zeek.ftp.last_auth_requested -
如果加载了 base/protocols/ftp/gridftp.bro,则存在。最后使用的身份验证/安全机制。
类型:关键字
http
Zeek HTTP 日志导出的字段
-
zeek.http.trans_depth -
表示此请求/响应事务的连接管道深度。
类型:整数
-
zeek.http.status_msg -
服务器返回的状态消息。
类型:关键字
-
zeek.http.info_code -
服务器返回的最后一次看到的 1xx 信息回复代码。
类型:整数
-
zeek.http.info_msg -
服务器返回的最后一次看到的 1xx 信息回复消息。
类型:关键字
-
zeek.http.tags -
一组指示器,指示特定请求/响应对发现的各种属性及其相关属性。
类型:关键字
-
zeek.http.password -
如果对请求执行了基本身份验证,则为密码。
类型:关键字
-
zeek.http.captured_password -
确定是否将捕获此请求的密码。
类型:布尔值
-
zeek.http.proxied -
所有可能指示 HTTP 请求是否被代理的标头。
类型:关键字
-
zeek.http.range_request -
指示此请求是否可以假定响应中包含 206 部分内容。
类型:布尔值
-
zeek.http.client_header_names -
客户端发送的 HTTP 标头名称向量。这里不包括标头值,只包括标头名称。
类型:关键字
-
zeek.http.server_header_names -
服务器发送的 HTTP 标头名称向量。这里不包括标头值,只包括标头名称。
类型:关键字
-
zeek.http.orig_fuids -
来自发起者的文件唯一 ID 的有序向量。
类型:关键字
-
zeek.http.orig_mime_types -
来自发起者的 MIME 类型有序向量。
类型:关键字
-
zeek.http.orig_filenames -
来自发起者的文件名有序向量。
类型:关键字
-
zeek.http.resp_fuids -
来自响应者的文件唯一 ID 的有序向量。
类型:关键字
-
zeek.http.resp_mime_types -
来自响应者的 MIME 类型有序向量。
类型:关键字
-
zeek.http.resp_filenames -
来自响应者的文件名有序向量。
类型:关键字
-
zeek.http.orig_mime_depth -
HTTP 请求消息正文中 MIME 实体的当前数量。
类型:整数
-
zeek.http.resp_mime_depth -
HTTP 响应消息正文中 MIME 实体的当前数量。
类型:整数
intel
Zeek Intel 日志导出的字段。
-
zeek.intel.seen.indicator -
情报指示器。
类型:关键字
-
zeek.intel.seen.indicator_type -
指示器表示的数据类型。
类型:关键字
-
zeek.intel.seen.host -
如果指示器类型为 Intel::ADDR,则此字段将存在。
类型:关键字
-
zeek.intel.seen.conn -
如果在连接中发现数据,则连接记录应在此处,以便为数据提供上下文。
类型:关键字
-
zeek.intel.seen.where -
发现数据的位置。
类型:关键字
-
zeek.intel.seen.node -
发现匹配的节点名称。
类型:关键字
-
zeek.intel.seen.uid -
如果在连接中发现数据,则连接 uid 应在此处,以便为数据提供上下文。如果提供了 conn 字段,则此字段将自动填写。
类型:关键字
-
zeek.intel.seen.f -
如果在文件中发现数据,则文件记录应在此处,以便为数据提供上下文。
type: object
-
zeek.intel.seen.fuid -
如果在文件中发现数据,则文件 uid 应在此处,以便为数据提供上下文。如果提供了文件记录 f,则此字段将自动填写。
类型:关键字
-
zeek.intel.matched -
事件,用于表示从所见数据中匹配情报数据。
类型:关键字
-
zeek.intel.sources -
为这次匹配提供数据的来源。
类型:关键字
-
zeek.intel.fuid -
如果文件与这次情报命中相关联,则这是文件的 uid。
类型:关键字
-
zeek.intel.file_mime_type -
如果情报命中与文件相关,则为 MIME 类型。如果提供了 $f 字段,则此字段将自动填写。
类型:关键字
-
zeek.intel.file_desc -
通常,文件可以被描述以提供更多上下文。如果提供了 $f 字段,则此字段将自动填写。
类型:关键字
irc
Zeek IRC 日志导出的字段
-
zeek.irc.nick -
为连接提供的昵称。
类型:关键字
-
zeek.irc.user -
为连接提供的用户名。
类型:关键字
-
zeek.irc.command -
客户端提供的命令。
类型:关键字
-
zeek.irc.value -
客户端提供的命令的值。
类型:关键字
-
zeek.irc.addl -
命令的任何附加数据。
类型:关键字
-
zeek.irc.dcc.file.name -
如果加载了 base/protocols/irc/dcc-send.bro,则存在。请求的 DCC 文件名。
类型:关键字
-
zeek.irc.dcc.file.size -
如果加载了 base/protocols/irc/dcc-send.bro,则存在。发送方指示的 DCC 传输的大小。
类型:长整数
-
zeek.irc.dcc.mime_type -
如果加载了 base/protocols/irc/dcc-send.bro,则存在。嗅探到的文件的 MIME 类型。
类型:关键字
-
zeek.irc.fuid -
如果加载了 base/protocols/irc/files.bro,则存在。文件唯一 ID。
类型:关键字
kerberos
Zeek Kerberos 日志导出的字段
-
zeek.kerberos.request_type -
请求类型 - 身份验证服务 (AS) 或票证授予服务 (TGS)。
类型:关键字
-
zeek.kerberos.client -
客户端名称。
类型:关键字
-
zeek.kerberos.service -
服务名称。
类型:关键字
-
zeek.kerberos.success -
请求结果。
类型:布尔值
-
zeek.kerberos.error.code -
错误代码。
类型:整数
-
zeek.kerberos.error.msg -
错误消息。
类型:关键字
-
zeek.kerberos.valid.from -
票证有效期从。
type: date
-
zeek.kerberos.valid.until -
票证有效期至。
type: date
-
zeek.kerberos.valid.days -
票证有效的天数。
类型:整数
-
zeek.kerberos.cipher -
票证加密类型。
类型:关键字
-
zeek.kerberos.forwardable -
请求可转发票证。
类型:布尔值
-
zeek.kerberos.renewable -
请求可续期票证。
类型:布尔值
-
zeek.kerberos.ticket.auth -
用于授权请求/事务的票证的哈希值。
类型:关键字
-
zeek.kerberos.ticket.new -
KDC 返回的票证的哈希值。
类型:关键字
-
zeek.kerberos.cert.client.value -
客户端证书。
类型:关键字
-
zeek.kerberos.cert.client.fuid -
客户端证书的文件唯一 ID。
类型:关键字
-
zeek.kerberos.cert.client.subject -
客户端证书的主题。
类型:关键字
-
zeek.kerberos.cert.server.value -
服务器证书。
类型:关键字
-
zeek.kerberos.cert.server.fuid -
服务器证书的文件唯一 ID。
类型:关键字
-
zeek.kerberos.cert.server.subject -
服务器证书的主题。
类型:关键字
modbus
Zeek modbus 日志导出的字段。
-
zeek.modbus.function -
发送的函数消息的名称。
类型:关键字
-
zeek.modbus.exception -
如果响应失败,则为异常。
类型:关键字
-
zeek.modbus.track_address -
如果加载了 policy/protocols/modbus/track-memmap.bro,则存在。Modbus 跟踪地址。
类型:整数
mysql
Zeek MySQL 日志导出的字段。
-
zeek.mysql.cmd -
发出的命令。
类型:关键字
-
zeek.mysql.arg -
发给命令的参数。
类型:关键字
-
zeek.mysql.success -
命令是否成功。
类型:布尔值
-
zeek.mysql.rows -
受影响的行数(如果有)。
类型:整数
-
zeek.mysql.response -
服务器消息(如果有)。
类型:关键字
notice
Zeek Notice 日志导出的字段。
-
zeek.notice.connection_id -
相关连接会话的标识符。
类型:关键字
-
zeek.notice.icmp_id -
相关 ICMP 会话的标识符。
类型:关键字
-
zeek.notice.file.id -
与与此通知相关的单个文件关联的标识符。
类型:关键字
-
zeek.notice.file.parent_id -
与从中提取此文件的容器文件关联的标识符。
类型:关键字
-
zeek.notice.file.source -
文件数据源的标识。例如,它可以是传输文件的网络协议,或者读取的本地文件路径,或者其他输入源。
类型:关键字
-
zeek.notice.file.mime_type -
如果通知与文件相关,则为 MIME 类型。
类型:关键字
-
zeek.notice.file.is_orig -
如果此文件的源是网络连接,则此字段指示文件是否由连接的发起者或响应者发送。
类型:布尔值
-
zeek.notice.file.seen_bytes -
提供给文件分析引擎的文件字节数。
类型:长整数
-
zeek.notice.ffile.total_bytes -
构成完整文件的字节总数。
类型:长整数
-
zeek.notice.file.missing_bytes -
在分析过程中完全错过的文件流中的字节数。
类型:长整数
-
zeek.notice.file.overflow_bytes -
未传递给流文件分析器的文件流中的字节数。这可能是重叠的字节,也可能是无法重新组装的字节。
类型:长整数
-
zeek.notice.fuid -
如果此通知与文件相关,则为文件唯一 ID。
类型:关键字
-
zeek.notice.note -
通知的类型。
类型:关键字
-
zeek.notice.msg -
通知的人类可读消息。
类型:关键字
-
zeek.notice.sub -
人类可读的子消息。
类型:关键字
-
zeek.notice.n -
关联计数或状态代码。
类型:长整数
-
zeek.notice.peer_name -
引发此通知的远程对等体的名称。
类型:关键字
-
zeek.notice.peer_descr -
引发此通知的对等体的文本描述。
type: text
-
zeek.notice.actions -
已应用于此通知的操作。
类型:关键字
-
zeek.notice.email_body_sections -
通过将文本块添加到此元素中,其他脚本可以扩展正在发送的通知。
type: text
-
zeek.notice.email_delay_tokens -
将字符串标记添加到此集中将导致内置电子邮件功能延迟发送电子邮件,直到标记被删除或电子邮件被延迟指定的时间段。
类型:关键字
-
zeek.notice.identifier -
当为了对通知进行去重而生成通知时,会提供此字段。
类型:关键字
-
zeek.notice.suppress_for -
此字段指示应抑制此唯一通知的时间长度。
类型:双精度浮点数
-
zeek.notice.dropped -
指示源 IP 地址是否被丢弃并拒绝网络访问。
类型:布尔值
ntlm
Zeek NTLM 日志导出的字段。
-
zeek.ntlm.domain -
客户端提供的域名。
类型:关键字
-
zeek.ntlm.hostname -
客户端提供的主机名。
类型:关键字
-
zeek.ntlm.success -
指示身份验证是否成功。
类型:布尔值
-
zeek.ntlm.username -
客户端提供的用户名。
类型:关键字
-
zeek.ntlm.server.name.dns -
服务器在 CHALLENGE 中提供的 DNS 名称。
类型:关键字
-
zeek.ntlm.server.name.netbios -
服务器在 CHALLENGE 中提供的 NetBIOS 名称。
类型:关键字
-
zeek.ntlm.server.name.tree -
服务器在 CHALLENGE 中提供的树名称。
类型:关键字
ntp
Zeek NTP 日志导出的字段。
-
zeek.ntp.version -
NTP 版本号(1、2、3、4)。
类型:整数
-
zeek.ntp.mode -
正在使用的 NTP 模式。
类型:整数
-
zeek.ntp.stratum -
分层 (主服务器、辅助服务器等)。
类型:整数
-
zeek.ntp.poll -
相邻消息之间最大间隔(以秒为单位)。
类型:双精度浮点数
-
zeek.ntp.precision -
系统时钟精度(以秒为单位)。
类型:双精度浮点数
-
zeek.ntp.root_delay -
到参考时钟的总往返延迟(以秒为单位)。
类型:双精度浮点数
-
zeek.ntp.root_disp -
到参考时钟的总色散(以秒为单位)。
类型:双精度浮点数
-
zeek.ntp.ref_id -
对于分层 0,用于调试的 4 个字符字符串。对于分层 1,由 IANA 分配给参考时钟的 ID。在分层 1 以上,使用 IPv4 时,为参考时钟的 IP 地址。请注意,NTP 协议最初没有指定足够大的字段来表示 IPv6 地址,因此它们使用参考时钟 IPv6 地址的 MD5 哈希的前四个字节(即,此处的 IPv4 地址不一定是 IPv4)。
类型:关键字
-
zeek.ntp.ref_time -
最后一次设置或校正系统时钟的时间。
type: date
-
zeek.ntp.org_time -
请求从 NTP 客户端发出时的客户端时间。
type: date
-
zeek.ntp.rec_time -
请求从 NTP 客户端到达服务器时的服务器时间。
type: date
-
zeek.ntp.xmt_time -
响应从 NTP 服务器发出时的服务器时间。
type: date
-
zeek.ntp.num_exts -
扩展字段数(当前未解析)。
类型:整数
ocsp
Zeek OCSP 日志导出的字段 在线证书状态协议 (OCSP)。仅在加载策略脚本时创建。
-
zeek.ocsp.file_id -
OCSP 响应的文件 ID。
类型:关键字
-
zeek.ocsp.hash.algorithm -
用于生成 issuerNameHash 和 issuerKeyHash 的哈希算法。
类型:关键字
-
zeek.ocsp.hash.issuer.name -
颁发者区分名称的哈希值。
类型:关键字
-
zeek.ocsp.hash.issuer.key -
颁发者公钥的哈希值。
类型:关键字
-
zeek.ocsp.serial_number -
受影响证书的序列号。
类型:关键字
-
zeek.ocsp.status -
受影响证书的状态。
类型:关键字
-
zeek.ocsp.revoke.time -
证书被吊销的时间。
type: date
-
zeek.ocsp.revoke.reason -
吊销证书的原因。
类型:关键字
-
zeek.ocsp.update.this -
显示的状态已知正确的时间。
type: date
-
zeek.ocsp.update.next -
有关证书状态的最新信息将可用的时间。
type: date
pe
Zeek pe 日志导出的字段。
-
zeek.pe.client -
客户端的版本字符串。
类型:关键字
-
zeek.pe.id -
此可移植可执行文件的文件 ID。
类型:关键字
-
zeek.pe.machine -
为其编译文件的目标机器。
类型:关键字
-
zeek.pe.compile_time -
文件创建时间。
type: date
-
zeek.pe.os -
所需的操作系统。
类型:关键字
-
zeek.pe.subsystem -
运行此文件所需的子系统。
类型:关键字
-
zeek.pe.is_exe -
文件是可执行文件还是只是目标文件?
类型:布尔值
-
zeek.pe.is_64bit -
文件是 64 位可执行文件吗?
类型:布尔值
-
zeek.pe.uses_aslr -
文件是否支持地址空间布局随机化?
类型:布尔值
-
zeek.pe.uses_dep -
文件是否支持数据执行保护?
类型:布尔值
-
zeek.pe.uses_code_integrity -
文件是否执行代码完整性检查?
类型:布尔值
-
zeek.pe.uses_seh -
文件是否使用结构化异常处理?
类型:布尔值
-
zeek.pe.has_import_table -
文件是否有导入表?
类型:布尔值
-
zeek.pe.has_export_table -
文件是否有导出表?
类型:布尔值
-
zeek.pe.has_cert_table -
文件是否有属性证书表?
类型:布尔值
-
zeek.pe.has_debug_data -
文件是否有调试表?
类型:布尔值
-
zeek.pe.section_names -
各个部分的名称,按顺序排列。
类型:关键字
radius
Zeek Radius 日志导出的字段。
-
zeek.radius.username -
用户名(如果有)。
类型:关键字
-
zeek.radius.mac -
MAC 地址(如果有)。
类型:关键字
-
zeek.radius.framed_addr -
分配给网络接入服务器的地址(如果有)。这只是 RADIUS 服务器的提示,网络接入服务器不需要遵守该地址。
类型:ip
-
zeek.radius.remote_ip -
远程 IP 地址(如果有)。这是从 Tunnel-Client-Endpoint 属性中收集的。
类型:ip
-
zeek.radius.connect_info -
连接信息(如果有)。
类型:关键字
-
zeek.radius.reply_msg -
服务器挑战的回复消息。这通常会显示给正在进行身份验证的用户。
类型:关键字
-
zeek.radius.result -
身份验证成功或失败。
类型:关键字
-
zeek.radius.ttl -
从第一个请求到“Access-Accept”消息或错误之间的时间间隔。如果字段为空,则意味着请求或响应没有被看到。
类型:整数
-
zeek.radius.logged -
是否已记录并可以忽略。
类型:布尔值
rdp
Zeek RDP 日志导出的字段。
-
zeek.rdp.cookie -
客户端机器使用的 Cookie 值。这通常是用户名。
类型:关键字
-
zeek.rdp.result -
连接的状态结果。它混合了 RDP 协商失败消息和 GCC 服务器创建响应消息。
类型:关键字
-
zeek.rdp.security_protocol -
服务器选择的安全协议。
类型:关键字
-
zeek.rdp.keyboard_layout -
客户端机器的键盘布局(语言)。
类型:关键字
-
zeek.rdp.client.build -
客户端机器使用的 RDP 客户端版本。
类型:关键字
-
zeek.rdp.client.client_name -
客户端机器的名称。
类型:关键字
-
zeek.rdp.client.product_id -
客户端机器的产品 ID。
类型:关键字
-
zeek.rdp.desktop.width -
客户端机器的桌面宽度。
类型:整数
-
zeek.rdp.desktop.height -
客户端机器的桌面高度。
类型:整数
-
zeek.rdp.desktop.color_depth -
客户端在 high_color_depth 字段中请求的颜色深度。
类型:关键字
-
zeek.rdp.cert.type -
如果连接使用本机 RDP 加密进行加密,则这是所使用证书的类型。
类型:关键字
-
zeek.rdp.cert.count -
看到的证书数量。X.509 可以传输整个证书链。
类型:整数
-
zeek.rdp.cert.permanent -
指示提供的证书或证书链是永久的还是临时的。
类型:布尔值
-
zeek.rdp.encryption.level -
连接的加密级别。
类型:关键字
-
zeek.rdp.encryption.method -
连接的加密方法。
类型:关键字
-
zeek.rdp.done -
跟踪记录 RDP 连接的状态。
类型:布尔值
-
zeek.rdp.ssl -
(如果加载了 policy/protocols/rdp/indicate_ssl.bro) 如果连接是在 SSL 上看到的,则标记连接。
类型:布尔值
rfb
Zeek RFB 日志导出的字段。
-
zeek.rfb.version.client.major -
客户端的主版本。
类型:关键字
-
zeek.rfb.version.client.minor -
客户端的次版本。
类型:关键字
-
zeek.rfb.version.server.major -
服务器的主版本。
类型:关键字
-
zeek.rfb.version.server.minor -
服务器的次版本。
类型:关键字
-
zeek.rfb.auth.success -
身份验证是否成功。
类型:布尔值
-
zeek.rfb.auth.method -
使用的身份验证方法的标识符。
类型:关键字
-
zeek.rfb.share_flag -
客户端是否具有独占会话或共享会话。
类型:布尔值
-
zeek.rfb.desktop_name -
正在共享的屏幕的名称。
类型:关键字
-
zeek.rfb.width -
正在共享的屏幕的宽度。
类型:整数
-
zeek.rfb.height -
正在共享的屏幕的高度。
类型:整数
signature
Zeek Signature 日志导出的字段。
-
zeek.signature.note -
与签名事件相关的通知。
类型:关键字
-
zeek.signature.sig_id -
匹配的签名的名称。
类型:关键字
-
zeek.signature.event_msg -
对签名匹配事件的更详细的描述。
类型:关键字
-
zeek.signature.sub_msg -
提取的有效载荷数据或其他消息。
类型:关键字
-
zeek.signature.sig_count -
签名数量,通常来自摘要计数。
类型:整数
-
zeek.signature.host_count -
主机数量,来自摘要计数。
类型:整数
sip
Zeek SIP 日志导出的字段。
-
zeek.sip.transaction_depth -
表示此请求/响应事务的连接管道深度。
类型:整数
-
zeek.sip.sequence.method -
SIP 请求中使用的动词(INVITE、REGISTER 等)。
类型:关键字
-
zeek.sip.sequence.number -
客户端的 CSeq: 标头的内容。
类型:关键字
-
zeek.sip.uri -
请求中使用的 URI。
类型:关键字
-
zeek.sip.date -
客户端的 Date: 标头的内容。
类型:关键字
-
zeek.sip.request.from -
请求 From: 标头的内容。注意:通常附加到发件人的 tag= 值会被剥离并且不会记录。
类型:关键字
-
zeek.sip.request.to -
To: 标头的内容。
类型:关键字
-
zeek.sip.request.path -
从标头中提取的客户端消息传输路径。
类型:关键字
-
zeek.sip.request.body_length -
客户端的 Content-Length: 标头的内容。
类型:长整数
-
zeek.sip.response.from -
响应 From: 标头的内容。注意:通常附加到发件人的 tag= 值会被剥离并且不会记录。
类型:关键字
-
zeek.sip.response.to -
响应 To: 标头的内容。
类型:关键字
-
zeek.sip.response.path -
从标头中提取的服务器消息传输路径。
类型:关键字
-
zeek.sip.response.body_length -
服务器的 Content-Length: 标头的内容。
类型:长整数
-
zeek.sip.reply_to -
Reply-To: 标头的内容。
类型:关键字
-
zeek.sip.call_id -
客户端的 Call-ID: 标头的内容。
类型:关键字
-
zeek.sip.subject -
客户端的 Subject: 标头的内容。
类型:关键字
-
zeek.sip.user_agent -
客户端的 User-Agent: 标头的内容。
类型:关键字
-
zeek.sip.status.code -
服务器返回的状态代码。
类型:整数
-
zeek.sip.status.msg -
服务器返回的状态消息。
类型:关键字
-
zeek.sip.warning -
Warning: 标头的内容。
类型:关键字
-
zeek.sip.content_type -
服务器的 Content-Type: 标头的内容。
类型:关键字
smb_cmd
Zeek smb_cmd 日志导出的字段。
-
zeek.smb_cmd.command -
客户端发送的命令。
类型:关键字
-
zeek.smb_cmd.sub_command -
客户端发送的子命令(如果有)。
类型:关键字
-
zeek.smb_cmd.argument -
客户端发送的命令参数(如果有)。
类型:关键字
-
zeek.smb_cmd.status -
服务器对客户端命令的回复。
类型:关键字
-
zeek.smb_cmd.rtt -
从请求到响应的往返时间。
类型:双精度浮点数
-
zeek.smb_cmd.version -
命令的 SMB 版本。
类型:关键字
-
zeek.smb_cmd.username -
经过身份验证的用户名(如果有)。
类型:关键字
-
zeek.smb_cmd.tree -
如果这与树相关,则这是当前命令使用的树。
类型:关键字
-
zeek.smb_cmd.tree_service -
树的类型(磁盘共享、打印机共享、命名管道等)。
类型:关键字
file
如果命令引用了文件,则将其存储在这里。
-
zeek.smb_cmd.file.name -
如果看到文件名,则为文件名。
类型:关键字
-
zeek.smb_cmd.file.action -
此日志记录代表的操作。
类型:关键字
-
zeek.smb_cmd.file.uid -
引用文件的 UID。
类型:关键字
-
zeek.smb_cmd.file.host.tx -
传输主机的地址。
类型:ip
-
zeek.smb_cmd.file.host.rx -
接收主机的地址。
类型:ip
-
zeek.smb_cmd.smb1_offered_dialects -
如果加载了 base/protocols/smb/smb1-main.bro,则存在。客户端提供的方言。
类型:关键字
-
zeek.smb_cmd.smb2_offered_dialects -
如果加载了 base/protocols/smb/smb2-main.bro,则存在。客户端提供的方言。
类型:整数
smb_files
Zeek SMB Files 日志导出的字段。
-
zeek.smb_files.action -
此日志记录代表的操作。
类型:关键字
-
zeek.smb_files.fid -
引用此文件的 ID。
类型:整数
-
zeek.smb_files.name -
如果看到文件名,则为文件名。
类型:关键字
-
zeek.smb_files.path -
从传输此文件进出到的树中提取的路径。
类型:关键字
-
zeek.smb_files.previous_name -
如果看到重命名操作,则为文件之前的名称。
类型:关键字
-
zeek.smb_files.size -
文件的字节大小。
类型:长整数
times
文件的时间戳。
-
zeek.smb_files.times.accessed -
文件的访问时间。
type: date
-
zeek.smb_files.times.changed -
文件的更改时间。
type: date
-
zeek.smb_files.times.created -
文件的创建时间。
type: date
-
zeek.smb_files.times.modified -
文件的修改时间。
type: date
-
zeek.smb_files.uuid -
如果为 DCE/RPC,则引用此文件的 UUID。
类型:关键字
smb_mapping
Zeek SMB_Mapping 日志导出的字段。
-
zeek.smb_mapping.path -
树路径的名称。
类型:关键字
-
zeek.smb_mapping.service -
树的资源类型(磁盘共享、打印机共享、命名管道等)。
类型:关键字
-
zeek.smb_mapping.native_file_system -
树的文件系统。
类型:关键字
-
zeek.smb_mapping.share_type -
如果为 SMB2,则会包含共享类型。对于 SMB1,也会推断出共享类型并将其包含在内。
类型:关键字
smtp
Zeek SMTP 日志导出的字段。
-
zeek.smtp.transaction_depth -
一个计数,用于表示此消息事务在一个连接中的深度,该连接中传输了多条消息。
类型:整数
-
zeek.smtp.helo -
Helo 标头的内容。
类型:关键字
-
zeek.smtp.mail_from -
在 MAIL FROM 标头中找到的电子邮件地址。
类型:关键字
-
zeek.smtp.rcpt_to -
在 RCPT TO 标头中找到的电子邮件地址。
类型:关键字
-
zeek.smtp.date -
Date 标头的内容。
type: date
-
zeek.smtp.from -
From 标头的内容。
类型:关键字
-
zeek.smtp.to -
To 标头的内容。
类型:关键字
-
zeek.smtp.cc -
CC 标头的内容。
类型:关键字
-
zeek.smtp.reply_to -
ReplyTo 标头的内容。
类型:关键字
-
zeek.smtp.msg_id -
MsgID 标头的内容。
类型:关键字
-
zeek.smtp.in_reply_to -
In-Reply-To 标头的内容。
类型:关键字
-
zeek.smtp.subject -
Subject 标头的内容。
类型:关键字
-
zeek.smtp.x_originating_ip -
X-Originating-IP 标头的内容。
类型:关键字
-
zeek.smtp.first_received -
第一个 Received 标头的内容。
类型:关键字
-
zeek.smtp.second_received -
第二个 Received 标头的内容。
类型:关键字
-
zeek.smtp.last_reply -
服务器发送给客户端的最后一条消息。
类型:关键字
-
zeek.smtp.path -
从标头中提取的消息传输路径。
类型:ip
-
zeek.smtp.user_agent -
客户端的 User-Agent 标头的值。
类型:关键字
-
zeek.smtp.tls -
指示连接已切换到使用 TLS。
类型:布尔值
-
zeek.smtp.process_received_from -
指示是否仍应处理“Received: from”标头。
类型:布尔值
-
zeek.smtp.has_client_activity -
指示是否已看到客户端活动,但尚未记录。
类型:布尔值
-
zeek.smtp.fuids -
(如果加载了 base/protocols/smtp/files.bro) 附加到消息中看到的附件文件唯一 ID 的有序向量。
类型:关键字
-
zeek.smtp.is_webmail -
指示消息是否通过 webmail 界面发送。
类型:布尔值
snmp
Zeek SNMP 日志导出的字段。
-
zeek.snmp.duration -
属于 SNMP 会话的第一个数据包与最后一个数据包之间的时间间隔。
类型:双精度浮点数
-
zeek.snmp.version -
正在使用的 SNMP 版本。
类型:关键字
-
zeek.snmp.community -
与会话关联的第一个 SNMP 数据包的社区字符串。这用作 SNMP(v1 和 v2c)的管理/安全框架的一部分。参见 RFC 1157 或 RFC 1901。
类型:关键字
-
zeek.snmp.get.requests -
会话中看到的 GetRequest/GetNextRequest PDU 中的变量绑定数量。
类型:整数
-
zeek.snmp.get.bulk_requests -
会话中看到的 GetBulkRequest PDU 中的变量绑定数量。
类型:整数
-
zeek.snmp.get.responses -
会话中看到的 GetResponse/Response PDU 中的变量绑定数量。
类型:整数
-
zeek.snmp.set.requests -
会话中看到的 SetRequest PDU 中的变量绑定数量。
类型:整数
-
zeek.snmp.display_string -
SNMP 响应者端点的系统描述。
类型:关键字
-
zeek.snmp.up_since -
SNMP 响应者端点声称已启动的时间。
type: date
socks
Zeek SOCKS 日志导出的字段。
-
zeek.socks.version -
SOCKS 的协议版本。
类型:整数
-
zeek.socks.user -
用于请求代理登录的用户名。
类型:关键字
-
zeek.socks.password -
用于请求代理登录的密码。
类型:关键字
-
zeek.socks.status -
服务器对使用代理的尝试的状态。
类型:关键字
-
zeek.socks.request.host -
客户端请求的 SOCKS 地址。可以是地址、名称或两者。
类型:关键字
-
zeek.socks.request.port -
客户端请求的端口。
类型:整数
-
zeek.socks.bound.host -
服务器绑定地址。可以是地址、名称或两者兼有。
类型:关键字
-
zeek.socks.bound.port -
服务器绑定端口。
类型:整数
-
zeek.socks.capture_password -
确定是否将捕获此请求的密码。
类型:布尔值
ssh
Zeek SSH 日志导出的字段。
-
zeek.ssh.client -
客户端的版本字符串。
类型:关键字
-
zeek.ssh.direction -
连接方向。如果客户端是本地主机登录外部主机,则为 OUTBOUND。对于相反情况,则设置为 INBOUND。
类型:关键字
-
zeek.ssh.host_key -
服务器的密钥指纹。
类型:关键字
-
zeek.ssh.server -
服务器的版本字符串。
类型:关键字
-
zeek.ssh.version -
SSH 主版本(1 或 2)。
类型:整数
algorithm
此会话中使用的密码算法。
-
zeek.ssh.algorithm.cipher -
正在使用的加密算法。
类型:关键字
-
zeek.ssh.algorithm.compression -
正在使用的压缩算法。
类型:关键字
-
zeek.ssh.algorithm.host_key -
服务器主机密钥的算法。
类型:关键字
-
zeek.ssh.algorithm.key_exchange -
正在使用的密钥交换算法。
类型:关键字
-
zeek.ssh.algorithm.mac -
正在使用的签名 (MAC) 算法。
类型:关键字
-
zeek.ssh.auth.attempts -
我们观察到的身份验证尝试次数。至少有一次,因为某些服务器可能根本不支持身份验证。请注意,并非所有这些都是失败,因为某些服务器需要双因素身份验证(例如,密码和公钥)。
类型:整数
-
zeek.ssh.auth.success -
身份验证结果。
类型:布尔值
ssl
Zeek SSL 日志导出的字段。
-
zeek.ssl.version -
记录的 SSL/TLS 版本。
类型:关键字
-
zeek.ssl.cipher -
记录的 SSL/TLS 密码套件。
类型:关键字
-
zeek.ssl.curve -
使用 ECDH/ECDHE 时记录的椭圆曲线。
类型:关键字
-
zeek.ssl.resumed -
标志,指示会话是否恢复了重用先前连接中交换的密钥材料。
类型:布尔值
-
zeek.ssl.next_protocol -
服务器使用应用程序层下一协议扩展选择的下协议。
类型:关键字
-
zeek.ssl.established -
标志,指示此 SSL 会话是否已成功建立。
类型:布尔值
-
zeek.ssl.validation.status -
此连接的证书验证结果。
类型:关键字
-
zeek.ssl.validation.code -
此连接的证书验证结果,以 OpenSSL 验证代码形式给出。
类型:关键字
-
zeek.ssl.last_alert -
连接期间看到的最后一个警报。
类型:关键字
-
zeek.ssl.server.name -
服务器名称指示 SSL/TLS 扩展的值。它指示客户端请求的服务器名称。
类型:关键字
-
zeek.ssl.server.cert_chain -
服务器提供的证书链,用于验证其完整的签名链。
类型:关键字
-
zeek.ssl.server.cert_chain_fuids -
服务器提供的证书的证书文件标识符的排序向量。
类型:关键字
issuer
服务器提供的 X.509 证书签署者的主题。
-
zeek.ssl.server.issuer.common_name -
服务器提供的 X.509 证书签署者的通用名称。
类型:关键字
-
zeek.ssl.server.issuer.country -
服务器提供的 X.509 证书签署者的国家代码。
类型:关键字
-
zeek.ssl.server.issuer.locality -
服务器提供的 X.509 证书签署者的地点。
类型:关键字
-
zeek.ssl.server.issuer.organization -
服务器提供的 X.509 证书签署者的组织。
类型:关键字
-
zeek.ssl.server.issuer.organizational_unit -
服务器提供的 X.509 证书签署者的组织单位。
类型:关键字
-
zeek.ssl.server.issuer.state -
服务器提供的 X.509 证书签署者的州或省份名称。
类型:关键字
subject
服务器提供的 X.509 证书的主题。
-
zeek.ssl.server.subject.common_name -
服务器提供的 X.509 证书的通用名称。
类型:关键字
-
zeek.ssl.server.subject.country -
服务器提供的 X.509 证书的国家代码。
类型:关键字
-
zeek.ssl.server.subject.locality -
服务器提供的 X.509 证书的地点。
类型:关键字
-
zeek.ssl.server.subject.organization -
服务器提供的 X.509 证书的组织。
类型:关键字
-
zeek.ssl.server.subject.organizational_unit -
服务器提供的 X.509 证书的组织单位。
类型:关键字
-
zeek.ssl.server.subject.state -
服务器提供的 X.509 证书的州或省份名称。
类型:关键字
-
zeek.ssl.client.cert_chain -
客户端提供的证书链,用于验证其完整的签名链。
类型:关键字
-
zeek.ssl.client.cert_chain_fuids -
客户端提供的证书的证书文件标识符的排序向量。
类型:关键字
issuer
客户端提供的 X.509 证书签署者的主题。
-
zeek.ssl.client.issuer.common_name -
客户端提供的 X.509 证书签署者的通用名称。
类型:关键字
-
zeek.ssl.client.issuer.country -
客户端提供的 X.509 证书签署者的国家代码。
类型:关键字
-
zeek.ssl.client.issuer.locality -
客户端提供的 X.509 证书签署者的地点。
类型:关键字
-
zeek.ssl.client.issuer.organization -
客户端提供的 X.509 证书签署者的组织。
类型:关键字
-
zeek.ssl.client.issuer.organizational_unit -
客户端提供的 X.509 证书签署者的组织单位。
类型:关键字
-
zeek.ssl.client.issuer.state -
客户端提供的 X.509 证书签署者的州或省份名称。
类型:关键字
subject
客户端提供的 X.509 证书的主题。
-
zeek.ssl.client.subject.common_name -
客户端提供的 X.509 证书的通用名称。
类型:关键字
-
zeek.ssl.client.subject.country -
客户端提供的 X.509 证书的国家代码。
类型:关键字
-
zeek.ssl.client.subject.locality -
客户端提供的 X.509 证书的地点。
类型:关键字
-
zeek.ssl.client.subject.organization -
客户端提供的 X.509 证书的组织。
类型:关键字
-
zeek.ssl.client.subject.organizational_unit -
客户端提供的 X.509 证书的组织单位。
类型:关键字
-
zeek.ssl.client.subject.state -
客户端提供的 X.509 证书的州或省份名称。
类型:关键字
stats
Zeek 统计日志导出的字段。
-
zeek.stats.peer -
生成此日志的对等方。主要用于集群。
类型:关键字
-
zeek.stats.memory -
当前使用的内存量(以 MB 为单位)。
类型:整数
-
zeek.stats.packets.processed -
自上次统计间隔以来处理的包数。
类型:长整数
-
zeek.stats.packets.dropped -
如果读取实时流量,则自上次统计间隔以来丢弃的包数。
类型:长整数
-
zeek.stats.packets.received -
如果读取实时流量,则自上次统计间隔以来在链路上看到的包数。
类型:长整数
-
zeek.stats.bytes.received -
如果读取实时流量,则自上次统计间隔以来接收的字节数。
类型:长整数
-
zeek.stats.connections.tcp.active -
当前内存中的 TCP 连接。
类型:整数
-
zeek.stats.connections.tcp.count -
自上次统计间隔以来看到的 TCP 连接。
类型:整数
-
zeek.stats.connections.udp.active -
当前内存中的 UDP 连接。
类型:整数
-
zeek.stats.connections.udp.count -
自上次统计间隔以来看到的 UDP 连接。
类型:整数
-
zeek.stats.connections.icmp.active -
当前内存中的 ICMP 连接。
类型:整数
-
zeek.stats.connections.icmp.count -
自上次统计间隔以来看到的 ICMP 连接。
类型:整数
-
zeek.stats.events.processed -
自上次统计间隔以来处理的事件数。
类型:整数
-
zeek.stats.events.queued -
自上次统计间隔以来排队的事件数。
类型:整数
-
zeek.stats.timers.count -
自上次统计间隔以来计划的计时器数。
类型:整数
-
zeek.stats.timers.active -
当前计划的计时器数。
类型:整数
-
zeek.stats.files.count -
自上次统计间隔以来看到的文件数。
类型:整数
-
zeek.stats.files.active -
当前正在积极查看的文件数。
类型:整数
-
zeek.stats.dns_requests.count -
自上次统计间隔以来看到的 DNS 请求数。
类型:整数
-
zeek.stats.dns_requests.active -
当前等待回复的 DNS 请求数。
类型:整数
-
zeek.stats.reassembly_size.tcp -
当前 TCP 数据的重组大小。
类型:整数
-
zeek.stats.reassembly_size.file -
当前文件数据的重组大小。
类型:整数
-
zeek.stats.reassembly_size.frag -
当前数据包片段数据的重组大小。
类型:整数
-
zeek.stats.reassembly_size.unknown -
当前未知数据的重组大小(目前仅为 PIA 缓冲区)。
类型:整数
-
zeek.stats.timestamp_lag -
如果读取实时流量,则时钟与数据包时间戳之间的延迟。
类型:整数
syslog
Zeek syslog 日志导出的字段。
-
zeek.syslog.facility -
消息的 Syslog 设施。
类型:关键字
-
zeek.syslog.severity -
消息的 Syslog 严重程度。
类型:关键字
-
zeek.syslog.message -
纯文本消息。
类型:关键字
tunnel
Zeek SSH 日志导出的字段。
-
zeek.tunnel.type -
隧道类型。
类型:关键字
-
zeek.tunnel.action -
发生的活动类型。
类型:关键字
weird
Zeek Weird 日志导出的字段。
-
zeek.weird.name -
发生的奇怪事件的名称。
类型:关键字
-
zeek.weird.additional_info -
如果有,则伴随奇怪事件的附加信息。
类型:关键字
-
zeek.weird.notice -
指示此奇怪事件是否也已转换为通知。
类型:布尔值
-
zeek.weird.peer -
起源于此奇怪事件的对等方。这在集群部署中很有帮助,如果特定集群节点出现故障,则有助于识别出现故障的节点。
类型:关键字
-
zeek.weird.identifier -
当为去重奇怪事件的目的而生成奇怪事件时,应提供此字段。标识符字符串应在奇怪事件的单个实例中是唯一的。此字段用于定义奇怪事件在概念上何时与先前奇怪事件重复。
类型:关键字
x509
Zeek x509 日志导出的字段。
-
zeek.x509.id -
此证书的文件 ID。
类型:关键字
certificate
有关证书的基本信息。
-
zeek.x509.certificate.version -
版本号。
类型:整数
-
zeek.x509.certificate.serial -
序列号。
类型:关键字
subject
主题。
-
zeek.x509.certificate.subject.country -
证书主题中提供的国家/地区。
类型:关键字
-
zeek.x509.certificate.subject.common_name -
证书主题中提供的通用名称。
类型:关键字
-
zeek.x509.certificate.subject.locality -
证书主题中提供的地点。
类型:关键字
-
zeek.x509.certificate.subject.organization -
证书主题中提供的组织。
类型:关键字
-
zeek.x509.certificate.subject.organizational_unit -
证书主题中提供的组织单位。
类型:关键字
-
zeek.x509.certificate.subject.state -
证书主题中提供的州或省份。
类型:关键字
issuer
发行者。
-
zeek.x509.certificate.issuer.country -
证书发行者字段中提供的国家/地区。
类型:关键字
-
zeek.x509.certificate.issuer.common_name -
证书发行者字段中提供的通用名称。
类型:关键字
-
zeek.x509.certificate.issuer.locality -
证书发行者字段中提供的地点。
类型:关键字
-
zeek.x509.certificate.issuer.organization -
证书发行者字段中提供的组织。
类型:关键字
-
zeek.x509.certificate.issuer.organizational_unit -
证书发行者字段中提供的组织单位。
类型:关键字
-
zeek.x509.certificate.issuer.state -
证书发行者字段中提供的州或省份。
类型:关键字
-
zeek.x509.certificate.common_name -
最后一个(最具体的)通用名称。
类型:关键字
valid
证书有效期时间戳
-
zeek.x509.certificate.valid.from -
证书无效之前的時間戳。
type: date
-
zeek.x509.certificate.valid.until -
证书无效之后的時間戳。
type: date
-
zeek.x509.certificate.key.algorithm -
密钥算法的名称。
类型:关键字
-
zeek.x509.certificate.key.type -
密钥类型,如果密钥可由 OpenSSL 解析(rsa、dsa 或 ec 之一)。
类型:关键字
-
zeek.x509.certificate.key.length -
密钥长度(以位为单位)。
类型:整数
-
zeek.x509.certificate.signature_algorithm -
签名算法的名称。
类型:关键字
-
zeek.x509.certificate.exponent -
指数,如果为 RSA 证书。
类型:关键字
-
zeek.x509.certificate.curve -
曲线,如果为 EC 证书。
类型:关键字
san
证书的主题备用名称扩展。
-
zeek.x509.san.dns -
SAN 中的 DNS 条目列表。
类型:关键字
-
zeek.x509.san.uri -
SAN 中的 URI 条目列表。
类型:关键字
-
zeek.x509.san.email -
SAN 中的电子邮件条目列表。
类型:关键字
-
zeek.x509.san.ip -
SAN 中的 IP 条目列表。
类型:ip
-
zeek.x509.san.other_fields -
如果证书包含其他未识别或未解析的名称字段,则为真。
类型:布尔值
basic_constraints
证书的基本约束扩展。
-
zeek.x509.basic_constraints.certificate_authority -
CA 标志是否设置。
类型:布尔值
-
zeek.x509.basic_constraints.path_length -
最大路径长度。
类型:整数
-
zeek.x509.log_cert -
如果加载了 policy/protocols/ssl/log-hostcerts-only.bro,则存在。如果设置为 F,则会禁止记录证书。
类型:布尔值