ECS 字段

事件起源的日期/时间。这是从事件中提取的日期/时间，通常代表事件由源生成的时间。如果事件源没有原始时间戳，此值通常由事件首次被管道接收的时间填充。所有事件的必需字段。

类型: date

示例: 2016-05-23T08:05:34.853Z

必需: True

自定义键值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。例如：docker 和 k8s 标签。

类型: object

示例: {"application": "foo-bar", "env": "production"}

对于日志事件，message 字段包含日志消息，针对日志查看器进行优化。对于没有原始消息字段的结构化日志，其他字段可以连接起来形成事件的人类可读摘要。如果存在多条消息，可以将它们合并成一条消息。

类型: match_only_text

示例: Hello World

用于标记每个事件的关键字列表。

类型: keyword

示例: ["production", "env2"]

代理的扩展构建信息。此字段旨在包含数据源可能提供的任何构建信息，不需要特定的格式。

类型: keyword

示例: metricbeat 版本 7.6.0 (amd64), libbeat 7.6.0 [6a23e8f8f30f5001ba344e4e54d8d9cb82cb107c 构建于 2020-02-05 23:10:10 +0000 UTC]

此代理的短暂标识符（如果存在）。此 id 通常在重启之间变化，但 agent.id 不会。

类型: keyword

示例: 8a4f500f

此代理的唯一标识符（如果存在）。例如：对于 Beats，这将是 beat.id。

类型: keyword

示例: 8a4f500d

代理的自定义名称。这是一个可以赋予代理的名称。这可能很有用，例如，如果两个 Filebeat 实例在同一主机上运行，但需要对来自哪个 Filebeat 实例的数据进行人类可读的区分。如果没有给出名称，该名称通常为空。

类型: keyword

示例: foo

代理的类型。代理类型始终保持不变，应由所用代理给出。在 Filebeat 的情况下，即使在同一台机器上运行两个 Filebeat 实例，代理也始终是 Filebeat。

类型: keyword

示例: filebeat

代理的版本。

类型: keyword

示例: 6.0.0-rc2

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

组织名称。

类型: keyword

示例: Google LLC

类型: match_only_text

某些事件客户端地址定义含糊不清。事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后应根据它是 IP 还是域，将其复制到 .ip 或 .domain。

类型: keyword

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

组织名称。

类型: keyword

示例: Google LLC

类型: match_only_text

从客户端发送到服务器的字节数。

类型: long

示例: 184

格式: bytes

客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。此值可能来自原始事件，也可能来自丰富。

类型: keyword

示例: foo.example.com

城市名称。

类型: keyword

示例: Montreal

代表洲名称的两位字母代码。

类型: keyword

示例: NA

洲名称。

类型: keyword

示例: 北美

国家/地区 ISO 代码。

类型: keyword

示例: CA

国家/地区名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的地理位置描述，粒度级别为他们关心的级别。可以是数据中心的名称、楼层号，如果它描述的是本地物理实体，则可以是城市名称。通常不在自动地理定位中使用。

类型: keyword

示例: boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同的国家/地区会有很大的差异。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

客户端的 IP 地址（IPv4 或 IPv6）。

类型: ip

客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两位 [大写] 十六进制数字表示，表示八位字节的无符号整数。连续的八位字节用连字符隔开。

类型: keyword

示例: 00-00-5E-00-53-23

基于源 NAT 会话的翻译后的 IP（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

类型: ip

基于源 NAT 会话的翻译后的端口（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

类型: long

格式: string

从客户端发送到服务器的数据包数。

类型: long

示例: 12

客户端的端口。

类型: long

格式: string

已注册的最高级别客户端域，已去除子域。例如，“foo.example.com”的已注册域为“example.com”。可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表来准确确定此值。尝试通过简单地获取最后两个标签来近似此值对于“co.uk”等 TLD 来说效果不好。

类型: keyword

示例: example.com

完全限定域名的子域部分包括除注册域下方的主机名之外的所有名称。在部分限定域中，或者如果无法确定全名的限定级别，则子域包含注册域下方的所有名称。例如，“www.east.mydomain.co.uk”的子域部分为“east”。如果域具有多个子域级别，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，没有尾随句点。

类型: keyword

示例: east

有效顶级域 (eTLD)，也称为域后缀，是域名最后的部分。例如，“example.com”的顶级域为“com”。可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表来准确确定此值。尝试通过简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不好。

类型: keyword

示例: co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

用户电子邮件地址。

类型: keyword

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

类型: match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

系统/平台上组的唯一标识符。

类型: keyword

组的名称。

类型: keyword

唯一的用户哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息并且不能使用，则很有用。

类型: keyword

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

用户的简短名称或登录名。

类型: keyword

示例: a.einstein

类型: match_only_text

事件发生时的用户角色数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

云帐户或组织 ID，用于识别多租户环境中的不同实体。例如：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型: keyword

示例: 666777888999

云帐户名称或别名，用于识别多租户环境中的不同实体。例如：AWS 帐户名称、Google Cloud ORG 显示名称。

类型: keyword

示例: elastic-dev

此主机、资源或服务所在的可用区。

类型: keyword

示例: us-east-1c

主机机器的实例 ID。

类型: keyword

示例: i-1234567890abcdef0

主机机器的实例名称。

类型: keyword

主机机器的机器类型。

类型: keyword

示例: t2.medium

云帐户或组织 ID，用于识别多租户环境中的不同实体。例如：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型: keyword

示例: 666777888999

云帐户名称或别名，用于识别多租户环境中的不同实体。例如：AWS 帐户名称、Google Cloud ORG 显示名称。

类型: keyword

示例: elastic-dev

此主机、资源或服务所在的可用区。

类型: keyword

示例: us-east-1c

主机机器的实例 ID。

类型: keyword

示例: i-1234567890abcdef0

主机机器的实例名称。

类型: keyword

主机机器的机器类型。

类型: keyword

示例: t2.medium

云项目标识符。例如：Google Cloud 项目 ID、Azure 项目 ID。

类型: keyword

示例: my-project

云项目名称。例如：Google Cloud 项目名称、Azure 项目名称。

类型: keyword

示例: my project

云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。

类型: keyword

示例: aws

此主机、资源或服务所在的区域。

类型: keyword

示例: us-east-1

云服务名称用于区分在同一提供商的不同平台上运行的服务，例如 AWS EC2 与 Lambda，GCP GCE 与 App Engine，Azure VM 与 App Server。示例：app engine、app service、cloud run、fargate、lambda。

类型: keyword

例如：lambda

云项目标识符。例如：Google Cloud 项目 ID、Azure 项目 ID。

类型: keyword

示例: my-project

云项目名称。例如：Google Cloud 项目名称、Azure 项目名称。

类型: keyword

示例: my project

云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。

类型: keyword

示例: aws

此主机、资源或服务所在的区域。

类型: keyword

示例: us-east-1

云服务名称用于区分在同一提供商的不同平台上运行的服务，例如 AWS EC2 与 Lambda，GCP GCE 与 App Engine，Azure VM 与 App Server。示例：app engine、app service、cloud run、fargate、lambda。

类型: keyword

例如：lambda

云帐户或组织 ID，用于识别多租户环境中的不同实体。例如：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型: keyword

示例: 666777888999

云帐户名称或别名，用于识别多租户环境中的不同实体。例如：AWS 帐户名称、Google Cloud ORG 显示名称。

类型: keyword

示例: elastic-dev

此主机、资源或服务所在的可用区。

类型: keyword

示例: us-east-1c

主机机器的实例 ID。

类型: keyword

示例: i-1234567890abcdef0

主机机器的实例名称。

类型: keyword

主机机器的机器类型。

类型: keyword

示例: t2.medium

云项目标识符。例如：Google Cloud 项目 ID、Azure 项目 ID。

类型: keyword

示例: my-project

云项目名称。例如：Google Cloud 项目名称、Azure 项目名称。

类型: keyword

示例: my project

云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。

类型: keyword

示例: aws

此主机、资源或服务所在的区域。

类型: keyword

示例: us-east-1

云服务名称用于区分在同一提供商的不同平台上运行的服务，例如 AWS EC2 与 Lambda，GCP GCE 与 App Engine，Azure VM 与 App Server。示例：app engine、app service、cloud run、fargate、lambda。

类型: keyword

例如：lambda

用于对进程进行签名的哈希算法。当文件被同一个签名者使用不同的摘要算法签署多次时，此值可以区分签名。

类型: keyword

例如：sha256

布尔值，用于捕获签名是否存在。

类型：布尔值

例如：true

用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。该字段与 Apple *OS 相关。

类型: keyword

例如：com.apple.xpc.proxy

有关证书状态的附加信息。这对记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，请保持未填充。

类型: keyword

例如：ERROR_UNTRUSTED_ROOT

代码签名者的主体名称

类型: keyword

例如：Microsoft Corporation

用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。该字段与 Apple *OS 相关。

类型: keyword

例如：EQHXZ8M8AV

生成并签署代码签名的时间日期。

类型: date

例如：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由积极检查状态的工具填充。

类型：布尔值

例如：true

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，请保持未填充。

类型：布尔值

例如：true

CPU 使用率百分比，通过 CPU 内核数量归一化，范围为 0 到 1。缩放因子：1000。

类型：scaled_float

自上次指标收集以来，成功读取的总字节数（从所有磁盘汇总）（量规）。

类型: long

自上次指标收集以来，成功写入的总字节数（从所有磁盘汇总）（量规）。

类型: long

唯一的容器 ID。

类型: keyword

容器构建所用镜像的名称。

类型: keyword

容器镜像标签。

类型: keyword

镜像标签。

类型: object

内存使用率百分比，范围为 0 到 1。缩放因子：1000。

类型：scaled_float

容器名称。

类型: keyword

自上次指标收集以来，容器在所有网络接口上发送的字节数（量规）。

类型: long

自上次指标收集以来，容器在所有网络接口上接收的字节数（量规）。

类型: long

管理此容器的运行时。

类型: keyword

例如：docker

此字段可以包含任何有助于表示数据来源的内容。示例包括 nginx.access、prometheus、endpoint 等。对于其他方面符合但未设置数据集的数据流，我们对数据集值使用“generic”值。event.dataset 应与 data_stream.dataset 具有相同的值。除了上面提到的 Elasticsearch 数据流命名标准之外，dataset 值还有以下限制：* 必须不包含 - * 不超过 100 个字符

类型：constant_keyword

例如：nginx.access

用户定义的命名空间。命名空间有助于允许对数据进行分组。许多用户已经以这种方式组织他们的索引，数据流命名方案现在将这种最佳实践作为默认值提供。许多用户将使用 default 填充此字段。如果未使用任何值，则将回退到 default。除了上面提到的 Elasticsearch 索引命名标准之外，namespace 值还有以下限制：* 必须不包含 - * 不超过 100 个字符

类型：constant_keyword

例如：production

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。

类型：constant_keyword

例如：logs

一些事件目标地址的定义含糊不清。事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后应将其复制到 .ip 或 .domain，具体取决于它是哪一个。

类型: keyword

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

组织名称。

类型: keyword

示例: Google LLC

类型: match_only_text

从目标发送到源的字节数。

类型: long

示例: 184

格式: bytes

目标系统的域名。此值可能是主机名、完全限定域名或其他主机命名格式。该值可能源于原始事件或从丰富中添加。

类型: keyword

示例: foo.example.com

城市名称。

类型: keyword

示例: Montreal

代表洲名称的两位字母代码。

类型: keyword

示例: NA

洲名称。

类型: keyword

示例: 北美

国家/地区 ISO 代码。

类型: keyword

示例: CA

国家/地区名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的地理位置描述，粒度级别为他们关心的级别。可以是数据中心的名称、楼层号，如果它描述的是本地物理实体，则可以是城市名称。通常不在自动地理定位中使用。

类型: keyword

示例: boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同的国家/地区会有很大的差异。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

目标的 IP 地址（IPv4 或 IPv6）。

类型: ip

目标的 MAC 地址。建议使用 RFC 7042 中的符号格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节的值为无符号整数。连续的八位字节由连字符分隔。

类型: keyword

示例: 00-00-5E-00-53-23

基于 NAT 会话的翻译后的目标 IP（例如，互联网到私有 DMZ）通常与负载均衡器、防火墙或路由器一起使用。

类型: ip

源会话被 NAT 设备翻译到的端口。通常与负载均衡器、防火墙或路由器一起使用。

类型: long

格式: string

从目标发送到源的数据包。

类型: long

示例: 12

目标的端口。

类型: long

格式: string

剥离子域后，最高注册的目标域。例如，“foo.example.com”的注册域为“example.com”。此值可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定。仅通过获取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 不会很好地工作。

类型: keyword

示例: example.com

完全限定域名的子域部分包括除注册域下方的主机名之外的所有名称。在部分限定域中，或者如果无法确定全名的限定级别，则子域包含注册域下方的所有名称。例如，“www.east.mydomain.co.uk”的子域部分为“east”。如果域具有多个子域级别，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，没有尾随句点。

类型: keyword

示例: east

有效顶级域 (eTLD)，也称为域后缀，是域名最后的部分。例如，“example.com”的顶级域为“com”。可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表来准确确定此值。尝试通过简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不好。

类型: keyword

示例: co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

用户电子邮件地址。

类型: keyword

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

类型: match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

系统/平台上组的唯一标识符。

类型: keyword

组的名称。

类型: keyword

唯一的用户哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息并且不能使用，则很有用。

类型: keyword

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

用户的简短名称或登录名。

类型: keyword

示例: a.einstein

类型: match_only_text

事件发生时的用户角色数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

用于对进程进行签名的哈希算法。当文件被同一个签名者使用不同的摘要算法签署多次时，此值可以区分签名。

类型: keyword

例如：sha256

布尔值，用于捕获签名是否存在。

类型：布尔值

例如：true

用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。该字段与 Apple *OS 相关。

类型: keyword

例如：com.apple.xpc.proxy

有关证书状态的附加信息。这对记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，请保持未填充。

类型: keyword

例如：ERROR_UNTRUSTED_ROOT

代码签名者的主体名称

类型: keyword

例如：Microsoft Corporation

用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。该字段与 Apple *OS 相关。

类型: keyword

例如：EQHXZ8M8AV

生成并签署代码签名的时间日期。

类型: date

例如：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由积极检查状态的工具填充。

类型：布尔值

例如：true

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，请保持未填充。

类型：布尔值

例如：true

MD5 哈希。

类型: keyword

SHA1 哈希。

类型: keyword

SHA256 哈希。

类型: keyword

SHA512 哈希。

类型: keyword

SSDEEP 哈希。

类型: keyword

库的名称。这通常映射到磁盘上的文件的名称。

类型: keyword

例如：kernel32.dll

库的完整文件路径。

类型: keyword

例如：C:\Windows\System32\kernel32.dll

文件的 CPU 架构目标。

类型: keyword

例如：x64

文件的内部公司名称，在编译时提供。

类型: keyword

例如：Microsoft Corporation

文件的内部描述，在编译时提供。

类型: keyword

例如：Paint

文件的内部版本，在编译时提供。

类型: keyword

例如：6.3.9600.17415

PE 文件中导入的哈希。imphash（或导入哈希）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后，也会改变更传统的哈希值。有关详细信息，请参阅 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

类型: keyword

例如：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型: keyword

例如：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型: keyword

例如：Microsoft® Windows® Operating System

一个数组，包含服务器返回的每个答案部分的对象。这些对象中应该存在的关键键由 ECS 定义。包含更多信息的记录可能包含比 ECS 定义的更多键。并非所有 DNS 数据源都提供有关 DNS 答案的所有详细信息。至少，答案对象必须包含 data 键。如果有更多信息可用，请尽可能多地将其映射到 ECS，并将任何其他字段作为自定义字段添加到答案对象中。

类型: object

此资源记录中包含的 DNS 数据的类别。

类型: keyword

示例：IN

描述资源的数据。此数据的含义取决于资源记录的类型和类别。

类型: keyword

示例：10.10.10.10

此资源记录所涉及的域名。如果正在解析 CNAME 链，则每个答案的 name 应该与答案的 data 相对应。它不应仅仅是原始的 question.name 重复。

类型: keyword

示例：www.example.com

此资源记录在被丢弃之前可以在缓存中保存的时间间隔（以秒为单位）。零值表示不应缓存数据。

类型: long

示例：180

此资源记录中包含的数据类型。

类型: keyword

示例：CNAME

包含 2 个字母的 DNS 头部标志的数组。预期值是：AA、TC、RD、RA、AD、CD、DO。

类型: keyword

示例：["RD", "RA"]

由生成查询的程序分配的 DNS 数据包标识符。该标识符被复制到响应中。

类型: keyword

示例：62111

指定消息中查询类型的 DNS 操作代码。此值由查询的发起者设置，并复制到响应中。

类型: keyword

示例：QUERY

正在查询的记录的类别。

类型: keyword

示例：IN

正在查询的名称。如果名称字段包含不可打印字符（小于 32 或大于 126），则这些字符应表示为转义的基数 10 整数（\DDD）。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

类型: keyword

示例：www.example.com

去除子域后的最高注册域名。例如，"foo.example.com" 的注册域名是 "example.com"。可以使用公共后缀列表（http://publicsuffix.org）来精确地确定此值。尝试仅通过获取最后两个标签来近似此值对于诸如 "co.uk" 之类的顶级域名来说效果不佳。

类型: keyword

示例: example.com

子域是注册域名下所有标签。如果域名具有多个级别的子域，例如 "sub2.sub1.example.com"，则子域字段应包含 "sub2.sub1"，且不包含尾随句点。

类型: keyword

示例：www

有效顶级域 (eTLD)，也称为域后缀，是域名最后的部分。例如，“example.com”的顶级域为“com”。可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表来准确确定此值。尝试通过简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不好。

类型: keyword

示例: co.uk

正在查询的记录类型。

类型: keyword

示例：AAAA

包含在 answers.data 中看到的所有 IP 的数组。由于 answers 数组可以包含各种数据格式，因此难以使用。将 answers 中看到的所有 IP 地址提取到 dns.resolved_ip 使得可以将它们索引为 IP 地址，并使它们更易于可视化和查询。

类型: ip

示例：["10.10.10.10", "10.10.10.11"]

DNS 响应代码。

类型: keyword

示例：NOERROR

捕获的 DNS 事件类型，查询或答案。如果您的 DNS 事件来源仅提供 DNS 查询，则您应该只创建 dns.type:query 类型的 dns 事件。如果您的 DNS 事件来源还提供答案，则您应该为每个查询创建一个事件（可以选择在看到查询时立即创建）。以及包含所有查询详细信息以及答案数组的第二个事件。

类型: keyword

示例：answer

此事件符合的 ECS 版本。 ecs.version 是一个必填字段，必须存在于所有事件中。当跨多个索引（可能符合略有不同的 ECS 版本）进行查询时，此字段允许集成调整到事件的模式版本。

类型: keyword

示例：1.0.0

必需: True

ELF 文件的机器架构。

类型: keyword

示例：x86-64

ELF 文件的字节顺序。

类型: keyword

示例：Little Endian

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

在可能的情况下从文件元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型: date

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

ELF 文件的头部类别。

类型: keyword

ELF 头部的数据库。

类型: keyword

ELF 文件的头部入口点。

类型: long

格式: string

原始 ELF 文件为 "0x1"。

类型: keyword

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

ELF 文件的头部类型。

类型: keyword

ELF 头部的版本。

类型: keyword

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件中每个部分的对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

部分的卡方概率分布。

类型: long

格式：数字

从部分计算的香农熵。

类型: long

格式：数字

ELF 部分列表标志。

类型: keyword

ELF 部分列表名称。

类型: keyword

ELF 部分列表偏移量。

类型: keyword

ELF 部分列表物理大小。

类型: long

格式: bytes

ELF 部分列表类型。

类型: keyword

ELF 部分列表虚拟地址。

类型: long

格式: string

ELF 部分列表虚拟大小。

类型: long

格式: string

一个数组，包含 ELF 文件中每个段的对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型: keyword

ELF 对象段类型。

类型: keyword

此 ELF 对象使用的共享库列表。

类型: keyword

ELF 文件的 telfhash 符号哈希。

类型: keyword

描述错误的错误代码。

类型: keyword

错误的唯一标识符。

类型: keyword

错误消息。

类型: match_only_text

此错误的堆栈跟踪（纯文本）。

类型：通配符

类型: match_only_text

错误的类型，例如异常的类名。

类型: keyword

示例：java.lang.NullPointerException

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例是 group-add、process-started、file-created。该值通常由实现者定义。

类型: keyword

示例：user-password-change

代理通常负责填充 agent.id 字段值。如果接收事件的系统能够基于客户端的身份验证信息验证该值，则可以使用此字段来反映验证的结果。例如，如果代理的连接通过 mTLS 进行身份验证，并且客户端证书包含颁发给该证书的代理的 ID，则可以在事件中的 agent.id 值与证书进行比较。如果值匹配，则将 event.agent_id_status: verified 添加到事件中，否则应该使用其他允许值之一。如果未执行任何验证，则应省略该字段。允许的值是：verified - agent.id 字段值与从身份验证元数据中获得的预期值匹配。 mismatch - agent.id 字段值与从身份验证元数据中获得的预期值不匹配。 missing - 事件中没有 agent.id 字段需要验证。 auth_metadata_missing - 没有身份验证元数据，或者身份验证元数据缺少有关代理 ID 的信息。

类型: keyword

示例：verified

这是四个 ECS 分类字段之一，表示 ECS 分类层次结构中的第二层。 event.category 代表 ECS 类别的“大桶”。例如，根据 event.category:process 筛选将产生所有与进程活动相关的事件。此字段与 event.type 紧密相关，后者用作子类别。此字段是一个数组。这将允许对属于多个类别的某些事件进行适当分类。

类型: keyword

示例：authentication

此事件的标识代码（如果存在）。一些事件源使用事件代码来唯一识别消息，而不管消息语言或措辞随着时间的推移而调整。一个例子是 Windows 事件 ID。

类型: keyword

示例：4648

event.created 包含代理或管道首次读取事件的日期/时间。此字段不同于 @timestamp，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳略有不同。差异可用于计算事件源生成事件与代理首次处理事件之间的时间延迟。这可用于监控代理或管道的跟上事件源的能力。如果两个时间戳相同，则应使用 @timestamp。

类型: date

示例：2016-05-23T08:05:34.857Z

数据集的名称。如果事件源发布不止一种类型的日志或事件（例如访问日志、错误日志），则数据集用于指定事件来自哪个日志或事件。建议但不要求数据集名称以模块名称开头，后跟一个点，然后是数据集名称。

类型: keyword

示例：apache.access

事件持续时间（纳秒）。如果知道 event.start 和 event.end，则此值应为结束时间和开始时间的差值。

类型: long

格式：持续时间

event.end 包含事件结束或活动最后一次观察到的日期。

类型: date

原始字段的哈希（可能是 logstash 指纹），以便能够证明日志完整性。

类型: keyword

示例：123456789012345678901234567890ABCD

描述事件的唯一 ID。

类型: keyword

示例: 8a4f500d

事件到达中央数据存储的的时间戳。这与 @timestamp 不同，@timestamp 指的是事件最初发生的时刻。它也与 event.created 不同，event.created 意在捕获代理第一次看到事件的时刻。在正常情况下，假设没有篡改，这些时间戳按时间顺序应该是这样的：@timestamp < event.created < event.ingested。

类型: date

示例：2016-05-23T08:05:35.101Z

这是 ECS 分类字段中的四个之一，它表示 ECS 分类层次结构中的最高级别。 event.kind 提供有关事件包含的信息类型的概要信息，而不具体到事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制，它还有助于了解数据是按定期间隔进来还是不按定期间隔进来。

类型: keyword

示例：alert

这些数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理来自特定来源的事件（例如，Apache 日志），则 event.module 应包含该模块的名称。

类型: keyword

示例：apache

整个事件的原始文本消息。用于演示日志完整性，或者在可能需要完整日志消息（在将消息拆分为多个部分之前）的情况下使用，例如，用于重新索引。此字段未索引，并且禁用了 doc_values。无法搜索它，但可以从 _source 中检索它。如果用户希望覆盖此字段并对其进行索引，请参阅 Elasticsearch 参考 中的 字段数据类型。

类型: keyword

示例：Sep 19 08:26:10 host CEF:0|Security| threatmanager|1.0|100| worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2spt=1232

此字段未索引。

这是 ECS 分类字段中的四个之一，它表示 ECS 分类层次结构中的最低级别。 event.outcome 只表示事件是否代表从生成事件的实体的角度来看成功还是失败。请注意，当单个事务在多个事件中描述时，每个事件可能会根据其角度填充 event.outcome 的不同值。另请注意，对于复合事件（包含多个逻辑事件的单个事件），此字段应填充最能从事件生产者的角度捕获总体成功或失败的值。请进一步注意，并非所有事件都具有关联的结局。例如，此字段通常不会为指标事件、具有 event.type:info 的事件或结局在逻辑上没有意义的任何事件填充。

类型: keyword

示例：success

事件的来源。Syslog 或 Windows 事件日志之类的事件传输通常会提到事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd），或操作系统的子系统的名称（内核、Microsoft-Windows-Security-Auditing）。

类型: keyword

示例：kernel

根据来源，此事件发生的理由。这描述了事件中捕获的特定操作或结局的“为什么”。如果 event.action 捕获了事件中的操作，则 event.reason 描述了执行该操作的原因。例如，具有 event.action 的 Web 代理拒绝了请求，它也可能将 event.reason 填充为拒绝的原因（例如，blocked site）。

类型: keyword

示例：Terminated an unexpected process

链接到有关此事件的附加信息的参考 URL。此 URL 链接到此事件的静态定义。警报事件（由 event.kind:alert 指示）是此字段的常见用例。

类型: keyword

示例：https://system.example.com/event/#0001234

事件的风险评分或优先级（例如，安全解决方案）。在此处使用您系统的原始值。

类型：float

事件的归一化风险评分或优先级，范围为 0 到 100。如果您使用多个分配风险评分的系统，并且想要查看所有系统中的归一化值，这将非常有用。

类型：float

事件的序列号。序列号是由一些事件源发布的值，用于使事件的确切顺序明确无误，无论时间戳精度如何。

类型: long

格式: string

根据您的事件源，事件的数字严重性。不同的严重性值意味着什么，在源和用例之间可能有所不同。由实施者确保来自同一源的事件的严重性保持一致。Syslog 严重性属于 log.syslog.severity.code。 event.severity 意在代表事件源（例如，防火墙、IDS）的严重性。如果事件源没有发布自己的严重性，则可以选择将 log.syslog.severity.code 复制到 event.severity。

类型: long

示例：7

格式: string

event.start 包含事件开始或活动首次被观察到的日期。

类型: date

当事件的时间戳本身不包含时区信息时（例如，默认 Syslog 时间戳），此字段应填充。否则它是可选的。可接受的时区格式包括：规范 ID（例如，“Europe/Amsterdam”）、缩写（例如，“EST”）或 HH:mm 差值（例如，“-05:00”）。

类型: keyword

这是 ECS 分类字段中的四个之一，它表示 ECS 分类层次结构中的第三级。 event.type 表示一个分类“子桶”，当与 event.category 字段值一起使用时，它能够将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的某些事件进行适当的分类。

类型: keyword

链接到外部系统以继续调查此事件的 URL。此 URL 链接到另一个系统，您可以在其中对该事件的特定发生情况进行深入调查。警报事件（由 event.kind:alert 指示）是此字段的常见用例。

类型: keyword

示例：https://mysystem.example.com/alert/5271dedb-f5b0-4218-87f0-4ac4870a38fe

表示函数冷启动的布尔值。

类型：布尔值

当前函数执行的执行 ID。

类型: keyword

示例：af9d5aa4-a685-4c5f-a22b-444f80b3cc28

有关函数触发的详细信息。

类型：嵌套

触发请求、消息、事件等的 ID。

类型: keyword

示例：123456789

函数执行的触发器。预期值为：* http * pubsub * datasource * timer * other

类型: keyword

示例：http

上次访问文件的时刻。请注意，并非所有文件系统都跟踪访问时间。

类型: date

文件属性的数组。属性名称因平台而异。以下是一些在此字段中预期的值的非详尽列表：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型: keyword

示例：["readonly", "system"]

用于对进程进行签名的哈希算法。当文件被同一个签名者使用不同的摘要算法签署多次时，此值可以区分签名。

类型: keyword

例如：sha256

布尔值，用于捕获签名是否存在。

类型：布尔值

例如：true

用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。该字段与 Apple *OS 相关。

类型: keyword

例如：com.apple.xpc.proxy

有关证书状态的附加信息。这对记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，请保持未填充。

类型: keyword

例如：ERROR_UNTRUSTED_ROOT

代码签名者的主体名称

类型: keyword

例如：Microsoft Corporation

用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。该字段与 Apple *OS 相关。

类型: keyword

例如：EQHXZ8M8AV

生成并签署代码签名的时间日期。

类型: date

例如：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由积极检查状态的工具填充。

类型：布尔值

例如：true

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，请保持未填充。

类型：布尔值

例如：true

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型: date

上次修改文件属性或元数据的时刻。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将在同一时间调整，因为 mtime 是文件的属性。

类型: date

文件的来源设备。

类型: keyword

示例：sda

文件所在的目录。如果适用，它应包含驱动器号。

类型: keyword

示例：/home/alice

文件所在的驱动器号。此字段仅与 Windows 相关。该值应为大写，不包含冒号。

类型: keyword

示例：C

ELF 文件的机器架构。

类型: keyword

示例：x86-64

ELF 文件的字节顺序。

类型: keyword

示例：Little Endian

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

在可能的情况下从文件元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型: date

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

ELF 文件的头部类别。

类型: keyword

ELF 头部的数据库。

类型: keyword

ELF 文件的头部入口点。

类型: long

格式: string

原始 ELF 文件为 "0x1"。

类型: keyword

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

ELF 文件的头部类型。

类型: keyword

ELF 头部的版本。

类型: keyword

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件中每个部分的对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

部分的卡方概率分布。

类型: long

格式：数字

从部分计算的香农熵。

类型: long

格式：数字

ELF 部分列表标志。

类型: keyword

ELF 部分列表名称。

类型: keyword

ELF 部分列表偏移量。

类型: keyword

ELF 部分列表物理大小。

类型: long

格式: bytes

ELF 部分列表类型。

类型: keyword

ELF 部分列表虚拟地址。

类型: long

格式: string

ELF 部分列表虚拟大小。

类型: long

格式: string

一个数组，包含 ELF 文件中每个段的对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型: keyword

ELF 对象段类型。

类型: keyword

此 ELF 对象使用的共享库列表。

类型: keyword

ELF 文件的 telfhash 符号哈希。

类型: keyword

文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名（例如，example.tar.gz）时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型: keyword

示例：png

fork 是与文件系统对象关联的附加数据。在 Linux 上，资源 fork 用于存储与文件系统对象关联的附加数据。文件始终至少有一个用于数据部分的 fork，并且可能存在其他 fork。在 NTFS 上，这类似于备用数据流 (ADS)，文件的默认数据流仅称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 的形式通常为：C:\path\to\filename.extension:some_fork_name，并且 some_fork_name 是应填充 fork_name 的值。 filename.extension 应填充 file.name，并且 extension 应填充 file.extension。完整路径 file.path 将包含 fork 名称。

类型: keyword

示例：Zone.Identifer

文件的首要组 ID (GID)。

类型: keyword

示例：1001

文件的首要组名。

类型: keyword

示例：alice

MD5 哈希。

类型: keyword

SHA1 哈希。

类型: keyword

SHA256 哈希。

类型: keyword

SHA512 哈希。

类型: keyword

SSDEEP 哈希。

类型: keyword

在文件系统中表示文件的 inode。

类型: keyword

示例：256383

MIME 类型应使用 IANA 官方类型 识别文件或字节流的格式，如果可能的话。当有多种类型适用时，应使用最具体的类型。

类型: keyword

文件的八进制表示形式的模式。

类型: keyword

示例：0640

上次修改文件内容的时刻。

类型: date

文件名称（包括扩展名），不包括目录。

类型: keyword

示例：example.png

文件所有者的用户名。

类型: keyword

示例：alice

文件的完整路径，包括文件名。如果适用，它应包含驱动器号。

类型: keyword

示例：/home/alice/example.png

类型: match_only_text

文件的 CPU 架构目标。

类型: keyword

例如：x64

文件的内部公司名称，在编译时提供。

类型: keyword

例如：Microsoft Corporation

文件的内部描述，在编译时提供。

类型: keyword

例如：Paint

文件的内部版本，在编译时提供。

类型: keyword

例如：6.3.9600.17415

PE 文件中导入的哈希。imphash（或导入哈希）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后，也会改变更传统的哈希值。有关详细信息，请参阅 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

类型: keyword

例如：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型: keyword

例如：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型: keyword

例如：Microsoft® Windows® Operating System

文件大小（以字节为单位）。仅与 file.type 为“file”时相关。

类型: long

示例：16384

符号链接的目标路径。

类型: keyword

类型: match_only_text

文件类型（file、dir 或 symlink）。

类型: keyword

示例：file

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型: keyword

示例：1001

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型: keyword

示例：*.elastic.co

颁发证书颁发机构的通用名称 (CN) 列表。

类型: keyword

示例：Example SHA2 High Assurance Server CA

国家/地区 © 代码列表

类型: keyword

示例：US

颁发证书颁发机构的识别名称 (DN)。

类型: keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

地区名称 (L) 列表

类型: keyword

示例：Mountain View

颁发证书颁发机构的组织 (O) 列表。

类型: keyword

示例：Example Inc

颁发证书颁发机构的组织单位 (OU) 列表。

类型: keyword

示例：www.example.com

州或省名称 (ST、S 或 P) 列表

类型: keyword

示例：California

证书不再被视为有效的时刻。

类型: date

示例：2020-07-16 03:15:39+00:00

证书首次被视为有效的时刻。

类型: date

示例：2019-08-16 01:40:25+00:00

用于生成公钥的算法。

类型: keyword

示例：RSA

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型: keyword

示例：nistp521

用于推导出公钥的指数。这是特定于算法的。

类型: long

示例：65537

此字段未索引。

公钥空间的大小（以位计）。

类型: long

示例：2048

证书颁发机构颁发的唯一序列号。为了保持一致性，如果此值是字母数字的，则应格式化为不带冒号且大写字母。

类型: keyword

示例：55FBB9C7DEBF09809D12CCAA

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型: keyword

示例：SHA256-RSA

主题的通用名称 (CN) 列表。

类型: keyword

示例：shared.global.example.net

国家/地区 © 代码列表

类型: keyword

示例：US

证书主题实体的识别名称 (DN)。

类型: keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

地区名称 (L) 列表

类型: keyword

示例：San Francisco

主题的组织 (O) 列表。

类型: keyword

示例：Example, Inc.

主题的组织单位 (OU) 列表。

类型: keyword

州或省名称 (ST、S 或 P) 列表

类型: keyword

示例：California

x509 格式的版本。

类型: keyword

示例：3

城市名称。

类型: keyword

示例: Montreal

代表洲名称的两位字母代码。

类型: keyword

示例: NA

洲名称。

类型: keyword

示例: 北美

国家/地区 ISO 代码。

类型: keyword

示例: CA

国家/地区名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的地理位置描述，粒度级别为他们关心的级别。可以是数据中心的名称、楼层号，如果它描述的是本地物理实体，则可以是城市名称。通常不在自动地理定位中使用。

类型: keyword

示例: boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同的国家/地区会有很大的差异。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

系统/平台上组的唯一标识符。

类型: keyword

组的名称。

类型: keyword

MD5 哈希。

类型: keyword

SHA1 哈希。

类型: keyword

SHA256 哈希。

类型: keyword

SHA512 哈希。

类型: keyword

SSDEEP 哈希。

类型: keyword

操作系统架构。

类型: keyword

示例：x86_64

CPU 使用率百分比，通过 CPU 内核数量进行归一化，范围为 0 到 1。缩放系数：1000。例如：对于一个双核主机，此值应该是两个内核的平均值，介于 0 到 1 之间。

类型：scaled_float

自上次指标收集以来，成功读取的总字节数（从所有磁盘汇总）（量规）。

类型: long

自上次指标收集以来，成功写入的总字节数（从所有磁盘汇总）（量规）。

类型: long

主机所属域的名称。例如，在 Windows 上，这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可能是主机的 LDAP 提供程序的域。

类型: keyword

示例：CONTOSO

城市名称。

类型: keyword

示例: Montreal

代表洲名称的两位字母代码。

类型: keyword

示例: NA

洲名称。

类型: keyword

示例: 北美

国家/地区 ISO 代码。

类型: keyword

示例: CA

国家/地区名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的地理位置描述，粒度级别为他们关心的级别。可以是数据中心的名称、楼层号，如果它描述的是本地物理实体，则可以是城市名称。通常不在自动地理定位中使用。

类型: keyword

示例: boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同的国家/地区会有很大的差异。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

主机的 hostname。它通常包含 hostname 命令在主机上返回的内容。

类型: keyword

唯一的主机 ID。由于 hostname 并不总是唯一的，因此请使用在您的环境中具有意义的值。示例：当前使用 beat.name。

类型: keyword

主机 IP 地址。

类型: ip

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节的无符号整数。连续的八位字节用连字符隔开。

类型: keyword

示例：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名或用户指定的名称。发送者决定使用哪个值。

类型: keyword

自上次指标收集以来，主机在所有网络接口上发送出的字节数（规格）。

类型: long

自上次指标收集以来，主机在所有网络接口上发送出的数据包数量（规格）。

类型: long

自上次指标收集以来，主机在所有网络接口上接收的字节数（规格）。

类型: long

自上次指标收集以来，主机在所有网络接口上接收的数据包数量（规格）。

类型: long

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型: keyword

示例：debian

操作系统名称，包括版本或代号。

类型: keyword

示例：Mac OS Mojave

类型: match_only_text

操作系统内核版本作为原始字符串。

类型: keyword

示例：4.4.0-112-generic

操作系统名称，不带版本。

类型: keyword

示例：Mac OS X

类型: match_only_text

操作系统平台（例如 centos、ubuntu、windows）。

类型: keyword

示例：darwin

使用 os.type 字段将操作系统归类为主要的商业系列之一。应使用以下值之一（小写）：linux、macos、unix、windows。如果您处理的操作系统不在列表中，则不应填充该字段。请通过在 ECS 中打开一个问题来告知我们，以提出添加该问题的建议。

类型: keyword

示例：macos

操作系统版本作为原始字符串。

类型: keyword

示例：10.14.1

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果为 vm，则可以是容器，例如，或您的环境中其他有意义的信息。

类型: keyword

主机已运行的秒数。

类型: long

示例：1325

请求正文的大小（以字节为单位）。

类型: long

示例：887

格式: bytes

完整的 HTTP 请求正文。

类型：通配符

示例：Hello world

类型: match_only_text

请求的总大小（以字节为单位）（正文和标头）。

类型: long

示例：1437

格式: bytes

每个 HTTP 请求的唯一标识符，用于在事务中关联客户端和服务器之间的日志。该 id 可能包含在非标准 HTTP 标头中，例如 X-Request-ID 或 X-Correlation-ID。

类型: keyword

示例：123e4567-e89b-12d3-a456-426614174000

HTTP 请求方法。该值应保留原始事件中的大小写。例如，GET、get 和 GeT 都被认为是此字段的有效值。

类型: keyword

示例：POST

请求正文的 MIME 类型。此值只能根据请求正文的内容进行填充，而不能根据 Content-Type 标头进行填充。比较请求的 MIME 类型与请求的 Content-Type 标头有助于检测威胁或配置错误的客户端。

类型: keyword

示例：image/gif

此 HTTP 请求的来源。

类型: keyword

示例：https://blog.example.com/

响应正文的大小（以字节为单位）。

类型: long

示例：887

格式: bytes

完整的 HTTP 响应正文。

类型：通配符

示例：Hello world

类型: match_only_text

响应的总大小（以字节为单位）（正文和标头）。

类型: long

示例：1437

格式: bytes

响应正文的 MIME 类型。此值只能根据响应正文的内容进行填充，而不能根据 Content-Type 标头进行填充。比较响应的 MIME 类型与响应的 Content-Type 标头有助于检测配置错误的服务器。

类型: keyword

示例：image/gif

HTTP 响应状态代码。

类型: long

示例：404

格式: string

HTTP 版本。

类型: keyword

示例：1.1

系统报告的接口别名，通常用于防火墙实现中，例如 inside、outside 或 dmz 逻辑接口命名。

类型: keyword

示例：outside

观察者报告的接口 ID（通常为 SNMP 接口 ID）。

类型: keyword

示例：10

系统报告的接口名称。

类型: keyword

示例：eth0

此事件来自的日志文件的完整路径，包括文件名。它应包括驱动器盘符（如果适用）。如果事件不是从日志文件读取的，则不要填充此字段。

类型: keyword

示例：/var/log/fun-times.log

日志事件的原始日志级别。如果事件源提供了日志级别或文本严重性，则这是将放到 log.level 中的级别。如果您的源没有指定一个，您可以在此处放置您的事件传输的严重性（例如 Syslog 严重性）。一些示例是 warn、err、i、informational。

类型: keyword

示例：error

应用程序内部记录器的名称。这通常是初始化记录器的类的名称，或者可以是自定义名称。

类型: keyword

例如：org.elasticsearch.bootstrap.Bootstrap

包含生成日志事件的源代码的文件的行号。

类型: long

例如：42

包含生成日志事件的源代码的文件的名称。请注意，此字段不应捕获日志文件。捕获日志文件的正确字段是 log.file.path。

类型: keyword

例如：Bootstrap.java

生成日志事件的函数或方法的名称。

类型: keyword

例如：init

如果事件是通过 Syslog 传输的，则为事件的 Syslog 元数据。请参阅 RFC 5424 或 3164。

类型: object

如果可用，则为日志事件的 Syslog 数字设施。根据 RFC 5424 和 3164，此值应为 0 到 23 之间的整数。

类型: long

例如：23

格式: string

如果可用，则为日志事件的 Syslog 基于文本的设施。

类型: keyword

例如：local7

如果可用，则为事件的 Syslog 数字优先级。根据 RFC 5424 和 3164，优先级为 8 * facility + severity。因此，此数字预计将包含 0 到 191 之间的数值。

类型: long

例如：135

格式: string

如果可用，则为日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件的事件源提供了不同的数字严重性值（例如，防火墙、IDS），则您的源的数字严重性应转到 event.severity。如果事件源未指定不同的严重性，则可以选择将 Syslog 严重性复制到 event.severity。

类型: long

示例：3

如果可用，则为日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件的事件源提供了不同的严重性值（例如，防火墙、IDS），则您的源的文本严重性应转到 log.level。如果事件源未指定不同的严重性，则可以选择将 Syslog 严重性复制到 log.level。

类型: keyword

例如：Error

当从网络连接详细信息（源/目标 IP、端口、证书或线格式）识别出特定的应用程序或服务时，此字段将捕获应用程序或服务的名称。例如，原始事件标识网络连接来自 https 网络连接中的特定 Web 服务，例如 facebook 或 twitter。字段值必须规范化为小写以进行查询。

类型: keyword

例如：aim

双向传输的总字节数。如果已知 source.bytes 和 destination.bytes，则 network.bytes 是它们的总和。

类型: long

例如：368

格式: bytes

源和目标 IP 和端口以及通信中使用的协议的哈希值。这是识别流的工具无关标准。在 https://github.com/corelight/community-id-spec 中了解更多信息。

类型: keyword

例如：1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0=

网络流量的方向。建议的值为： * ingress * egress * inbound * outbound * internal * external * unknown

从基于主机的监控上下文中映射事件时，请使用 "ingress" 或 "egress" 值从主机的角度填充此字段。从基于网络或周边的监控上下文中映射事件时，请使用 "inbound"、"outbound"、"internal" 或 "external" 值从网络周边的角度填充此字段。请注意，"internal" 不会跨越周边边界，而是用于描述周边内两台主机之间的通信。另请注意，"external" 用于描述周边外部两台主机之间的流量。例如，这对于 ISP 或 VPN 服务提供商可能很有用。

类型: keyword

例如：inbound

当源 IP 地址是代理时，主机 IP 地址。

类型: ip

例如：192.1.1.2

IANA 协议编号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议编号的 NetFlow 和 sFlow 相关日志非常吻合。

类型: keyword

例如：6

network.inner 字段除了 network.vlan 字段外还被添加进来，用于描述存在 q-in-q VLAN 标记时的最内层 VLAN。允许的字段包括 vlan.id 和 vlan.name。内层 VLAN 字段通常用于将具有多个 802.1q 封装的流量发送到网络传感器（例如 Zeek、Wireshark）。

类型: object

观察者报告的 VLAN ID。

类型: keyword

示例：10

观察者报告的可选 VLAN 名称。

类型: keyword

示例：outside

运营商为其网络部分提供的名称。

类型: keyword

例如：Guest Wifi

双向传输的总数据包数。如果已知 source.packets 和 destination.packets，则 network.packets 是它们的总和。

类型: long

例如：24

在 OSI 模型中，这将是应用程序层协议。例如，http、dns 或 ssh。字段值必须规范化为小写以进行查询。

类型: keyword

示例：http

与 network.iana_number 相同，但使用传输层的关键字名称（udp、tcp、ipv6-icmp 等）。字段值必须规范化为小写以进行查询。

类型: keyword

例如：tcp

在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值必须规范化为小写以进行查询。

类型: keyword

例如：ipv4

观察者报告的 VLAN ID。

类型: keyword

示例：10

观察者报告的可选 VLAN 名称。

类型: keyword

示例：outside

Observer.egress 保存诸如接口编号和名称、VLAN 以及区域信息之类的信息，以对出站流量进行分类。单臂监控（例如，跨端口上的网络传感器）应仅使用 observer.ingress 对流量进行分类。

类型: object

系统报告的接口别名，通常用于防火墙实现中，例如 inside、outside 或 dmz 逻辑接口命名。

类型: keyword

示例：outside

观察者报告的接口 ID（通常为 SNMP 接口 ID）。

类型: keyword

示例：10

系统报告的接口名称。

类型: keyword

示例：eth0

观察者报告的 VLAN ID。

类型: keyword

示例：10

观察者报告的可选 VLAN 名称。

类型: keyword

示例：outside

观察者报告的出站流量的网络区域，用于对出站流量的目标区域进行分类，例如 Internal、External、DMZ、HR、Legal 等。

类型: keyword

例如：Public_Internet

城市名称。

类型: keyword

示例: Montreal

代表洲名称的两位字母代码。

类型: keyword

示例: NA

洲名称。

类型: keyword

示例: 北美

国家/地区 ISO 代码。

类型: keyword

示例: CA

国家/地区名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的地理位置描述，粒度级别为他们关心的级别。可以是数据中心的名称、楼层号，如果它描述的是本地物理实体，则可以是城市名称。通常不在自动地理定位中使用。

类型: keyword

示例: boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同的国家/地区会有很大的差异。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

观察者的主机名。

类型: keyword

Observer.ingress 保存诸如接口编号和名称、VLAN 以及区域信息之类的信息，以对入站流量进行分类。单臂监控（例如，跨端口上的网络传感器）应仅使用 observer.ingress 对流量进行分类。

类型: object

系统报告的接口别名，通常用于防火墙实现中，例如 inside、outside 或 dmz 逻辑接口命名。

类型: keyword

示例：outside

观察者报告的接口 ID（通常为 SNMP 接口 ID）。

类型: keyword

示例：10

系统报告的接口名称。

类型: keyword

示例：eth0

观察者报告的 VLAN ID。

类型: keyword

示例：10

观察者报告的可选 VLAN 名称。

类型: keyword

示例：outside

观察者报告的入站流量的网络区域，用于对入站流量的源区域进行分类。例如，internal、External、DMZ、HR、Legal 等。

类型: keyword

例如：DMZ

观察者的 IP 地址。

类型: ip

观察者的 MAC 地址。建议使用 RFC 7042 中的符号格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节的无符号整数值。连续的八位字节用连字符隔开。

类型: keyword

示例：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

观察者的自定义名称。这是一个可以赋予观察者的名称。例如，如果组织中使用了多个相同型号的防火墙，这将非常有用。如果不需要自定义名称，则可以将该字段留空。

类型: keyword

例如：1_proxySG

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型: keyword

示例：debian

操作系统名称，包括版本或代号。

类型: keyword

示例：Mac OS Mojave

类型: match_only_text

操作系统内核版本作为原始字符串。

类型: keyword

示例：4.4.0-112-generic

操作系统名称，不带版本。

类型: keyword

示例：Mac OS X

类型: match_only_text

操作系统平台（例如 centos、ubuntu、windows）。

类型: keyword

示例：darwin

使用 os.type 字段将操作系统归类为主要的商业系列之一。应使用以下值之一（小写）：linux、macos、unix、windows。如果您处理的操作系统不在列表中，则不应填充该字段。请通过在 ECS 中打开一个问题来告知我们，以提出添加该问题的建议。

类型: keyword

示例：macos

操作系统版本作为原始字符串。

类型: keyword

示例：10.14.1

观察者的产品名称。

类型: keyword

例如：s200

观察者序列号。

类型: keyword

数据的来源观察者的类型。没有预定义的观察者类型列表。一些示例是 forwarder、firewall、ids、ips、proxy、poller、sensor、APM server。

类型: keyword

例如：firewall

观察者的供应商名称。

类型: keyword

例如：Symantec

观察者版本。

类型: keyword

用于执行操作的 API 版本

类型: keyword

例如：v1beta1

集群的名称。

类型: keyword

用于管理集群的 API 的 URL。

类型: keyword

集群的版本。

类型: keyword

正在执行操作的命名空间。

类型: keyword

例如：kube-system

受事件影响的组织（针对多租户编排器设置）。

类型: keyword

例如：elastic

正在对其进行操作的资源的名称。

类型: keyword

例如：test-pod-cdcws

正在对其进行操作的资源的类型。

类型: keyword

例如：service

编排器集群类型（例如，kubernetes、nomad 或 cloudfoundry）。

类型: keyword

例如：kubernetes

组织的唯一标识符。

类型: keyword

组织名称。

类型: keyword

类型: match_only_text

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型: keyword

示例：debian

操作系统名称，包括版本或代号。

类型: keyword

示例：Mac OS Mojave

类型: match_only_text

操作系统内核版本作为原始字符串。

类型: keyword

示例：4.4.0-112-generic

操作系统名称，不带版本。

类型: keyword

示例：Mac OS X

类型: match_only_text

操作系统平台（例如 centos、ubuntu、windows）。

类型: keyword

示例：darwin

使用 os.type 字段将操作系统归类为主要的商业系列之一。应使用以下值之一（小写）：linux、macos、unix、windows。如果您处理的操作系统不在列表中，则不应填充该字段。请通过在 ECS 中打开一个问题来告知我们，以提出添加该问题的建议。

类型: keyword

示例：macos

操作系统版本作为原始字符串。

类型: keyword

示例：10.14.1

包体系结构。

类型: keyword

示例：x86_64

有关已安装包的构建版本的其他信息。例如，使用未发布包的提交 SHA。

类型: keyword

例如：36f4f7e89dd61b0988b12ee000b98966867710cd

已安装包的校验和，用于验证。

类型: keyword

例如：68b329da9893e34099c7d8ad5cb9c940

包的描述。

类型: keyword

例如：用于构建简单/可靠/高效软件的开源编程语言。

指示包是如何安装的，例如 user-local、global。

类型: keyword

例如：global

包安装的时间。

类型: date

软件包发布的许可证。使用简短的名称，例如来自 SPDX 许可证列表的许可证标识符，如果可能 (https://spdx.org/licenses/）。

类型: keyword

例如：Apache 许可证 2.0

软件包名称

类型: keyword

例如：go

安装软件包的路径。

类型: keyword

例如：/usr/local/Cellar/go/1.12.9/

如果可用，此软件包中软件的主页或参考 URL。

类型: keyword

例如：https://golang.ac.cn

软件包大小（以字节为单位）。

类型: long

例如：62231

格式: string

软件包类型。这应该包含软件包文件类型，而不是软件包管理器名称。示例：rpm、dpkg、brew、npm、gem、nupkg、jar。

类型: keyword

例如：rpm

软件包版本

类型: keyword

例如：1.12.9

文件的 CPU 架构目标。

类型: keyword

例如：x64

文件的内部公司名称，在编译时提供。

类型: keyword

例如：Microsoft Corporation

文件的内部描述，在编译时提供。

类型: keyword

例如：Paint

文件的内部版本，在编译时提供。

类型: keyword

例如：6.3.9600.17415

PE 文件中导入的哈希。imphash（或导入哈希）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后，也会改变更传统的哈希值。有关详细信息，请参阅 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

类型: keyword

例如：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型: keyword

例如：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型: keyword

例如：Microsoft® Windows® Operating System

进程参数数组，从可执行文件的绝对路径开始。可能会被过滤以保护敏感信息。

类型: keyword

例如：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行桶分析。更多参数可能表示可疑活动。

类型: long

例如：4

用于对进程进行签名的哈希算法。当文件被同一个签名者使用不同的摘要算法签署多次时，此值可以区分签名。

类型: keyword

例如：sha256

布尔值，用于捕获签名是否存在。

类型：布尔值

例如：true

用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。该字段与 Apple *OS 相关。

类型: keyword

例如：com.apple.xpc.proxy

有关证书状态的附加信息。这对记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，请保持未填充。

类型: keyword

例如：ERROR_UNTRUSTED_ROOT

代码签名者的主体名称

类型: keyword

例如：Microsoft Corporation

用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。该字段与 Apple *OS 相关。

类型: keyword

例如：EQHXZ8M8AV

生成并签署代码签名的时间日期。

类型: date

例如：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由积极检查状态的工具填充。

类型：布尔值

例如：true

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，请保持未填充。

类型：布尔值

例如：true

启动进程的完整命令行，包括可执行文件的绝对路径以及所有参数。某些参数可能会被过滤以保护敏感信息。

类型：通配符

例如：/usr/bin/ssh -l user 10.0.0.16

类型: match_only_text

ELF 文件的机器架构。

类型: keyword

示例：x86-64

ELF 文件的字节顺序。

类型: keyword

示例：Little Endian

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

在可能的情况下从文件元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型: date

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

ELF 文件的头部类别。

类型: keyword

ELF 头部的数据库。

类型: keyword

ELF 文件的头部入口点。

类型: long

格式: string

原始 ELF 文件为 "0x1"。

类型: keyword

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

ELF 文件的头部类型。

类型: keyword

ELF 头部的版本。

类型: keyword

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件中每个部分的对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

部分的卡方概率分布。

类型: long

格式：数字

从部分计算的香农熵。

类型: long

格式：数字

ELF 部分列表标志。

类型: keyword

ELF 部分列表名称。

类型: keyword

ELF 部分列表偏移量。

类型: keyword

ELF 部分列表物理大小。

类型: long

格式: bytes

ELF 部分列表类型。

类型: keyword

ELF 部分列表虚拟地址。

类型: long

格式: string

ELF 部分列表虚拟大小。

类型: long

格式: string

一个数组，包含 ELF 文件中每个段的对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型: keyword

ELF 对象段类型。

类型: keyword

此 ELF 对象使用的共享库列表。

类型: keyword

ELF 文件的 telfhash 符号哈希。

类型: keyword

进程结束的时间。

类型: date

示例: 2016-05-23T08:05:34.853Z

进程的唯一标识符。此的实现由数据源指定，但此处可使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程的一些唯一识别组件的哈希值。构建全局唯一标识符是缓解 PID 重用以及随着时间的推移识别特定进程（跨多个受监控主机）的常见做法。

类型: keyword

例如：c2c455d9f99375d

进程可执行文件的绝对路径。

类型: keyword

例如：/usr/bin/ssh

类型: match_only_text

进程的退出代码（如果这是一个终止事件）。如果事件没有退出代码（例如进程启动），则该字段应该不存在。

类型: long

例如：137

MD5 哈希。

类型: keyword

SHA1 哈希。

类型: keyword

SHA256 哈希。

类型: keyword

SHA512 哈希。

类型: keyword

SSDEEP 哈希。

类型: keyword

进程名称。有时称为程序名称或类似名称。

类型: keyword

例如：ssh

类型: match_only_text

进程参数数组，从可执行文件的绝对路径开始。可能会被过滤以保护敏感信息。

类型: keyword

例如：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行桶分析。更多参数可能表示可疑活动。

类型: long

例如：4

用于对进程进行签名的哈希算法。当文件被同一个签名者使用不同的摘要算法签署多次时，此值可以区分签名。

类型: keyword

例如：sha256

布尔值，用于捕获签名是否存在。

类型：布尔值

例如：true

用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。该字段与 Apple *OS 相关。

类型: keyword

例如：com.apple.xpc.proxy

有关证书状态的附加信息。这对记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，请保持未填充。

类型: keyword

例如：ERROR_UNTRUSTED_ROOT

代码签名者的主体名称

类型: keyword

例如：Microsoft Corporation

用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。该字段与 Apple *OS 相关。

类型: keyword

例如：EQHXZ8M8AV

生成并签署代码签名的时间日期。

类型: date

例如：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由积极检查状态的工具填充。

类型：布尔值

例如：true

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，请保持未填充。

类型：布尔值

例如：true

启动进程的完整命令行，包括可执行文件的绝对路径以及所有参数。某些参数可能会被过滤以保护敏感信息。

类型：通配符

例如：/usr/bin/ssh -l user 10.0.0.16

类型: match_only_text

ELF 文件的机器架构。

类型: keyword

示例：x86-64

ELF 文件的字节顺序。

类型: keyword

示例：Little Endian

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

在可能的情况下从文件元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型: date

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

ELF 文件的头部类别。

类型: keyword

ELF 头部的数据库。

类型: keyword

ELF 文件的头部入口点。

类型: long

格式: string

原始 ELF 文件为 "0x1"。

类型: keyword

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

ELF 文件的头部类型。

类型: keyword

ELF 头部的版本。

类型: keyword

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件中每个部分的对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

部分的卡方概率分布。

类型: long

格式：数字

从部分计算的香农熵。

类型: long

格式：数字

ELF 部分列表标志。

类型: keyword

ELF 部分列表名称。

类型: keyword

ELF 部分列表偏移量。

类型: keyword

ELF 部分列表物理大小。

类型: long

格式: bytes

ELF 部分列表类型。

类型: keyword

ELF 部分列表虚拟地址。

类型: long

格式: string

ELF 部分列表虚拟大小。

类型: long

格式: string

一个数组，包含 ELF 文件中每个段的对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型: keyword

ELF 对象段类型。

类型: keyword

此 ELF 对象使用的共享库列表。

类型: keyword

ELF 文件的 telfhash 符号哈希。

类型: keyword

进程结束的时间。

类型: date

示例: 2016-05-23T08:05:34.853Z

进程的唯一标识符。此的实现由数据源指定，但此处可使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程的一些唯一识别组件的哈希值。构建全局唯一标识符是缓解 PID 重用以及随着时间的推移识别特定进程（跨多个受监控主机）的常见做法。

类型: keyword

例如：c2c455d9f99375d

进程可执行文件的绝对路径。

类型: keyword

例如：/usr/bin/ssh

类型: match_only_text

进程的退出代码（如果这是一个终止事件）。如果事件没有退出代码（例如进程启动），则该字段应该不存在。

类型: long

例如：137

MD5 哈希。

类型: keyword

SHA1 哈希。

类型: keyword

SHA256 哈希。

类型: keyword

SHA512 哈希。

类型: keyword

SSDEEP 哈希。

类型: keyword

进程名称。有时称为程序名称或类似名称。

类型: keyword

例如：ssh

类型: match_only_text

文件的 CPU 架构目标。

类型: keyword

例如：x64

文件的内部公司名称，在编译时提供。

类型: keyword

例如：Microsoft Corporation

文件的内部描述，在编译时提供。

类型: keyword

例如：Paint

文件的内部版本，在编译时提供。

类型: keyword

例如：6.3.9600.17415

PE 文件中导入的哈希。imphash（或导入哈希）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后，也会改变更传统的哈希值。有关详细信息，请参阅 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

类型: keyword

例如：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型: keyword

例如：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型: keyword

例如：Microsoft® Windows® Operating System

进程所属的进程组的标识符。

类型: long

格式: string

进程 ID。

类型: long

例如：4242

格式: string

进程启动的时间。

类型: date

示例: 2016-05-23T08:05:34.853Z

线程 ID。

类型: long

例如：4242

格式: string

线程名称。

类型: keyword

例如：thread-0

进程标题。进程标题，有时与进程名称相同。也可以不同：例如，浏览器将其标题设置为当前打开的网页。

类型: keyword

类型: match_only_text

进程运行的秒数。

类型: long

示例：1325

进程的工作目录。

类型: keyword

示例：/home/alice

类型: match_only_text

文件的 CPU 架构目标。

类型: keyword

例如：x64

文件的内部公司名称，在编译时提供。

类型: keyword

例如：Microsoft Corporation

文件的内部描述，在编译时提供。

类型: keyword

例如：Paint

文件的内部版本，在编译时提供。

类型: keyword

例如：6.3.9600.17415

PE 文件中导入的哈希。imphash（或导入哈希）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后，也会改变更传统的哈希值。有关详细信息，请参阅 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html。

类型: keyword

例如：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型: keyword

例如：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型: keyword

例如：Microsoft® Windows® Operating System

进程所属的进程组的标识符。

类型: long

格式: string

进程 ID。

类型: long

例如：4242

格式: string

进程启动的时间。

类型: date

示例: 2016-05-23T08:05:34.853Z

线程 ID。

类型: long

例如：4242

格式: string

线程名称。

类型: keyword

例如：thread-0

进程标题。进程标题，有时与进程名称相同。也可以不同：例如，浏览器将其标题设置为当前打开的网页。

类型: keyword

类型: match_only_text

进程运行的秒数。

类型: long

示例：1325

进程的工作目录。

类型: keyword

示例：/home/alice

类型: match_only_text

使用 base64 编码写入的原始字节。对于 Windows 注册表操作（例如 SetValueEx 和 RegQueryValueEx），这对应于由 lp_data 指向的数据。这是可选的，但可以提供更好的可恢复性，并且应该为 REG_BINARY 编码的值填充。

类型: keyword

例如：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

写入字符串类型时的内容。写入字符串数据到注册表时，以数组形式填充。对于单个字符串注册表类型 (REG_SZ、REG_EXPAND_SZ)，这应该是一个包含一个字符串的数组。对于使用 REG_MULTI_SZ 的字符串序列，此数组的长度可变。对于数字数据（例如 REG_DWORD 和 REG_QWORD），这应该用十进制表示填充（例如 "1"）。

类型：通配符

例如：["C:\rta\red_ttp\bin\myapp.exe"]

用于编码内容的标准注册表类型

类型: keyword

例如：REG_SZ

蜂窝的缩写名称。

类型: keyword

例如：HKLM

密钥的蜂窝相对路径。

类型: keyword

例如：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

完整路径，包括蜂窝、密钥和值

类型: keyword

例如：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

写入的值的名称。

类型: keyword

例如：Debugger

在您的事件中看到的所有哈希值。填充此字段，然后使用它来搜索哈希值，这在您不确定哈希算法是什么（因此不确定要搜索哪个键名）的情况下很有帮助。

类型: keyword

在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。

类型: keyword

在您的事件中看到的所有 IP。

类型: ip

在事件中看到的所有用户名或其他用户标识符。

类型: keyword

创建用于生成此事件的规则的作者或作者的姓名、组织或笔名。

类型: keyword

例如：["Star-Lord"]

使用规则进行此事件检测的实体使用的分类值关键字。

类型: keyword

例如：尝试信息泄露

生成事件的规则的描述。

类型: keyword

例如：阻止对公共 DNS over HTTPS / TLS 协议的请求

在使用规则进行此事件检测的代理、观察者或其他实体范围内唯一的规则 ID。

类型: keyword

例如：101

用于生成此事件的规则可供使用的许可证名称。

类型: keyword

例如：Apache 2.0

生成事件的规则或签名的名称。

类型: keyword

例如：BLOCK_DNS_over_TLS

用于生成此事件的规则的附加信息的参考 URL。该 URL 可以指向供应商有关该规则的文档。如果不可用，它也可以是描述此类型警报的更一般页面链接。

类型: keyword

例如：https://en.wikipedia.org/wiki/DNS_over_TLS

用于生成此事件的规则所属的规则集、策略、组或父类别名称。

类型: keyword

例如：Standard_Protocol_Filters

在使用规则进行此事件检测的一组或一组代理、观察者或其他实体范围内唯一的规则 ID。

类型: keyword

例如：1100110011

用于分析的规则的版本/修订版。

类型: keyword

示例：1.1

某些事件服务器地址定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后应根据它是哪一个将其复制到 .ip 或 .domain。

类型: keyword

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

组织名称。

类型: keyword

示例: Google LLC

类型: match_only_text

从服务器发送到客户端的字节数。

类型: long

示例: 184

格式: bytes

服务器系统的域名。此值可能是主机名、完全限定域名或其他主机命名格式。此值可能来自原始事件或从丰富中添加。

类型: keyword

示例: foo.example.com

城市名称。

类型: keyword

示例: Montreal

代表洲名称的两位字母代码。

类型: keyword

示例: NA

洲名称。

类型: keyword

示例: 北美

国家/地区 ISO 代码。

类型: keyword

示例: CA

国家/地区名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的地理位置描述，粒度级别为他们关心的级别。可以是数据中心的名称、楼层号，如果它描述的是本地物理实体，则可以是城市名称。通常不在自动地理定位中使用。

类型: keyword

示例: boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同的国家/地区会有很大的差异。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

服务器的 IP 地址（IPv4 或 IPv6）。

类型: ip

服务器的 MAC 地址。建议使用 RFC 7042 中的符号格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节由连字符分隔。

类型: keyword

示例: 00-00-5E-00-53-23

基于 NAT 会话的翻译后的目标 IP（例如，互联网到私有 DMZ）通常与负载均衡器、防火墙或路由器一起使用。

类型: ip

基于 NAT 会话的目标端口的转换端口（例如，互联网到私有 DMZ）通常与负载均衡器、防火墙或路由器一起使用。

类型: long

格式: string

从服务器发送到客户端的数据包。

类型: long

示例: 12

服务器的端口。

类型: long

格式: string

剥离子域后，最高注册的服务器域名。例如，"foo.example.com" 的注册域名是 "example.com"。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确地确定此值。仅通过获取最后两个标签来近似此值对于 "co.uk" 之类的 TLD 来说效果不佳。

类型: keyword

示例: example.com

完全限定域名的子域部分包括除注册域下方的主机名之外的所有名称。在部分限定域中，或者如果无法确定全名的限定级别，则子域包含注册域下方的所有名称。例如，“www.east.mydomain.co.uk”的子域部分为“east”。如果域具有多个子域级别，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，没有尾随句点。

类型: keyword

示例: east

有效顶级域 (eTLD)，也称为域后缀，是域名最后的部分。例如，“example.com”的顶级域为“com”。可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表来准确确定此值。尝试通过简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不好。

类型: keyword

示例: co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

用户电子邮件地址。

类型: keyword

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

类型: match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

系统/平台上组的唯一标识符。

类型: keyword

组的名称。

类型: keyword

唯一的用户哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息并且不能使用，则很有用。

类型: keyword

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

用户的简短名称或登录名。

类型: keyword

示例: a.einstein

类型: match_only_text

事件发生时的用户角色数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

收集有关此服务的数据的地址。这应该是 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

类型: keyword

示例：172.26.0.2:5432

标识服务运行的环境。如果同一服务在不同的环境（生产、预发布、QA、开发等）中运行，则环境可以标识同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。

类型: keyword

例如：production

此服务的临时标识符（如果存在）。此 ID 通常在重新启动时更改，但 service.id 不会更改。

类型: keyword

示例: 8a4f500f

正在运行服务的唯一标识符。如果服务由许多节点组成，则 service.id 对所有节点应该相同。此 ID 应该唯一标识服务。这样就可以关联特定服务的日志和指标，无论哪个特定节点发出事件。请注意，如果您需要查看特定服务主机的事件，则应在该 host.name 或 host.id 上进行过滤。

类型: keyword

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

收集数据的服务的名称。服务的名称通常是由用户给定的。这允许在多个主机上运行的分布式服务根据名称关联相关的实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，service.name 默认情况下是 service.type 字段的副本，前提是未指定名称。

类型: keyword

示例：elasticsearch-metrics

服务节点的名称。这允许在同一主机上运行的同一服务的两个节点进行区分。因此，service.node.name 通常应该在给定服务的节点之间是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下，可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些无法提供唯一性（例如，在同一主机上运行的服务的多个实例） - 则可以手动设置节点名称。

类型: keyword

示例：instance-0000000016

收集有关此服务的数据的地址。这应该是 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

类型: keyword

示例：172.26.0.2:5432

标识服务运行的环境。如果同一服务在不同的环境（生产、预发布、QA、开发等）中运行，则环境可以标识同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。

类型: keyword

例如：production

此服务的临时标识符（如果存在）。此 ID 通常在重新启动时更改，但 service.id 不会更改。

类型: keyword

示例: 8a4f500f

正在运行服务的唯一标识符。如果服务由许多节点组成，则 service.id 对所有节点应该相同。此 ID 应该唯一标识服务。这样就可以关联特定服务的日志和指标，无论哪个特定节点发出事件。请注意，如果您需要查看特定服务主机的事件，则应在该 host.name 或 host.id 上进行过滤。

类型: keyword

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

收集数据的服务的名称。服务的名称通常是由用户给定的。这允许在多个主机上运行的分布式服务根据名称关联相关的实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，service.name 默认情况下是 service.type 字段的副本，前提是未指定名称。

类型: keyword

示例：elasticsearch-metrics

服务节点的名称。这允许在同一主机上运行的同一服务的两个节点进行区分。因此，service.node.name 通常应该在给定服务的节点之间是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下，可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些无法提供唯一性（例如，在同一主机上运行的服务的多个实例） - 则可以手动设置节点名称。

类型: keyword

示例：instance-0000000016

服务的当前状态。

类型: keyword

收集数据的服务类型的类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型: keyword

示例：elasticsearch

收集数据的服务版本。这允许仅查看特定服务版本的特定数据集。

类型: keyword

示例：3.2.4

服务的当前状态。

类型: keyword

收集有关此服务的数据的地址。这应该是 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

类型: keyword

示例：172.26.0.2:5432

标识服务运行的环境。如果同一服务在不同的环境（生产、预发布、QA、开发等）中运行，则环境可以标识同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。

类型: keyword

例如：production

此服务的临时标识符（如果存在）。此 ID 通常在重新启动时更改，但 service.id 不会更改。

类型: keyword

示例: 8a4f500f

正在运行服务的唯一标识符。如果服务由许多节点组成，则 service.id 对所有节点应该相同。此 ID 应该唯一标识服务。这样就可以关联特定服务的日志和指标，无论哪个特定节点发出事件。请注意，如果您需要查看特定服务主机的事件，则应在该 host.name 或 host.id 上进行过滤。

类型: keyword

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

收集数据的服务的名称。服务的名称通常是由用户给定的。这允许在多个主机上运行的分布式服务根据名称关联相关的实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，service.name 默认情况下是 service.type 字段的副本，前提是未指定名称。

类型: keyword

示例：elasticsearch-metrics

服务节点的名称。这允许在同一主机上运行的同一服务的两个节点进行区分。因此，service.node.name 通常应该在给定服务的节点之间是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下，可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些无法提供唯一性（例如，在同一主机上运行的服务的多个实例） - 则可以手动设置节点名称。

类型: keyword

示例：instance-0000000016

服务的当前状态。

类型: keyword

收集数据的服务类型的类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型: keyword

示例：elasticsearch

收集数据的服务版本。这允许仅查看特定服务版本的特定数据集。

类型: keyword

示例：3.2.4

收集数据的服务类型的类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型: keyword

示例：elasticsearch

收集数据的服务版本。这允许仅查看特定服务版本的特定数据集。

类型: keyword

示例：3.2.4

某些事件源地址定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后应根据它是哪一个将其复制到 .ip 或 .domain。

类型: keyword

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

组织名称。

类型: keyword

示例: Google LLC

类型: match_only_text

从源发送到目标的字节数。

类型: long

示例: 184

格式: bytes

源系统的域名。此值可能是主机名、完全限定域名或其他主机命名格式。此值可能来自原始事件或从丰富中添加。

类型: keyword

示例: foo.example.com

城市名称。

类型: keyword

示例: Montreal

代表洲名称的两位字母代码。

类型: keyword

示例: NA

洲名称。

类型: keyword

示例: 北美

国家/地区 ISO 代码。

类型: keyword

示例: CA

国家/地区名称。

类型: keyword

示例: 加拿大

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

用户定义的地理位置描述，粒度级别为他们关心的级别。可以是数据中心的名称、楼层号，如果它描述的是本地物理实体，则可以是城市名称。通常不在自动地理定位中使用。

类型: keyword

示例: boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同的国家/地区会有很大的差异。

类型: keyword

示例: 94040

区域 ISO 代码。

类型: keyword

示例: CA-QC

区域名称。

类型: keyword

示例: 魁北克

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

源的 IP 地址（IPv4 或 IPv6）。

类型: ip

源的 MAC 地址。建议使用 RFC 7042 中的符号格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节由连字符分隔。

类型: keyword

示例: 00-00-5E-00-53-23

基于 NAT 会话的源的转换 IP（例如，内部客户端到互联网）通常是穿越负载均衡器、防火墙或路由器的连接。

类型: ip

基于 NAT 会话的源的转换端口。（例如，内部客户端到互联网）通常与负载均衡器、防火墙或路由器一起使用。

类型: long

格式: string

从源发送到目标的数据包。

类型: long

示例: 12

源的端口。

类型: long

格式: string

剥离子域后，最高注册的源域名。例如，"foo.example.com" 的注册域名是 "example.com"。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确地确定此值。仅通过获取最后两个标签来近似此值对于 "co.uk" 之类的 TLD 来说效果不佳。

类型: keyword

示例: example.com

完全限定域名的子域部分包括除注册域下方的主机名之外的所有名称。在部分限定域中，或者如果无法确定全名的限定级别，则子域包含注册域下方的所有名称。例如，“www.east.mydomain.co.uk”的子域部分为“east”。如果域具有多个子域级别，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，没有尾随句点。

类型: keyword

示例: east

有效顶级域 (eTLD)，也称为域后缀，是域名最后的部分。例如，“example.com”的顶级域为“com”。可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表来准确确定此值。尝试通过简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不好。

类型: keyword

示例: co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

用户电子邮件地址。

类型: keyword

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

类型: match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

系统/平台上组的唯一标识符。

类型: keyword

组的名称。

类型: keyword

唯一的用户哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息并且不能使用，则很有用。

类型: keyword

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

用户的简短名称或登录名。

类型: keyword

示例: a.einstein

类型: match_only_text

事件发生时的用户角色数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

与事件关联的指标对象列表，以及该关联/丰富的内容。

类型：嵌套

包含与事件关联的指标的对象。

类型: object

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

组织名称。

类型: keyword

示例: Google LLC

类型: match_only_text

使用 STIX 2.1 框架附录 A 中定义的 None/Low/Medium/High 比例来标识供应商中立的置信度评级。供应商特定的置信度比例可以作为自定义字段添加。预期值为：* 未指定 * 无 * 低 * 中 * 高

类型: keyword

示例：中等

描述威胁进行的操作类型。

类型: keyword

示例：观察到 IP x.x.x.x 传递 Angler EK。

将威胁指标标识为电子邮件地址（无论方向如何）。

类型: keyword

示例：[email protected]

上次访问文件的时刻。请注意，并非所有文件系统都跟踪访问时间。

类型: date

文件属性的数组。属性名称因平台而异。以下是一些在此字段中预期的值的非详尽列表：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型: keyword

示例：["readonly", "system"]

用于对进程进行签名的哈希算法。当文件被同一个签名者使用不同的摘要算法签署多次时，此值可以区分签名。

类型: keyword

例如：sha256

布尔值，用于捕获签名是否存在。

类型：布尔值

例如：true

用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。该字段与 Apple *OS 相关。

类型: keyword

例如：com.apple.xpc.proxy

有关证书状态的附加信息。这对记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，请保持未填充。

类型: keyword

例如：ERROR_UNTRUSTED_ROOT

代码签名者的主体名称

类型: keyword

例如：Microsoft Corporation

用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。该字段与 Apple *OS 相关。

类型: keyword

例如：EQHXZ8M8AV

生成并签署代码签名的时间日期。

类型: date

例如：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由积极检查状态的工具填充。

类型：布尔值

例如：true

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，请保持未填充。

类型：布尔值

例如：true

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型: date

上次修改文件属性或元数据的时刻。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将在同一时间调整，因为 mtime 是文件的属性。

类型: date

文件的来源设备。

类型: keyword

示例：sda

文件所在的目录。如果适用，它应包含驱动器号。

类型: keyword

示例：/home/alice

文件所在的驱动器号。此字段仅与 Windows 相关。该值应为大写，不包含冒号。

类型: keyword

示例：C

ELF 文件的机器架构。

类型: keyword

示例：x86-64

ELF 文件的字节顺序。

类型: keyword

示例：Little Endian

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

在可能的情况下从文件元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型: date

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

ELF 文件的头部类别。

类型: keyword

ELF 头部的数据库。

类型: keyword

ELF 文件的头部入口点。

类型: long

格式: string

原始 ELF 文件为 "0x1"。

类型: keyword

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

ELF 文件的头部类型。

类型: keyword

ELF 头部的版本。

类型: keyword

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件中每个部分的对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

部分的卡方概率分布。

类型: long

格式：数字

从部分计算的香农熵。

类型: long

格式：数字

ELF 部分列表标志。

类型: keyword

ELF 部分列表名称。

类型: keyword

ELF 部分列表偏移量。

类型: keyword

ELF 部分列表物理大小。

类型: long

格式: bytes

ELF 部分列表类型。

类型: keyword

ELF 部分列表虚拟地址。

类型: long

格式: string

ELF 部分列表虚拟大小。

类型: long

格式: string

一个数组，包含 ELF 文件中每个段的对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型: keyword

ELF 对象段类型。

类型: keyword

此 ELF 对象使用的共享库列表。

类型: keyword

ELF 文件的 telfhash 符号哈希。

类型: keyword

文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名（例如，example.tar.gz）时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型: keyword

示例：png

fork 是与文件系统对象关联的附加数据。在 Linux 上，资源 fork 用于存储与文件系统对象关联的附加数据。文件始终至少有一个用于数据部分的 fork，并且可能存在其他 fork。在 NTFS 上，这类似于备用数据流 (ADS)，文件的默认数据流仅称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 的形式通常为：C:\path\to\filename.extension:some_fork_name，并且 some_fork_name 是应填充 fork_name 的值。 filename.extension 应填充 file.name，并且 extension 应填充 file.extension。完整路径 file.path 将包含 fork 名称。

类型: keyword

示例：Zone.Identifer

文件的首要组 ID (GID)。

类型: keyword

示例：1001

文件的首要组名。

类型: keyword

示例：alice

MD5 哈希。

类型: keyword

SHA1 哈希。

类型: keyword

SHA256 哈希。

类型: keyword

SHA512 哈希。

类型: keyword

SSDEEP 哈希。

类型: keyword

在文件系统中表示文件的 inode。

类型: keyword

示例：256383

MIME 类型应使用 IANA 官方类型 识别文件或字节流的格式，如果可能的话。当有多种类型适用时，应使用最具体的类型。

类型: keyword