› ›

ECS 字段

本节定义了 Elastic Common Schema (ECS) 字段 — 一组用于在 Elasticsearch 中存储事件数据的通用字段。

这是一个详尽的列表，此处列出的字段不一定会被 Metricbeat 使用。ECS 的目标是启用并鼓励 Elasticsearch 用户规范化他们的事件数据，以便他们更好地分析、可视化和关联事件中表示的数据。

有关更多信息，请参阅 ECS 参考。

@timestamp

事件产生的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

类型：日期

示例：2016-05-23T08:05:34.853Z

必填：True

labels

自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例：docker 和 k8s 标签。

类型：对象

示例：{"application": "foo-bar", "env": "production"}

message

对于日志事件，消息字段包含日志消息，针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志，可以连接其他字段以形成事件的易于理解的摘要。如果存在多个消息，可以将它们组合成一个消息。

类型：match_only_text

示例：Hello World

tags

用于标记每个事件的关键字列表。

类型：关键字

示例：["production", "env2"]

agent

agent 字段包含有关软件实体（如果有）的数据，该实体在主机上收集、检测或观察事件，或在主机上进行测量。示例包括 Beats。代理也可能在观察者上运行。ECS agent.* 字段应填充在发生事件或进行测量的宿主机或观察者上运行的代理的详细信息。

agent.build.original

代理的扩展构建信息。此字段旨在包含数据源可能提供的任何构建信息，不需要特定的格式。

类型：关键字

示例：metricbeat version 7.6.0 (amd64), libbeat 7.6.0 [6a23e8f8f30f5001ba344e4e54d8d9cb82cb107c built 2020-02-05 23:10:10 +0000 UTC]

agent.ephemeral_id

此代理的临时标识符（如果存在）。此 ID 通常在重启后更改，但 agent.id 不会更改。

类型：关键字

示例：8a4f500f

agent.id

此代理的唯一标识符（如果存在）。示例：对于 Beats，这将是 beat.id。

类型：关键字

示例：8a4f500d

agent.name

代理的自定义名称。这是一个可以赋予代理的名称。例如，如果两个 Filebeat 实例在同一主机上运行，但需要一个人类可读的区分来区分数据来自哪个 Filebeat 实例，这将非常有用。如果没有给定名称，则该名称通常为空。

类型：关键字

示例：foo

agent.type

代理的类型。代理类型始终保持不变，并且应由使用的代理给出。在 Filebeat 的情况下，代理将始终是 Filebeat，即使两个 Filebeat 实例在同一台机器上运行也是如此。

类型：关键字

示例：filebeat

agent.version

代理的版本。

类型：关键字

示例：6.0.0-rc2

as

自治系统 (AS) 是连接的互联网协议 (IP) 路由前缀的集合，由一个或多个网络运营商代表单个管理实体或域进行控制，该实体或域向互联网提供通用、明确定义的路由策略。

as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

as.organization.name

组织名称。

类型：关键字

示例：Google LLC

as.organization.name.text

类型：match_only_text

client

对于有关会话、连接或双向流记录的事件，客户端被定义为网络连接的发起者。对于 TCP 事件，客户端是发送 SYN 数据包的 TCP 连接的发起者。对于其他协议，客户端通常是网络事务中的发起者或请求者。某些系统使用术语“发起者”来指代 TCP 连接中的客户端。客户端字段描述有关在网络事件中充当客户端的系统的详细信息。客户端字段通常与服务器字段一起填充。客户端字段通常不为数据包级事件填充。客户端/服务器表示可以为交换添加语义上下文，这有助于在某些情况下可视化数据。如果您的上下文属于该类别，您仍然应确保正确填充源和目标。

client.address

某些事件客户端地址的定义是模棱两可的。事件有时会列出 IP、域或 unix 套接字。您应始终将原始地址存储在 .address 字段中。然后，应将其复制到 .ip 或 .domain，具体取决于它是哪一个。

类型：关键字

client.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

client.as.organization.name

组织名称。

类型：关键字

示例：Google LLC

client.as.organization.name.text

类型：match_only_text

client.bytes

从客户端发送到服务器的字节数。

类型：long

示例：184

格式：字节

client.domain

客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件或从充实中添加。

类型：关键字

示例：foo.example.com

client.geo.city_name

城市名称。

类型：关键字

示例：Montreal

client.geo.continent_code

代表大陆名称的两个字母的代码。

类型：关键字

示例：NA

client.geo.continent_name

大陆的名称。

类型：关键字

示例：North America

client.geo.country_iso_code

国家 ISO 代码。

类型：关键字

示例：CA

client.geo.country_name

国家名称。

类型：关键字

示例：Canada

client.geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

client.geo.name

用户定义的对位置的描述，其粒度级别是他们关心的。可以是他们的数据中心的名称，楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动地理位置。

类型：关键字

示例：boston-dc

client.geo.postal_code

与位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码，并且在各个国家/地区差异很大。

类型：关键字

示例：94040

client.geo.region_iso_code

区域 ISO 代码。

类型：关键字

示例：CA-QC

client.geo.region_name

区域名称。

类型：关键字

示例：Quebec

client.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

client.ip

客户端的 IP 地址（IPv4 或 IPv6）。

类型：ip

client.mac

客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个 [大写] 十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

类型：关键字

示例：00-00-5E-00-53-23

client.nat.ip

基于 NAT 会话的源的转换 IP（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

类型：ip

client.nat.port

基于 NAT 会话的源的转换端口（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

类型：long

格式：字符串

client.packets

从客户端发送到服务器的数据包。

类型：long

示例：12

client.port

客户端的端口。

类型：long

格式：字符串

client.registered_domain

剥离子域的最高注册客户端域。例如，“foo.example.com”的注册域是“example.com”。此值可以使用公共后缀列表之类的列表精确确定 (http://publicsuffix.org)。尝试通过简单地取最后两个标签来近似这一点对于诸如“co.uk”之类的 TLD 将不起作用。

类型：关键字

示例：example.com

client.subdomain

完全限定域名的子域部分包括注册域下的所有名称（主机名除外）。在部分限定的域中，或者如果无法确定全名的限定级别，则子域包含注册域下的所有名称。例如，“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，且不带尾随句点。

类型：关键字

示例：east

client.top_level_domain

有效顶级域名 (eTLD)，也称为域后缀，是域名的最后一部分。例如，example.com 的顶级域名是“com”。此值可以使用公共后缀列表之类的列表精确确定 (http://publicsuffix.org)。尝试通过简单地取最后一个标签来近似这一点对于诸如“co.uk”之类的有效 TLD 将不起作用。

类型：关键字

示例：co.uk

client.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

client.user.email

用户电子邮件地址。

类型：关键字

client.user.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

client.user.full_name.text

类型：match_only_text

client.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

client.user.group.id

系统/平台上该组的唯一标识符。

类型：关键字

client.user.group.name

组的名称。

类型：关键字

client.user.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.id 或 user.name 包含机密信息并且无法使用，则此方法很有用。

类型：关键字

client.user.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

client.user.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

client.user.name.text

类型：match_only_text

client.user.roles

事件发生时用户角色的数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

cloud

与事件来源的云或基础架构相关的字段。

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：关键字

示例：666777888999

cloud.account.name

用于在多租户环境中标识不同实体的云帐户名称或别名。示例：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：关键字

示例：elastic-dev

cloud.availability_zone

此主机、资源或服务所在的可用区。

类型：关键字

示例：us-east-1c

cloud.instance.id

主机计算机的实例 ID。

类型：关键字

示例：i-1234567890abcdef0

cloud.instance.name

主机计算机的实例名称。

类型：关键字

cloud.machine.type

主机计算机的机器类型。

类型：关键字

示例：t2.medium

cloud.origin.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：关键字

示例：666777888999

cloud.origin.account.name

用于在多租户环境中标识不同实体的云帐户名称或别名。示例：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：关键字

示例：elastic-dev

cloud.origin.availability_zone

此主机、资源或服务所在的可用区。

类型：关键字

示例：us-east-1c

cloud.origin.instance.id

主机计算机的实例 ID。

类型：关键字

示例：i-1234567890abcdef0

cloud.origin.instance.name

主机计算机的实例名称。

类型：关键字

cloud.origin.machine.type

主机计算机的机器类型。

类型：关键字

示例：t2.medium

cloud.origin.project.id

云项目标识符。示例：Google Cloud 项目 ID，Azure 项目 ID。

类型：关键字

示例：my-project

cloud.origin.project.name

云项目名称。示例：Google Cloud 项目名称，Azure 项目名称。

类型：关键字

示例：my project

cloud.origin.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型：关键字

示例：aws

cloud.origin.region

此主机、资源或服务所在的区域。

类型：关键字

示例：us-east-1

cloud.origin.service.name

云服务名称旨在区分在提供商内不同平台上运行的服务，例如 AWS EC2 与 Lambda，GCP GCE 与 App Engine，Azure VM 与 App Server。示例：app engine、app service、cloud run、fargate、lambda。

类型：关键字

示例：lambda

cloud.project.id

云项目标识符。示例：Google Cloud 项目 ID，Azure 项目 ID。

类型：关键字

示例：my-project

cloud.project.name

云项目名称。示例：Google Cloud 项目名称，Azure 项目名称。

类型：关键字

示例：my project

cloud.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型：关键字

示例：aws

cloud.region

此主机、资源或服务所在的区域。

类型：关键字

示例：us-east-1

cloud.service.name

类型：关键字

示例：lambda

cloud.target.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：关键字

示例：666777888999

cloud.target.account.name

用于在多租户环境中标识不同实体的云帐户名称或别名。示例：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：关键字

示例：elastic-dev

cloud.target.availability_zone

此主机、资源或服务所在的可用区。

类型：关键字

示例：us-east-1c

cloud.target.instance.id

主机计算机的实例 ID。

类型：关键字

示例：i-1234567890abcdef0

cloud.target.instance.name

主机计算机的实例名称。

类型：关键字

cloud.target.machine.type

主机计算机的机器类型。

类型：关键字

示例：t2.medium

cloud.target.project.id

云项目标识符。示例：Google Cloud 项目 ID，Azure 项目 ID。

类型：关键字

示例：my-project

cloud.target.project.name

云项目名称。示例：Google Cloud 项目名称，Azure 项目名称。

类型：关键字

示例：my project

cloud.target.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型：关键字

示例：aws

cloud.target.region

此主机、资源或服务所在的区域。

类型：关键字

示例：us-east-1

cloud.target.service.name

类型：关键字

示例：lambda

code_signature

这些字段包含有关二进制代码签名的信息。

code_signature.digest_algorithm

用于签署进程的哈希算法。当一个文件被同一个签名者多次签名但使用不同的摘要算法时，此值可以区分签名。

类型：关键字

示例：sha256

code_signature.exists

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

code_signature.signing_id

用于签署进程的标识符。此标识符用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

code_signature.status

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

code_signature.team_id

用于签署进程的团队标识符。此标识符用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

code_signature.timestamp

代码签名生成和签署的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段仅应由主动检查状态的工具填充。

类型：布尔值

示例：true

code_signature.valid

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，请留空。

类型：布尔值

示例：true

container

容器字段用于有关作为信息来源的特定容器的元信息。这些字段有助于根据任何运行时的容器关联数据。

container.cpu.usage

CPU 使用率百分比，按 CPU 核心数量进行标准化，范围为 0 到 1。比例因子：1000。

类型：scaled_float

container.disk.read.bytes

自上次指标收集以来，成功读取的总字节数（来自所有磁盘的聚合）。

类型：long

container.disk.write.bytes

自上次指标收集以来，成功写入的总字节数（来自所有磁盘的聚合）。

类型：long

container.id

唯一的容器 ID。

类型：关键字

container.image.name

构建容器的镜像的名称。

类型：关键字

container.image.tag

容器镜像标签。

类型：关键字

container.labels

镜像标签。

类型：对象

container.memory.usage

内存使用率百分比，范围为 0 到 1。比例因子：1000。

类型：scaled_float

container.name

容器名称。

类型：关键字

container.network.egress.bytes

自上次指标收集以来，容器在所有网络接口上发送出的字节数。

类型：long

container.network.ingress.bytes

自上次指标收集以来，容器在所有网络接口上接收的字节数。

类型：long

container.runtime

管理此容器的运行时。

类型：关键字

示例：docker

data_stream

data_stream 字段参与定义新的数据流命名方案。在新的数据流命名方案中，数据流字段的值以下列方式组合为实际数据流的名称：{data_stream.type}-{data_stream.dataset}-{data_stream.namespace}。这意味着这些字段只能包含作为数据流名称有效部分的字符。有关此内容的更多详细信息，请参见此博客文章。Elasticsearch 数据流由一个或多个后备索引组成，数据流名称构成后备索引名称的一部分。由于此约定，数据流还必须遵循索引命名限制。例如，数据流名称不能包含 \, /, *, ?, ", <, >, |, ` `（空格字符）, , 或 #。有关其他限制，请参阅 Elasticsearch 参考。

data_stream.dataset

该字段可以包含任何可以用来表示数据来源的内容。示例包括 nginx.access, prometheus, endpoint 等。对于其他方面符合但未设置数据集的数据流，我们使用值“generic”作为数据集值。event.dataset 应与 data_stream.dataset 具有相同的值。除了上述 Elasticsearch 数据流命名标准外，dataset 值还有其他限制：* 不得包含 - * 不得超过 100 个字符

类型：constant_keyword

示例：nginx.access

data_stream.namespace

用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织其索引，并且数据流命名方案现在将此最佳实践作为默认设置提供。许多用户将使用 default 填充此字段。如果不使用任何值，则会回退到 default。除了上面提到的 Elasticsearch 索引命名标准外，namespace 值还有其他限制：* 不得包含 - * 不得超过 100 个字符

类型：constant_keyword

示例：production

data_stream.type

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们希望在不久的将来也添加“traces”和“synthetics”。

类型：constant_keyword

示例：logs

destination

目标字段捕获有关网络交换/数据包接收者的详细信息。这些字段是从网络事件、数据包或其他包含网络事务详细信息的事件中填充的。目标字段通常与源字段一起填充。源字段和目标字段被认为是基线，如果事件包含来自网络事务的源和目标详细信息，则应始终填写。如果事件还包含客户端和服务器角色的标识，则还应填写客户端和服务器字段。

destination.address

某些事件目标地址的定义不明确。事件有时会列出 IP、域或 unix 套接字。您应始终将原始地址存储在 .address 字段中。然后应将其复制到 .ip 或 .domain，具体取决于它是哪个。

类型：关键字

destination.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

destination.as.organization.name

组织名称。

类型：关键字

示例：Google LLC

destination.as.organization.name.text

类型：match_only_text

destination.bytes

从目标发送到源的字节数。

类型：long

示例：184

格式：字节

destination.domain

目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能从富化中添加。

类型：关键字

示例：foo.example.com

destination.geo.city_name

城市名称。

类型：关键字

示例：Montreal

destination.geo.continent_code

代表大陆名称的两个字母的代码。

类型：关键字

示例：NA

destination.geo.continent_name

大陆的名称。

类型：关键字

示例：North America

destination.geo.country_iso_code

国家 ISO 代码。

类型：关键字

示例：CA

destination.geo.country_name

国家名称。

类型：关键字

示例：Canada

destination.geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

destination.geo.name

类型：关键字

示例：boston-dc

destination.geo.postal_code

与位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码，并且在各个国家/地区差异很大。

类型：关键字

示例：94040

destination.geo.region_iso_code

区域 ISO 代码。

类型：关键字

示例：CA-QC

destination.geo.region_name

区域名称。

类型：关键字

示例：Quebec

destination.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

destination.ip

目标的 IP 地址（IPv4 或 IPv6）。

类型：ip

destination.mac

目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

类型：关键字

示例：00-00-5E-00-53-23

destination.nat.ip

基于 NAT 会话的目标的转换 IP（例如，Internet 到专用 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

类型：ip

destination.nat.port

源会话由 NAT 设备转换为的端口。通常与负载均衡器、防火墙或路由器一起使用。

类型：long

格式：字符串

destination.packets

从目标发送到源的数据包。

类型：long

示例：12

destination.port

目标的端口。

类型：long

格式：字符串

destination.registered_domain

最高的已注册目标域，去除子域。例如，“foo.example.com”的已注册域为“example.com”。可以使用像公共后缀列表这样的列表精确地确定此值 (http://publicsuffix.org)。尝试仅取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将不能很好地工作。

类型：关键字

示例：example.com

destination.subdomain

类型：关键字

示例：east

destination.top_level_domain

类型：关键字

示例：co.uk

destination.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

destination.user.email

用户电子邮件地址。

类型：关键字

destination.user.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

destination.user.full_name.text

类型：match_only_text

destination.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

destination.user.group.id

系统/平台上该组的唯一标识符。

类型：关键字

destination.user.group.name

组的名称。

类型：关键字

destination.user.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.id 或 user.name 包含机密信息并且无法使用，则此方法很有用。

类型：关键字

destination.user.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

destination.user.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

destination.user.name.text

类型：match_only_text

destination.user.roles

事件发生时用户角色的数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

dll

这些字段包含有关动态加载到进程中的代码库的信息。

许多操作系统使用不同的名称来指代“共享代码库”，但此字段集指的是以下所有内容： * 在 Windows 上常用的动态链接库 (.dll) * 在类 Unix 操作系统上常用的共享对象 (.so) * 在 macOS 上常用的动态库 (.dylib)

dll.code_signature.digest_algorithm

用于签署进程的哈希算法。当一个文件被同一个签名者多次签名但使用不同的摘要算法时，此值可以区分签名。

类型：关键字

示例：sha256

dll.code_signature.exists

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

dll.code_signature.signing_id

用于签署进程的标识符。此标识符用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

dll.code_signature.status

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

dll.code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

dll.code_signature.team_id

用于签署进程的团队标识符。此标识符用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

dll.code_signature.timestamp

代码签名生成和签署的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

dll.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段仅应由主动检查状态的工具填充。

类型：布尔值

示例：true

dll.code_signature.valid

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，请留空。

类型：布尔值

示例：true

dll.hash.md5

MD5 哈希值。

类型：关键字

dll.hash.sha1

SHA1 哈希值。

类型：关键字

dll.hash.sha256

SHA256 哈希值。

类型：关键字

dll.hash.sha512

SHA512 哈希值。

类型：关键字

dll.hash.ssdeep

SSDEEP 哈希值。

类型：关键字

dll.name

库的名称。这通常映射到磁盘上的文件名。

类型：关键字

示例：kernel32.dll

dll.path

库的完整文件路径。

类型：关键字

示例：C:\Windows\System32\kernel32.dll

dll.pe.architecture

文件的目标 CPU 架构。

类型：关键字

示例：x64

dll.pe.company

文件内部的公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

dll.pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

dll.pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

dll.pe.imphash

PE 文件中导入的哈希值。imphash（或导入哈希）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后，这些转换会更改更传统的哈希值。请访问 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

dll.pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

dll.pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

dns

描述 DNS 查询和应答的字段。DNS 事件应表示获取应答之前的单个 DNS 查询 (dns.type:query)，或者应表示完整的交换，并包含查询详细信息以及为此查询提供的所有应答 (dns.type:answer)。

dns.answers

包含服务器返回的每个应答部分的对象数组。这些对象中应存在的主要键由 ECS 定义。具有更多信息的记录可能包含比 ECS 定义的更多的键。并非所有 DNS 数据源都提供有关 DNS 应答的所有详细信息。至少，应答对象必须包含 data 键。如果提供更多信息，请尽可能将其映射到 ECS，并将任何其他字段添加到应答对象作为自定义字段。

类型：对象

dns.answers.class

此资源记录中包含的 DNS 数据的类。

类型：关键字

示例：IN

dns.answers.data

描述资源的数据。此数据的含义取决于资源记录的类型和类。

类型：关键字

示例：10.10.10.10

dns.answers.name

此资源记录所属的域名。如果要解析 CNAME 链，则每个应答的 name 应与应答的 data 对应的域名。它不应只是重复原始的 question.name。

类型：关键字

示例：www.example.com

dns.answers.ttl

此资源记录在被丢弃之前可以缓存的时间间隔（以秒为单位）。零值表示数据不应缓存。

类型：long

示例：180

dns.answers.type

此资源记录中包含的数据类型。

类型：关键字

示例：CNAME

dns.header_flags

2 个字母的 DNS 标头标志数组。预期值为：AA、TC、RD、RA、AD、CD、DO。

类型：关键字

示例：["RD", "RA"]

dns.id

生成查询的程序分配的 DNS 数据包标识符。该标识符被复制到响应中。

类型：关键字

示例：62111

dns.op_code

指定消息中查询类型的 DNS 操作码。此值由查询的发起者设置并复制到响应中。

类型：关键字

示例：QUERY

dns.question.class

正在查询的记录的类。

类型：关键字

示例：IN

dns.question.name

正在查询的名称。如果 name 字段包含不可打印字符（低于 32 或高于 126），则应将这些字符表示为转义的十进制整数 (\DDD)。应转义反斜杠和引号。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

类型：关键字

示例：www.example.com

dns.question.registered_domain

最高注册域名，不包含子域名。例如，“foo.example.com”的注册域名是“example.com”。可以使用公共后缀列表 (http://publicsuffix.org) 等列表来精确确定此值。如果只是取最后两个标签，则对于“co.uk”等顶级域名将无法很好地工作。

类型：关键字

示例：example.com

dns.question.subdomain

子域名是 registered_domain 下的所有标签。如果域名具有多个级别的子域名，例如“sub2.sub1.example.com”，则子域名字段应包含“sub2.sub1”，不包含尾随句点。

类型：关键字

示例：www

dns.question.top_level_domain

类型：关键字

示例：co.uk

dns.question.type

正在查询的记录的类型。

类型：关键字

示例：AAAA

dns.resolved_ip

包含 answers.data 中看到的所有 IP 的数组。answers 数组可能难以使用，因为它可能包含各种数据格式。将其中看到的所有 IP 地址提取到 dns.resolved_ip 中，可以将其作为 IP 地址进行索引，并且更容易可视化和查询。

类型：ip

示例：["10.10.10.10", "10.10.10.11"]

dns.response_code

DNS 响应代码。

类型：关键字

示例：NOERROR

dns.type

捕获的 DNS 事件的类型，查询或应答。如果您的 DNS 事件源仅为您提供 DNS 查询，则您应仅创建类型为 dns.type:query 的 DNS 事件。如果您的 DNS 事件源也为您提供应答，则您应为每个查询创建一个事件（可以选择在看到查询时立即创建）。并创建第二个事件，其中包含所有查询详细信息以及应答数组。

类型：关键字

示例：answer

ecs

特定于 ECS 的元信息。

ecs.version

此事件符合的 ECS 版本。ecs.version 是一个必填字段，必须存在于所有事件中。在跨多个索引（可能符合略微不同的 ECS 版本）进行查询时，此字段允许集成适应事件的模式版本。

类型：关键字

示例：1.0.0

必填：True

elf

这些字段包含 Linux 可执行链接格式 (ELF) 元数据。

elf.architecture

ELF 文件的机器架构。

类型：关键字

示例：x86-64

elf.byte_order

ELF 文件的字节顺序。

类型：关键字

示例：小端

elf.cpu_type

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

elf.creation_date

在可能的情况下，从文件的元数据中提取。指示构建或编译的时间。它也可以被恶意软件创建者伪造。

类型：日期

elf.exports

导出的元素名称和类型列表。

类型：扁平化

elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

elf.header.class

ELF 文件的标头类。

类型：关键字

elf.header.data

ELF 标头的数据表。

类型：关键字

elf.header.entrypoint

ELF 文件的标头入口点。

类型：long

格式：字符串

elf.header.object_version

原始 ELF 文件的“0x1”。

类型：关键字

elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

elf.header.type

ELF 文件的标头类型。

类型：关键字

elf.header.version

ELF 标头的版本。

类型：关键字

elf.imports

导入的元素名称和类型列表。

类型：扁平化

elf.sections

包含 ELF 文件每个部分的对象数组。这些对象中应存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

elf.sections.chi2

该部分的卡方概率分布。

类型：long

格式：数字

elf.sections.entropy

来自该部分的香农熵计算。

类型：long

格式：数字

elf.sections.flags

ELF 部分列表标志。

类型：关键字

elf.sections.name

ELF 部分列表名称。

类型：关键字

elf.sections.physical_offset

ELF 部分列表偏移量。

类型：关键字

elf.sections.physical_size

ELF 部分列表物理大小。

类型：long

格式：字节

elf.sections.type

ELF 部分列表类型。

类型：关键字

elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型：long

格式：字符串

elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型：long

格式：字符串

elf.segments

包含 ELF 文件每个段的对象数组。这些对象中应存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

elf.segments.sections

ELF 对象段部分。

类型：关键字

elf.segments.type

ELF 对象段类型。

类型：关键字

elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：关键字

elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型：关键字

error

这些字段可以表示任何类型的错误。将其用于在获取事件时发生的错误或事件本身包含错误的情况。

error.code

描述错误的错误代码。

类型：关键字

error.id

错误的唯一标识符。

类型：关键字

error.message

错误消息。

类型：match_only_text

error.stack_trace

此错误的堆栈跟踪（纯文本）。

类型：通配符

error.stack_trace.text

类型：match_only_text

error.type

错误的类型，例如异常的类名称。

类型：关键字

示例：java.lang.NullPointerException

event

事件字段用于有关日志或指标事件本身的上下文信息。日志被定义为包含所发生事件详细信息的事件。日志事件必须包括事件发生的时间。日志事件的示例包括主机上启动的进程、从源发送到目标网络的网络数据包，或客户端和服务器之间启动或关闭的网络连接。指标被定义为包含一个或多个数值测量值以及进行测量的时间的事件。指标事件的示例包括主机上测量的内存压力和设备温度。有关指标和状态事件的更多详细信息，请参阅本节中的 event.kind 定义。

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例包括 group-add、process-started、file-created。该值通常由实施者定义。

类型：关键字

示例：user-password-change

event.agent_id_status

代理通常负责填充 agent.id 字段值。如果接收事件的系统能够基于客户端的身份验证信息来验证该值，则此字段可用于反映该验证的结果。例如，如果代理的连接通过 mTLS 进行了身份验证，并且客户端证书包含颁发给该代理的 ID，则可以对照证书检查事件中的 agent.id 值。如果值匹配，则将 event.agent_id_status: verified 添加到事件中，否则应使用其他允许的值之一。如果未执行验证，则应省略该字段。允许的值为：verified - agent.id 字段值与从身份验证元数据中获得的预期值匹配。mismatch - agent.id 字段值与从身份验证元数据中获得的预期值不匹配。missing - 事件中没有要验证的 agent.id 字段。auth_metadata_missing - 没有身份验证元数据，或者它缺少关于代理 ID 的信息。

类型：关键字

示例：verified

event.category

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第二级。event.category 表示 ECS 类别的“大桶”。例如，筛选 event.category:process 会产生所有与进程活动相关的事件。此字段与 event.type 密切相关，后者用作子类别。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。

类型：关键字

示例：authentication

event.code

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确标识消息，而不管消息语言或随着时间的推移进行的措辞调整。一个例子是 Windows 事件 ID。

类型：关键字

示例：4648

event.created

event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。可以使用此差异来计算源生成事件与代理首次处理事件之间的时间延迟。这可用于监视您的代理或管道跟上事件源的能力。如果两个时间戳相同，则应使用 @timestamp。

类型：日期

示例：2016-05-23T08:05:34.857Z

event.dataset

数据集的名称。如果一个事件源发布多种类型的日志或事件（例如，访问日志、错误日志），则数据集用于指定事件来自哪个。建议但不强制要求数据集名称以模块名称开头，后跟一个点，然后是数据集名称。

类型：关键字

示例：apache.access

event.duration

事件的持续时间（以纳秒为单位）。如果已知 event.start 和 event.end，则此值应为结束时间和开始时间之间的差值。

类型：long

格式：duration

event.end

event.end 包含事件结束或上次观察到活动时的日期。

类型：日期

event.hash

原始字段的哈希值（可能是 logstash 指纹），以便能够证明日志的完整性。

类型：关键字

示例：123456789012345678901234567890ABCD

event.id

描述事件的唯一 ID。

类型：关键字

示例：8a4f500d

event.ingested

事件到达中央数据存储区的时间戳。这与 @timestamp 不同，后者是事件最初发生的时间。它也与 event.created 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳应按时间顺序如下所示：@timestamp < event.created < event.ingested。

类型：日期

示例：2016-05-23T08:05:35.101Z

event.kind

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最高级别。event.kind 提供关于事件包含的信息类型的高级信息，而不具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留、不同的访问控制，它还有助于了解数据是否以固定的时间间隔传入。

类型：关键字

示例：alert

event.module

此数据来自的模块的名称。如果您的监视代理支持模块或插件的概念来处理给定来源的事件（例如，Apache 日志），则 event.module 应包含此模块的名称。

类型：关键字

示例：apache

event.original

整个事件的原始文本消息。用于演示日志的完整性，或者在可能需要完整日志消息（在将其拆分为多个部分之前）的情况下，例如，用于重新索引。此字段未编制索引，并且禁用了 doc_values。它不能被搜索，但可以从 _source 中检索。如果用户希望覆盖此项并索引此字段，请参阅 Elasticsearch 参考中的 字段数据类型。

类型：关键字

该字段未被索引。

event.outcome

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最低级别。event.outcome 仅表示从产生事件的实体的角度来看，该事件是表示成功还是失败。请注意，当在多个事件中描述单个事务时，每个事件可能根据其角度填充不同的 event.outcome 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能从事件生产者角度捕获总体成功或失败的值。此外，并非所有事件都会有相关结果。例如，对于指标事件、具有 event.type:info 的事件或任何没有逻辑意义的结果的事件，此字段通常不填充。

类型：关键字

示例：success

event.provider

事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件名称（例如，Sysmon、httpd），或操作系统子系统（内核、Microsoft-Windows-Security-Auditing）的名称。

类型：关键字

示例：kernel

event.reason

根据来源，此事件发生的原因。这描述了事件中捕获的特定操作或结果的原因。如果 event.action 从事件中捕获操作，则 event.reason 描述采取该操作的原因。例如，具有 event.action 的 Web 代理拒绝该请求，也可能会使用原因（例如，blocked site）填充 event.reason。

类型：关键字

示例：Terminated an unexpected process

event.reference

链接到有关此事件的更多信息的参考 URL。此 URL 链接到此事件的静态定义。由 event.kind:alert 指示的警报事件是此字段的常见用例。

类型：关键字

示例：https://system.example.com/event/#0001234

event.risk_score

事件的风险评分或优先级（例如，安全解决方案）。在此处使用您系统的原始值。

类型：float

event.risk_score_norm

事件的标准化风险评分或优先级，范围为 0 到 100。如果您使用多个分配风险评分的系统，并且您想要查看所有系统的标准化值，则此功能主要有用。

类型：float

event.sequence

事件的序列号。序列号是某些事件源发布的值，用于明确事件的确切顺序，而不管时间戳的精度如何。

类型：long

格式：字符串

event.severity

根据您的事件来源，事件的数字严重性。不同严重性值的含义在不同的来源和用例之间可能有所不同。由实现者确保来自同一来源的事件的严重性一致。Syslog 严重性属于 log.syslog.severity.code。event.severity 旨在表示根据事件来源（例如，防火墙、IDS）的严重性。如果事件源没有发布自己的严重性，您可以选择将 log.syslog.severity.code 复制到 event.severity。

类型：long

示例：7

格式：字符串

event.start

event.start 包含事件开始或首次观察到活动时的日期。

类型：日期

event.timezone

当事件的时间戳不包含时区信息时（例如，默认的 Syslog 时间戳），应填充此字段。否则，它是可选的。可接受的时区格式为：规范 ID（例如，“Europe/Amsterdam”）、缩写形式（例如，“EST”）或 HH:mm 差值（例如，“-05:00”）。

类型：关键字

event.type

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第三级。event.type 表示一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件筛选到适合单个可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的某些事件进行正确的分类。

类型：关键字

event.url

链接到外部系统以继续调查此事件的 URL。此 URL 链接到另一个系统，可以在该系统中对该事件的特定发生情况进行深入调查。由 event.kind:alert 指示的警报事件是此字段的常见用例。

类型：关键字

示例：https://mysystem.example.com/alert/5271dedb-f5b0-4218-87f0-4ac4870a38fe

faas

用户字段描述有关与事件相关的函数即服务的信息。

faas.coldstart

布尔值，指示函数的冷启动。

类型：布尔值

faas.execution

当前函数执行的执行 ID。

类型：关键字

示例：af9d5aa4-a685-4c5f-a22b-444f80b3cc28

faas.trigger

有关函数触发器的详细信息。

类型：嵌套

faas.trigger.request_id

触发器请求、消息、事件等的 ID。

类型：关键字

示例：123456789

faas.trigger.type

函数执行的触发器。预期值为：* http * pubsub * datasource * timer * other

类型：关键字

示例：http

file

文件定义为在文件系统上创建或已存在于文件系统上的一组信息。文件对象可以与主机事件、网络事件和/或文件事件（例如，由文件完整性监视 [FIM] 产品或服务生成的事件）相关联。文件字段提供有关与事件或指标关联的受影响文件的详细信息。

file.accessed

上次访问文件的时间。请注意，并非所有文件系统都会跟踪访问时间。

类型：日期

file.attributes

文件属性数组。属性名称将因平台而异。以下是此字段中预期值的非详尽列表：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型：关键字

示例：["readonly", "system"]

file.code_signature.digest_algorithm

用于签署进程的哈希算法。当一个文件被同一个签名者多次签名但使用不同的摘要算法时，此值可以区分签名。

类型：关键字

示例：sha256

file.code_signature.exists

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

file.code_signature.signing_id

用于签署进程的标识符。此标识符用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

file.code_signature.status

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

file.code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

file.code_signature.team_id

用于签署进程的团队标识符。此标识符用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

file.code_signature.timestamp

代码签名生成和签署的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段仅应由主动检查状态的工具填充。

类型：布尔值

示例：true

file.code_signature.valid

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，请留空。

类型：布尔值

示例：true

file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型：日期

file.ctime

上次更改文件属性或元数据的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将同时调整，因为 mtime 是文件的属性。

类型：日期

file.device

作为文件来源的设备。

类型：关键字

示例：sda

file.directory

文件所在的目录。它应包括盘符（如果适用）。

类型：关键字

示例：/home/alice

file.drive_letter

文件所在的盘符。此字段仅在 Windows 上相关。值应为大写，且不包含冒号。

类型：关键字

示例：C

file.elf.architecture

ELF 文件的机器架构。

类型：关键字

示例：x86-64

file.elf.byte_order

ELF 文件的字节顺序。

类型：关键字

示例：小端

file.elf.cpu_type

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

file.elf.creation_date

在可能的情况下，从文件的元数据中提取。指示构建或编译的时间。它也可以被恶意软件创建者伪造。

类型：日期

file.elf.exports

导出的元素名称和类型列表。

类型：扁平化

file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

file.elf.header.class

ELF 文件的标头类。

类型：关键字

file.elf.header.data

ELF 标头的数据表。

类型：关键字

file.elf.header.entrypoint

ELF 文件的标头入口点。

类型：long

格式：字符串

file.elf.header.object_version

原始 ELF 文件的“0x1”。

类型：关键字

file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

file.elf.header.type

ELF 文件的标头类型。

类型：关键字

file.elf.header.version

ELF 标头的版本。

类型：关键字

file.elf.imports

导入的元素名称和类型列表。

类型：扁平化

file.elf.sections

包含 ELF 文件每个部分的对象数组。这些对象中应存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

file.elf.sections.chi2

该部分的卡方概率分布。

类型：long

格式：数字

file.elf.sections.entropy

来自该部分的香农熵计算。

类型：long

格式：数字

file.elf.sections.flags

ELF 部分列表标志。

类型：关键字

file.elf.sections.name

ELF 部分列表名称。

类型：关键字

file.elf.sections.physical_offset

ELF 部分列表偏移量。

类型：关键字

file.elf.sections.physical_size

ELF 部分列表物理大小。

类型：long

格式：字节

file.elf.sections.type

ELF 部分列表类型。

类型：关键字

file.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型：long

格式：字符串

file.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型：long

格式：字符串

file.elf.segments

包含 ELF 文件每个段的对象数组。这些对象中应存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

file.elf.segments.sections

ELF 对象段部分。

类型：关键字

file.elf.segments.type

ELF 对象段类型。

类型：关键字

file.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：关键字

file.elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型：关键字

file.extension

文件扩展名，不包括前导点。请注意，当文件名有多个扩展名 (例如 example.tar.gz) 时，应仅捕获最后一个扩展名 (“gz”，而不是 “tar.gz”)。

类型：关键字

示例：png

file.fork_name

分支是与文件系统对象关联的附加数据。在 Linux 上，资源分支用于存储文件系统对象的附加数据。文件始终至少有一个用于数据部分的分支，并且可能存在其他分支。在 NTFS 上，这类似于备用数据流 (ADS)，文件的默认数据流仅称为 $DATA。Windows 通常使用 Zone.Identifier 来跟踪从 Internet 下载的内容。ADS 通常采用以下格式：C:\path\to\filename.extension:some_fork_name，而 some_fork_name 是应填充 fork_name 的值。filename.extension 应填充 file.name，而 extension 应填充 file.extension。完整路径 file.path 将包含分支名称。

类型：关键字

示例：Zone.Identifer

file.gid

文件的主组 ID (GID)。

类型：关键字

示例：1001

file.group

文件的主组名称。

类型：关键字

示例：alice

file.hash.md5

MD5 哈希值。

类型：关键字

file.hash.sha1

SHA1 哈希值。

类型：关键字

file.hash.sha256

SHA256 哈希值。

类型：关键字

file.hash.sha512

SHA512 哈希值。

类型：关键字

file.hash.ssdeep

SSDEEP 哈希值。

类型：关键字

file.inode

表示文件系统中文件的 inode。

类型：关键字

示例：256383

file.mime_type

MIME 类型应尽可能使用 IANA 官方类型标识文件或字节流的格式。如果适用多个类型，则应使用最具体的类型。

类型：关键字

file.mode

文件的八进制表示法模式。

类型：关键字

示例：0640

file.mtime

上次修改文件内容的时间。

类型：日期

file.name

文件的名称，包括扩展名，不包括目录。

类型：关键字

示例：example.png

file.owner

文件所有者的用户名。

类型：关键字

示例：alice

file.path

文件的完整路径，包括文件名。如果适用，应包括盘符。

类型：关键字

示例：/home/alice/example.png

file.path.text

类型：match_only_text

file.pe.architecture

文件的目标 CPU 架构。

类型：关键字

示例：x64

file.pe.company

文件内部的公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

file.pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

file.pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

file.pe.imphash

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

file.pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

file.pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

file.size

文件大小（以字节为单位）。仅当 file.type 为 “file” 时相关。

类型：long

示例：16384

file.target_path

符号链接的目标路径。

类型：关键字

file.target_path.text

类型：match_only_text

file.type

文件类型（file、dir 或 symlink）。

类型：关键字

示例：file

file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型：关键字

示例：1001

file.x509.alternative_names

使用者备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）和电子邮件地址。

类型：关键字

示例：*.elastic.co

file.x509.issuer.common_name

颁发证书颁发机构的公用名 (CN) 列表。

类型：关键字

示例：Example SHA2 High Assurance Server CA

file.x509.issuer.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

file.x509.issuer.distinguished_name

颁发证书颁发机构的可分辨名称 (DN)。

类型：关键字

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

file.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

示例：Mountain View

file.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

示例：Example Inc

file.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

file.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

file.x509.not_after

证书不再被视为有效的时间。

类型：日期

示例：2020-07-16 03:15:39+00:00

file.x509.not_before

首次认为证书有效的时间。

类型：日期

示例：2019-08-16 01:40:25+00:00

file.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

示例：RSA

file.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是算法特定的。

类型：关键字

示例：nistp521

file.x509.public_key_exponent

用于推导公钥的指数。这是算法特定的。

类型：long

示例：65537

该字段未被索引。

file.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：long

示例：2048

file.x509.serial_number

证书颁发机构颁发的唯一序列号。为了保持一致性，如果此值为字母数字，则其格式应不带冒号且为大写字符。

类型：关键字

示例：55FBB9C7DEBF09809D12CCAA

file.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

示例：SHA256-RSA

file.x509.subject.common_name

使用者公用名 (CN) 列表。

类型：关键字

示例：shared.global.example.net

file.x509.subject.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

file.x509.subject.distinguished_name

证书使用者实体的可分辨名称 (DN)。

类型：关键字

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

file.x509.subject.locality

地区名称 (L) 列表

类型：关键字

示例：San Francisco

file.x509.subject.organization

使用者的组织 (O) 列表。

类型：关键字

示例：Example, Inc.

file.x509.subject.organizational_unit

使用者的组织单位 (OU) 列表。

类型：关键字

file.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

file.x509.version_number

x509 格式的版本。

类型：关键字

示例：3

geo

地理位置字段可以携带关于与事件相关的特定位置的数据。此地理位置信息可以从诸如地理 IP 之类的技术中导出，也可以是用户提供的。

geo.city_name

城市名称。

类型：关键字

示例：Montreal

geo.continent_code

代表大陆名称的两个字母的代码。

类型：关键字

示例：NA

geo.continent_name

大陆的名称。

类型：关键字

示例：North America

geo.country_iso_code

国家 ISO 代码。

类型：关键字

示例：CA

geo.country_name

国家名称。

类型：关键字

示例：Canada

geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

geo.name

类型：关键字

示例：boston-dc

geo.postal_code

与位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码，并且在各个国家/地区差异很大。

类型：关键字

示例：94040

geo.region_iso_code

区域 ISO 代码。

类型：关键字

示例：CA-QC

geo.region_name

区域名称。

类型：关键字

示例：Quebec

geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

group

组字段旨在表示与事件相关的组。

group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

group.id

系统/平台上该组的唯一标识符。

类型：关键字

group.name

组的名称。

类型：关键字

hash

哈希字段表示不同的按位哈希算法及其值。预定义了常见哈希（例如 MD5、SHA1）的字段名称。通过将哈希算法名称小写并根据需要使用下划线分隔符（蛇形大小写，例如 sha3_512）来添加其他哈希的字段。请注意，此字段集用于可能在各种通用字节上计算的常见哈希。特定于实体的哈希（例如 ja3 或 imphash）放置在其相关的字段集中（分别为 tls 和 pe）。

hash.md5

MD5 哈希值。

类型：关键字

hash.sha1

SHA1 哈希值。

类型：关键字

hash.sha256

SHA256 哈希值。

类型：关键字

hash.sha512

SHA512 哈希值。

类型：关键字

hash.ssdeep

SSDEEP 哈希值。

类型：关键字

host

主机定义为通用计算实例。ECS host.* 字段应填充事件发生或进行测量的有关主机的详细信息。主机类型包括硬件、虚拟机、Docker 容器和 Kubernetes 节点。

host.architecture

操作系统体系结构。

类型：关键字

示例：x86_64

host.cpu.usage

使用的 CPU 百分比，该值通过 CPU 核心数量进行规范化，范围为 0 到 1。缩放系数：1000。例如：对于一个双核主机，此值应为两个核心的平均值，介于 0 和 1 之间。

类型：scaled_float

host.disk.read.bytes

自上次指标收集以来，成功读取的总字节数（来自所有磁盘的聚合）。

类型：long

host.disk.write.bytes

自上次指标收集以来，成功写入的总字节数（来自所有磁盘的聚合）。

类型：long

host.domain

主机所属域的名称。例如，在 Windows 上，这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可能是主机 LDAP 提供商的域。

类型：关键字

示例：CONTOSO

host.geo.city_name

城市名称。

类型：关键字

示例：Montreal

host.geo.continent_code

代表大陆名称的两个字母的代码。

类型：关键字

示例：NA

host.geo.continent_name

大陆的名称。

类型：关键字

示例：North America

host.geo.country_iso_code

国家 ISO 代码。

类型：关键字

示例：CA

host.geo.country_name

国家名称。

类型：关键字

示例：Canada

host.geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

host.geo.name

类型：关键字

示例：boston-dc

host.geo.postal_code

与位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码，并且在各个国家/地区差异很大。

类型：关键字

示例：94040

host.geo.region_iso_code

区域 ISO 代码。

类型：关键字

示例：CA-QC

host.geo.region_name

区域名称。

类型：关键字

示例：Quebec

host.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

host.hostname

主机的 hostname。它通常包含主机上的 hostname 命令返回的内容。

类型：关键字

host.id

唯一主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。示例：beat.name 的当前用法。

类型：关键字

host.ip

主机 IP 地址。

类型：ip

host.mac

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节由连字符分隔。

类型：关键字

示例：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

类型：关键字

host.network.egress.bytes

自上次指标收集以来，主机在所有网络接口上发出的字节数（计数器）。

类型：long

host.network.egress.packets

自上次指标收集以来，主机在所有网络接口上发出的数据包数（计数器）。

类型：long

host.network.ingress.bytes

自上次指标收集以来，主机在所有网络接口上接收的字节数（计数器）。

类型：long

host.network.ingress.packets

自上次指标收集以来，主机在所有网络接口上接收的数据包数（计数器）。

类型：long

host.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：关键字

示例：debian

host.os.full

操作系统名称，包括版本或代码名称。

类型：关键字

示例：Mac OS Mojave

host.os.full.text

类型：match_only_text

host.os.kernel

操作系统内核版本，作为原始字符串。

类型：关键字

示例：4.4.0-112-generic

host.os.name

操作系统名称，不带版本。

类型：关键字

示例：Mac OS X

host.os.name.text

类型：match_only_text

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

类型：关键字

示例：darwin

host.os.type

使用 os.type 字段将操作系统归类为广泛的商业系列之一。应使用以下值之一（小写）：linux、macos、unix、windows。如果您正在使用的操作系统不在列表中，则不应填充该字段。请通过打开一个包含 ECS 的问题来告知我们，以建议添加该操作系统。

类型：关键字

示例：macos

host.os.version

操作系统版本，作为原始字符串。

类型：关键字

示例：10.14.1

host.type

主机类型。对于云提供商，这可以是计算机类型，例如 t2.medium。如果是虚拟机，则这可能是容器，例如，或其他在您的环境中具有意义的信息。

类型：关键字

host.uptime

主机已启动的秒数。

类型：long

示例：1325

http

与 HTTP 活动相关的字段。使用 url 字段集存储请求的 URL。

http.request.body.bytes

请求体的大小（以字节为单位）。

类型：long

示例：887

格式：字节

http.request.body.content

完整的 HTTP 请求体。

类型：通配符

示例：Hello world

http.request.body.content.text

类型：match_only_text

http.request.bytes

请求的总大小（以字节为单位，包括请求体和请求头）。

类型：long

示例：1437

格式：字节

http.request.id

每个 HTTP 请求的唯一标识符，用于在事务中关联客户端和服务器之间的日志。该 ID 可能包含在非标准的 HTTP 标头中，例如 X-Request-ID 或 X-Correlation-ID。

类型：关键字

示例：123e4567-e89b-12d3-a456-426614174000

http.request.method

HTTP 请求方法。该值应保留原始事件中的大小写。例如，GET、get 和 GeT 都被认为是此字段的有效值。

类型：关键字

示例：POST

http.request.mime_type

请求体的 MIME 类型。此值必须仅根据请求体的内容进行填充，而不是根据 Content-Type 标头。将请求的 MIME 类型与请求的 Content-Type 标头进行比较有助于检测威胁或配置错误的客户端。

类型：关键字

示例：image/gif

http.request.referrer

此 HTTP 请求的引用页。

类型：关键字

示例：https://blog.example.com/

http.response.body.bytes

响应体的大小（以字节为单位）。

类型：long

示例：887

格式：字节

http.response.body.content

完整的 HTTP 响应体。

类型：通配符

示例：Hello world

http.response.body.content.text

类型：match_only_text

http.response.bytes

响应的总大小（以字节为单位，包括响应体和响应头）。

类型：long

示例：1437

格式：字节

http.response.mime_type

响应体的 MIME 类型。此值必须仅根据响应体的内容进行填充，而不是根据 Content-Type 标头。将响应的 MIME 类型与响应的 Content-Type 标头进行比较有助于检测配置错误的服务器。

类型：关键字

示例：image/gif

http.response.status_code

HTTP 响应状态代码。

类型：long

示例：404

格式：字符串

http.version

HTTP 版本。

类型：关键字

示例：1.1

interface

当观察者（例如，防火墙、路由器、负载均衡器）在处理网络连接时报告入口和出口接口信息时，将使用 interface 字段记录这些信息。如果只有一个观察者接口（例如，跨接端口上的网络传感器），则应仅填充 observer.ingress 信息。

interface.alias

系统报告的接口别名，通常在防火墙实现中使用，例如内部、外部或 DMZ 逻辑接口命名。

类型：关键字

示例：outside

interface.id

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型：关键字

示例：10

interface.name

系统报告的接口名称。

类型：关键字

示例：eth0

log

有关事件的日志记录机制或日志传输的详细信息。 log.* 字段通常填充用于创建和/或传输事件的日志记录机制的详细信息。例如，syslog 详细信息属于 log.syslog.*。特定于您的事件源的详细信息通常不会记录在 log.* 下，而是记录在 event.* 或其他 ECS 字段中。

log.file.path

此事件来自的日志文件的完整路径，包括文件名。它应包括驱动器号（如果适用）。如果事件不是从日志文件中读取的，请勿填充此字段。

类型：关键字

示例：/var/log/fun-times.log

log.level

日志事件的原始日志级别。如果事件源提供日志级别或文本严重性，则这是放入 log.level 中的内容。如果您的源未指定，则可以在此处放置事件传输的严重性（例如，Syslog 严重性）。一些示例是 warn、err、i、informational。

类型：关键字

示例：error

log.logger

应用程序内部的日志记录器的名称。这通常是初始化日志记录器的类的名称，或者可以是自定义名称。

类型：关键字

示例：org.elasticsearch.bootstrap.Bootstrap

log.origin.file.line

包含启动日志事件的源代码的文件的行号。

类型：long

示例：42

log.origin.file.name

包含启动日志事件的源代码的文件的名称。请注意，此字段不是用于捕获日志文件。用于捕获日志文件的正确字段是 log.file.path。

类型：关键字

示例：Bootstrap.java

log.origin.function

启动日志事件的函数或方法的名称。

类型：关键字

示例：init

log.syslog

如果事件是通过 Syslog 传输的，则事件的 Syslog 元数据。请参阅 RFC 5424 或 3164。

类型：对象

log.syslog.facility.code

如果可用，日志事件的 Syslog 数字设备。根据 RFC 5424 和 3164，此值应为 0 到 23 之间的整数。

类型：long

示例：23

格式：字符串

log.syslog.facility.name

如果可用，日志事件的基于文本的 Syslog 设备。

类型：关键字

示例：local7

log.syslog.priority

如果可用，事件的 Syslog 数字优先级。根据 RFC 5424 和 3164，优先级为 8 * 设备 + 严重性。因此，该数字的预期值应介于 0 到 191 之间。

类型：long

示例：135

格式：字符串

log.syslog.severity.code

如果可用，日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件的事件源提供了不同的数字严重性值（例如，防火墙、IDS），则您源的数字严重性应转到 event.severity。如果事件源未指定不同的严重性，则可以选择将 Syslog 严重性复制到 event.severity。

类型：long

示例：3

log.syslog.severity.name

如果可用，日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件的事件源提供了不同的严重性值（例如，防火墙、IDS），则您源的文本严重性应转到 log.level。如果事件源未指定不同的严重性，则可以选择将 Syslog 严重性复制到 log.level。

类型：关键字

示例：Error

network

网络定义为发生主机或网络事件的通信路径。 network.* 字段应填充与事件关联的网络活动的详细信息。

network.application

当从网络连接详细信息（源/目标 IP、端口、证书或线路格式）中识别出特定的应用程序或服务时，此字段将捕获应用程序或服务的名称。例如，原始事件标识网络连接来自 https 网络连接中的特定 Web 服务，如 facebook 或 twitter。该字段值必须标准化为小写以进行查询。

类型：关键字

示例：aim

network.bytes

双向传输的总字节数。如果已知 source.bytes 和 destination.bytes，则 network.bytes 是它们的总和。

类型：long

示例：368

格式：字节

network.community_id

源 IP 和目标 IP 以及端口的哈希值，以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。请访问 https://github.com/corelight/community-id-spec 了解更多信息。

类型：关键字

示例：1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0=

network.direction

网络流量的方向。建议的值包括：* ingress * egress * inbound * outbound * internal * external * unknown

当从基于主机的监视上下文中映射事件时，请从主机的角度填充此字段，并使用值“ingress”或“egress”。当从基于网络或边界的监视上下文中映射事件时，请从网络边界的角度填充此字段，并使用值“inbound”、“outbound”、“internal”或“external”。请注意，“internal”不会跨越边界，而是用于描述边界内两个主机之间的通信。另请注意，“external”用于描述两个外部主机的流量。例如，这对 ISP 或 VPN 服务提供商可能很有用。

类型：关键字

示例：inbound

network.forwarded_ip

当源 IP 地址是代理时的主机 IP 地址。

类型：ip

示例：192.1.1.2

network.iana_number

IANA 协议号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常一致。

类型：关键字

示例：6

network.inner

除了 network.vlan 字段之外，还添加了 network.inner 字段来描述存在 q-in-q VLAN 标记时的最内层 VLAN。允许的字段包括 vlan.id 和 vlan.name。当使用多个 802.1q 封装向网络传感器（例如，Zeek、Wireshark）发送流量时，通常会使用内部 vlan 字段。

类型：对象

network.inner.vlan.id

观察者报告的 VLAN ID。

类型：关键字

示例：10

network.inner.vlan.name

观察者报告的可选 VLAN 名称。

类型：关键字

示例：outside

network.name

运营商为其网络区域提供的名称。

类型：关键字

示例：Guest Wifi

network.packets

双向传输的总数据包数。如果已知 source.packets 和 destination.packets，则 network.packets 是它们的总和。

类型：long

示例：24

network.protocol

在 OSI 模型中，这将是应用层协议。例如，http、dns 或 ssh。该字段值必须标准化为小写以进行查询。

类型：关键字

示例：http

network.transport

与 network.iana_number 相同，但使用传输层的关键字名称（udp、tcp、ipv6-icmp 等）。该字段值必须标准化为小写以进行查询。

类型：关键字

示例：tcp

network.type

在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。该字段值必须标准化为小写以进行查询。

类型：关键字

示例：ipv4

network.vlan.id

观察者报告的 VLAN ID。

类型：关键字

示例：10

network.vlan.name

观察者报告的可选 VLAN 名称。

类型：关键字

示例：outside

observer

观察者被定义为一种特殊的网络、安全或应用程序设备，用于检测、观察或创建与网络、安全或应用程序相关的事件和指标。这可以是自定义硬件设备或已配置为运行特殊网络、安全或应用程序软件的服务器。示例包括防火墙、Web 代理、入侵检测/防御系统、网络监视传感器、Web 应用程序防火墙、数据丢失防护系统和 APM 服务器。 observer.* 字段应填充系统（如果有）的详细信息，该系统检测、观察和/或创建网络、安全或应用程序事件或指标。在处理事件或指标时使用的消息队列和 ETL 组件在 ECS 中不被视为观察者。

observer.egress

observer.egress 保存诸如接口号和名称、vlan 和区域信息之类的信息，以对出口流量进行分类。单臂监视（例如，跨接端口上的网络传感器）应仅使用 observer.ingress 对流量进行分类。

类型：对象

observer.egress.interface.alias

系统报告的接口别名，通常在防火墙实现中使用，例如内部、外部或 DMZ 逻辑接口命名。

类型：关键字

示例：outside

observer.egress.interface.id

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型：关键字

示例：10

observer.egress.interface.name

系统报告的接口名称。

类型：关键字

示例：eth0

observer.egress.vlan.id

观察者报告的 VLAN ID。

类型：关键字

示例：10

observer.egress.vlan.name

观察者报告的可选 VLAN 名称。

类型：关键字

示例：outside

observer.egress.zone

观察者报告的出站流量的网络区域，用于对出口流量的目标区域进行分类，例如内部、外部、DMZ、HR、法律等。

类型：关键字

示例：Public_Internet

observer.geo.city_name

城市名称。

类型：关键字

示例：Montreal

observer.geo.continent_code

代表大陆名称的两个字母的代码。

类型：关键字

示例：NA

observer.geo.continent_name

大陆的名称。

类型：关键字

示例：North America

observer.geo.country_iso_code

国家 ISO 代码。

类型：关键字

示例：CA

observer.geo.country_name

国家名称。

类型：关键字

示例：Canada

observer.geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

observer.geo.name

类型：关键字

示例：boston-dc

observer.geo.postal_code

与位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码，并且在各个国家/地区差异很大。

类型：关键字

示例：94040

observer.geo.region_iso_code

区域 ISO 代码。

类型：关键字

示例：CA-QC

observer.geo.region_name

区域名称。

类型：关键字

示例：Quebec

observer.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

observer.hostname

观察者的主机名。

类型：关键字

observer.ingress

observer.ingress 保存诸如接口号和名称、vlan 和区域信息之类的信息，以对入口流量进行分类。单臂监视（例如，跨接端口上的网络传感器）应仅使用 observer.ingress 对流量进行分类。

类型：对象

observer.ingress.interface.alias

系统报告的接口别名，通常在防火墙实现中使用，例如内部、外部或 DMZ 逻辑接口命名。

类型：关键字

示例：outside

observer.ingress.interface.id

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型：关键字

示例：10

observer.ingress.interface.name

系统报告的接口名称。

类型：关键字

示例：eth0

observer.ingress.vlan.id

观察者报告的 VLAN ID。

类型：关键字

示例：10

observer.ingress.vlan.name

观察者报告的可选 VLAN 名称。

类型：关键字

示例：outside

observer.ingress.zone

观察者报告的入站流量的网络区域，用于对入口流量的源区域进行分类。例如，内部、外部、DMZ、HR、法律等。

类型：关键字

示例：DMZ

observer.ip

观察者的 IP 地址。

类型：ip

observer.mac

观察者的 MAC 地址。建议使用 RFC 7042 的表示格式：每个八位字节（即 8 位字节）用两个 [大写] 十六进制数字表示，表示该八位字节的无符号整数值。连续的八位字节用连字符分隔。

类型：关键字

示例：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

observer.name

观察者的自定义名称。这是可以给观察者指定的名称。例如，如果组织中使用多个相同型号的防火墙，这可能会很有帮助。如果不需要自定义名称，则该字段可以留空。

类型：关键字

示例: 1_proxySG

observer.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：关键字

示例：debian

observer.os.full

操作系统名称，包括版本或代码名称。

类型：关键字

示例：Mac OS Mojave

observer.os.full.text

类型：match_only_text

observer.os.kernel

操作系统内核版本，作为原始字符串。

类型：关键字

示例：4.4.0-112-generic

observer.os.name

操作系统名称，不带版本。

类型：关键字

示例：Mac OS X

observer.os.name.text

类型：match_only_text

observer.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

类型：关键字

示例：darwin

observer.os.type

类型：关键字

示例：macos

observer.os.version

操作系统版本，作为原始字符串。

类型：关键字

示例：10.14.1

observer.product

观察者的产品名称。

类型：关键字

示例: s200

observer.serial_number

观察者序列号。

类型：关键字

observer.type

数据来源的观察者的类型。观察者类型没有预定义的列表。一些示例包括 forwarder、firewall、ids、ips、proxy、poller、sensor、APM server。

类型：关键字

示例: firewall

observer.vendor

观察者的供应商名称。

类型：关键字

示例: Symantec

observer.version

观察者版本。

类型：关键字

orchestrator

描述容器编排器管理或操作的资源的字段。

orchestrator.api_version

用于执行操作的 API 版本

类型：关键字

示例: v1beta1

orchestrator.cluster.name

集群的名称。

类型：关键字

orchestrator.cluster.url

用于管理集群的 API 的 URL。

类型：关键字

orchestrator.cluster.version

集群的版本。

类型：关键字

orchestrator.namespace

操作发生的命名空间。

类型：关键字

示例: kube-system

orchestrator.organization

受事件影响的组织（用于多租户编排器设置）。

类型：关键字

示例: elastic

orchestrator.resource.name

正在操作的资源的名称。

类型：关键字

示例: test-pod-cdcws

orchestrator.resource.type

正在操作的资源的类型。

类型：关键字

示例: service

orchestrator.type

编排器集群类型（例如 kubernetes、nomad 或 cloudfoundry）。

类型：关键字

示例: kubernetes

organization

组织字段使用有关公司或实体的信息丰富数据，这些数据与这些数据相关联。这些字段可帮助您按一个或多个组织排列或过滤索引中存储的数据。

organization.id

组织的唯一标识符。

类型：关键字

organization.name

组织名称。

类型：关键字

organization.name.text

类型：match_only_text

os

OS 字段包含有关操作系统的信息。

os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：关键字

示例：debian

os.full

操作系统名称，包括版本或代码名称。

类型：关键字

示例：Mac OS Mojave

os.full.text

类型：match_only_text

os.kernel

操作系统内核版本，作为原始字符串。

类型：关键字

示例：4.4.0-112-generic

os.name

操作系统名称，不带版本。

类型：关键字

示例：Mac OS X

os.name.text

类型：match_only_text

os.platform

操作系统平台（例如 centos、ubuntu、windows）。

类型：关键字

示例：darwin

os.type

类型：关键字

示例：macos

os.version

操作系统版本，作为原始字符串。

类型：关键字

示例：10.14.1

package

这些字段包含有关已安装软件包的信息。它包含有关软件包的常规信息，例如名称、版本或大小。它还包含安装详细信息，例如时间或位置。

package.architecture

软件包架构。

类型：关键字

示例：x86_64

package.build_version

有关已安装软件包的构建版本的其他信息。例如，使用未发布的软件包的提交 SHA。

类型：关键字

示例: 36f4f7e89dd61b0988b12ee000b98966867710cd

package.checksum

用于验证的已安装软件包的校验和。

类型：关键字

示例: 68b329da9893e34099c7d8ad5cb9c940

package.description

软件包的描述。

类型：关键字

示例: 用于构建简单/可靠/高效软件的开源编程语言。

package.install_scope

指示如何安装软件包，例如用户本地、全局。

类型：关键字

示例: global

package.installed

软件包安装的时间。

类型：日期

package.license

发布软件包所依据的许可证。尽可能使用短名称，例如 SPDX 许可证列表中的许可证标识符 (https://spdx.org/licenses/)。

类型：关键字

示例: Apache License 2.0

package.name

软件包名称

类型：关键字

示例: go

package.path

软件包的安装路径。

类型：关键字

示例: /usr/local/Cellar/go/1.12.9/

package.reference

如果可用，此软件包中软件的主页或参考 URL。

类型：关键字

示例: https://golang.ac.cn

package.size

软件包大小（以字节为单位）。

类型：long

示例: 62231

格式：字符串

package.type

软件包类型。这应包含软件包文件类型，而不是软件包管理器名称。示例：rpm、dpkg、brew、npm、gem、nupkg、jar。

类型：关键字

示例: rpm

package.version

软件包版本

类型：关键字

示例: 1.12.9

pe

这些字段包含 Windows 可移植可执行 (PE) 元数据。

pe.architecture

文件的目标 CPU 架构。

类型：关键字

示例：x64

pe.company

文件内部的公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

pe.imphash

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

process

这些字段包含有关进程的信息。这些字段可帮助您将指标信息与日志消息中的进程 ID/名称相关联。process.pid 通常保留在指标本身中，并复制到全局字段以进行关联。

process.args

进程参数的数组，从可执行文件的绝对路径开始。可能会过滤以保护敏感信息。

类型：关键字

示例: ["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行桶分析很有用。更多参数可能表示可疑活动。

类型：long

示例: 4

process.code_signature.digest_algorithm

用于签署进程的哈希算法。当一个文件被同一个签名者多次签名但使用不同的摘要算法时，此值可以区分签名。

类型：关键字

示例：sha256

process.code_signature.exists

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

process.code_signature.signing_id

用于签署进程的标识符。此标识符用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

process.code_signature.status

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

process.code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

process.code_signature.team_id

用于签署进程的团队标识符。此标识符用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

process.code_signature.timestamp

代码签名生成和签署的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

process.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段仅应由主动检查状态的工具填充。

类型：布尔值

示例：true

process.code_signature.valid

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，请留空。

类型：布尔值

示例：true

process.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。可能会过滤某些参数以保护敏感信息。

类型：通配符

示例: /usr/bin/ssh -l user 10.0.0.16

process.command_line.text

类型：match_only_text

process.elf.architecture

ELF 文件的机器架构。

类型：关键字

示例：x86-64

process.elf.byte_order

ELF 文件的字节顺序。

类型：关键字

示例：小端

process.elf.cpu_type

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

process.elf.creation_date

在可能的情况下，从文件的元数据中提取。指示构建或编译的时间。它也可以被恶意软件创建者伪造。

类型：日期

process.elf.exports

导出的元素名称和类型列表。

类型：扁平化

process.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

process.elf.header.class

ELF 文件的标头类。

类型：关键字

process.elf.header.data

ELF 标头的数据表。

类型：关键字

process.elf.header.entrypoint

ELF 文件的标头入口点。

类型：long

格式：字符串

process.elf.header.object_version

原始 ELF 文件的“0x1”。

类型：关键字

process.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

process.elf.header.type

ELF 文件的标头类型。

类型：关键字

process.elf.header.version

ELF 标头的版本。

类型：关键字

process.elf.imports

导入的元素名称和类型列表。

类型：扁平化

process.elf.sections

包含 ELF 文件每个部分的对象数组。这些对象中应存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

process.elf.sections.chi2

该部分的卡方概率分布。

类型：long

格式：数字

process.elf.sections.entropy

来自该部分的香农熵计算。

类型：long

格式：数字

process.elf.sections.flags

ELF 部分列表标志。

类型：关键字

process.elf.sections.name

ELF 部分列表名称。

类型：关键字

process.elf.sections.physical_offset

ELF 部分列表偏移量。

类型：关键字

process.elf.sections.physical_size

ELF 部分列表物理大小。

类型：long

格式：字节

process.elf.sections.type

ELF 部分列表类型。

类型：关键字

process.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型：long

格式：字符串

process.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型：long

格式：字符串

process.elf.segments

包含 ELF 文件每个段的对象数组。这些对象中应存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

process.elf.segments.sections

ELF 对象段部分。

类型：关键字

process.elf.segments.type

ELF 对象段类型。

类型：关键字

process.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：关键字

process.elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型：关键字

process.end

进程结束的时间。

类型：日期

示例：2016-05-23T08:05:34.853Z

process.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可以使用的一些示例是进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并识别多个受监控主机上的特定进程。

类型：关键字

示例: c2c455d9f99375d

process.executable

进程可执行文件的绝对路径。

类型：关键字

示例: /usr/bin/ssh

process.executable.text

类型：match_only_text

process.exit_code

如果这是一个终止事件，则为进程的退出代码。如果事件没有退出代码（例如，进程启动），则该字段应不存在。

类型：long

示例: 137

process.hash.md5

MD5 哈希值。

类型：关键字

process.hash.sha1

SHA1 哈希值。

类型：关键字

process.hash.sha256

SHA256 哈希值。

类型：关键字

process.hash.sha512

SHA512 哈希值。

类型：关键字

process.hash.ssdeep

SSDEEP 哈希值。

类型：关键字

process.name

进程名称。有时也称为程序名称或类似名称。

类型：关键字

示例: ssh

process.name.text

类型：match_only_text

process.parent.args

进程参数的数组，从可执行文件的绝对路径开始。可能会过滤以保护敏感信息。

类型：关键字

示例: ["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.parent.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行桶分析很有用。更多参数可能表示可疑活动。

类型：long

示例: 4

process.parent.code_signature.digest_algorithm

用于签署进程的哈希算法。当一个文件被同一个签名者多次签名但使用不同的摘要算法时，此值可以区分签名。

类型：关键字

示例：sha256

process.parent.code_signature.exists

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

process.parent.code_signature.signing_id

用于签署进程的标识符。此标识符用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

process.parent.code_signature.status

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

process.parent.code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

process.parent.code_signature.team_id

用于签署进程的团队标识符。此标识符用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

process.parent.code_signature.timestamp

代码签名生成和签署的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

process.parent.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段仅应由主动检查状态的工具填充。

类型：布尔值

示例：true

process.parent.code_signature.valid

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，请留空。

类型：布尔值

示例：true

process.parent.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。可能会过滤某些参数以保护敏感信息。

类型：通配符

示例: /usr/bin/ssh -l user 10.0.0.16

process.parent.command_line.text

类型：match_only_text

process.parent.elf.architecture

ELF 文件的机器架构。

类型：关键字

示例：x86-64

process.parent.elf.byte_order

ELF 文件的字节顺序。

类型：关键字

示例：小端

process.parent.elf.cpu_type

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

process.parent.elf.creation_date

在可能的情况下，从文件的元数据中提取。指示构建或编译的时间。它也可以被恶意软件创建者伪造。

类型：日期

process.parent.elf.exports

导出的元素名称和类型列表。

类型：扁平化

process.parent.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

process.parent.elf.header.class

ELF 文件的标头类。

类型：关键字

process.parent.elf.header.data

ELF 标头的数据表。

类型：关键字

process.parent.elf.header.entrypoint

ELF 文件的标头入口点。

类型：long

格式：字符串

process.parent.elf.header.object_version

原始 ELF 文件的“0x1”。

类型：关键字

process.parent.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

process.parent.elf.header.type

ELF 文件的标头类型。

类型：关键字

process.parent.elf.header.version

ELF 标头的版本。

类型：关键字

process.parent.elf.imports

导入的元素名称和类型列表。

类型：扁平化

process.parent.elf.sections

包含 ELF 文件每个部分的对象数组。这些对象中应存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

process.parent.elf.sections.chi2

该部分的卡方概率分布。

类型：long

格式：数字

process.parent.elf.sections.entropy

来自该部分的香农熵计算。

类型：long

格式：数字

process.parent.elf.sections.flags

ELF 部分列表标志。

类型：关键字

process.parent.elf.sections.name

ELF 部分列表名称。

类型：关键字

process.parent.elf.sections.physical_offset

ELF 部分列表偏移量。

类型：关键字

process.parent.elf.sections.physical_size

ELF 部分列表物理大小。

类型：long

格式：字节

process.parent.elf.sections.type

ELF 部分列表类型。

类型：关键字

process.parent.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型：long

格式：字符串

process.parent.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型：long

格式：字符串

process.parent.elf.segments

包含 ELF 文件每个段的对象数组。这些对象中应存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

process.parent.elf.segments.sections

ELF 对象段部分。

类型：关键字

process.parent.elf.segments.type

ELF 对象段类型。

类型：关键字

process.parent.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：关键字

process.parent.elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型：关键字

process.parent.end

进程结束的时间。

类型：日期

示例：2016-05-23T08:05:34.853Z

process.parent.entity_id

类型：关键字

示例: c2c455d9f99375d

process.parent.executable

进程可执行文件的绝对路径。

类型：关键字

示例: /usr/bin/ssh

process.parent.executable.text

类型：match_only_text

process.parent.exit_code

如果这是一个终止事件，则为进程的退出代码。如果事件没有退出代码（例如，进程启动），则该字段应不存在。

类型：long

示例: 137

process.parent.hash.md5

MD5 哈希值。

类型：关键字

process.parent.hash.sha1

SHA1 哈希值。

类型：关键字

process.parent.hash.sha256

SHA256 哈希值。

类型：关键字

process.parent.hash.sha512

SHA512 哈希值。

类型：关键字

process.parent.hash.ssdeep

SSDEEP 哈希值。

类型：关键字

process.parent.name

进程名称。有时也称为程序名称或类似名称。

类型：关键字

示例: ssh

process.parent.name.text

类型：match_only_text

process.parent.pe.architecture

文件的目标 CPU 架构。

类型：关键字

示例：x64

process.parent.pe.company

文件内部的公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

process.parent.pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

process.parent.pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

process.parent.pe.imphash

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

process.parent.pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

process.parent.pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

process.parent.pgid

进程所属的进程组的标识符。

类型：long

格式：字符串

process.parent.pid

进程 ID。

类型：long

示例: 4242

格式：字符串

process.parent.start

进程启动的时间。

类型：日期

示例：2016-05-23T08:05:34.853Z

process.parent.thread.id

线程 ID。

类型：long

示例: 4242

格式：字符串

process.parent.thread.name

线程名称。

类型：关键字

示例: thread-0

process.parent.title

进程标题。有时与进程名称相同的 proctitle。也可以不同：例如，浏览器将其标题设置为当前打开的网页。

类型：关键字

process.parent.title.text

类型：match_only_text

process.parent.uptime

进程运行的秒数。

类型：long

示例：1325

process.parent.working_directory

进程的工作目录。

类型：关键字

示例：/home/alice

process.parent.working_directory.text

类型：match_only_text

process.pe.architecture

文件的目标 CPU 架构。

类型：关键字

示例：x64

process.pe.company

文件内部的公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

process.pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

process.pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

process.pe.imphash

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

process.pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

process.pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

process.pgid

进程所属的进程组的标识符。

类型：long

格式：字符串

process.pid

进程 ID。

类型：long

示例: 4242

格式：字符串

process.start

进程启动的时间。

类型：日期

示例：2016-05-23T08:05:34.853Z

process.thread.id

线程 ID。

类型：long

示例: 4242

格式：字符串

process.thread.name

线程名称。

类型：关键字

示例: thread-0

process.title

进程标题。有时与进程名称相同的 proctitle。也可以不同：例如，浏览器将其标题设置为当前打开的网页。

类型：关键字

process.title.text

类型：match_only_text

process.uptime

进程运行的秒数。

类型：long

示例：1325

process.working_directory

进程的工作目录。

类型：关键字

示例：/home/alice

process.working_directory.text

类型：match_only_text

registry

与 Windows 注册表操作相关的字段。

registry.data.bytes

使用 base64 编码写入的原始字节。对于 Windows 注册表操作（例如 SetValueEx 和 RegQueryValueEx），这对应于 lp_data 指向的数据。这是可选的，但可以提供更好的可恢复性，并且应该为 REG_BINARY 编码的值填充此字段。

类型：关键字

示例: ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

registry.data.strings

写入字符串类型时的内容。在将字符串数据写入注册表时填充为数组。对于单字符串注册表类型 (REG_SZ, REG_EXPAND_SZ)，这应该是一个包含一个字符串的数组。对于 REG_MULTI_SZ 的字符串序列，此数组的长度可变。对于数值数据（例如 REG_DWORD 和 REG_QWORD），应使用十进制表示形式（例如 "1"）填充此字段。

类型：通配符

示例: ["C:\rta\red_ttp\bin\myapp.exe"]

registry.data.type

用于编码内容的标准注册表类型

类型：关键字

示例: REG_SZ

registry.hive

注册表单元的缩写名称。

类型：关键字

示例: HKLM

registry.key

注册表单元相对的键路径。

类型：关键字

示例: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

registry.path

完整路径，包括 Hive、键和值

类型：关键字

示例：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

registry.value

写入的值的名称。

类型：关键字

示例：Debugger

规则

规则字段用于捕获生成警报或其他重要事件的任何观察者或代理规则的详细信息。将填充规则字段的数据源示例包括：网络准入控制平台、网络或主机 IDS/IPS、网络防火墙、Web 应用程序防火墙、URL 过滤器、端点检测和响应 (EDR) 系统等。

rule.author

创建用于生成此事件的规则的作者或组织的名称或笔名。

类型：关键字

示例：["星爵"]

rule.category

实体使用规则检测此事件所使用的分类值关键字。

类型：关键字

示例：尝试信息泄露

rule.description

生成事件的规则的描述。

类型：关键字

示例：阻止通过 HTTPS/TLS 协议对公共 DNS 的请求

rule.id

在代理、观察者或其他实体使用规则进行此事件检测的范围内唯一的规则 ID。

类型：关键字

示例：101

rule.license

生成此事件的规则所依据的许可证名称。

类型：关键字

示例：Apache 2.0

rule.name

生成事件的规则或签名的名称。

类型：关键字

示例：BLOCK_DNS_over_TLS

rule.reference

指向关于用于生成此事件的规则的其他信息的参考 URL。该 URL 可以指向供应商关于该规则的文档。如果该文档不可用，也可以链接到描述此类警报的更通用的页面。

类型：关键字

示例：https://en.wikipedia.org/wiki/DNS_over_TLS

rule.ruleset

用于生成此事件的规则所属的规则集、策略、组或父类别的名称。

类型：关键字

示例：Standard_Protocol_Filters

rule.uuid

在代理、观察者或其他实体使用规则进行此事件检测的一组或一组范围内唯一的规则 ID。

类型：关键字

示例：1100110011

rule.version

用于分析的规则的版本/修订版。

类型：关键字

示例：1.1

服务器

服务器定义为关于会话、连接或双向流记录的事件中网络连接的响应者。对于 TCP 事件，服务器是 TCP 连接的初始 SYN 数据包的接收者。对于其他协议，服务器通常是网络事务中的响应者。某些系统实际上使用术语“响应者”来指代 TCP 连接中的服务器。服务器字段描述有关在网络事件中充当服务器的系统的详细信息。服务器字段通常与客户端字段一起填充。服务器字段通常不填充数据包级别的事件。客户端/服务器表示形式可以为交换添加语义上下文，这有助于在某些情况下可视化数据。如果您的上下文属于该类别，您仍应确保正确填充来源和目标。

server.address

某些事件服务器地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后，应将其复制到 .ip 或 .domain，具体取决于它是哪个。

类型：关键字

server.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

server.as.organization.name

组织名称。

类型：关键字

示例：Google LLC

server.as.organization.name.text

类型：match_only_text

server.bytes

从服务器发送到客户端的字节数。

类型：long

示例：184

格式：字节

server.domain

服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，或者从扩充中添加。

类型：关键字

示例：foo.example.com

server.geo.city_name

城市名称。

类型：关键字

示例：Montreal

server.geo.continent_code

代表大陆名称的两个字母的代码。

类型：关键字

示例：NA

server.geo.continent_name

大陆的名称。

类型：关键字

示例：North America

server.geo.country_iso_code

国家 ISO 代码。

类型：关键字

示例：CA

server.geo.country_name

国家名称。

类型：关键字

示例：Canada

server.geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

server.geo.name

类型：关键字

示例：boston-dc

server.geo.postal_code

与位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码，并且在各个国家/地区差异很大。

类型：关键字

示例：94040

server.geo.region_iso_code

区域 ISO 代码。

类型：关键字

示例：CA-QC

server.geo.region_name

区域名称。

类型：关键字

示例：Quebec

server.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

server.ip

服务器的 IP 地址（IPv4 或 IPv6）。

类型：ip

server.mac

服务器的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个 [大写] 十六进制数字表示，给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。

类型：关键字

示例：00-00-5E-00-53-23

server.nat.ip

基于 NAT 会话的目标的转换 IP（例如，Internet 到专用 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

类型：ip

server.nat.port

基于 NAT 会话（例如，从 Internet 到私有 DMZ）转换的目标端口。通常与负载均衡器、防火墙或路由器一起使用。

类型：long

格式：字符串

server.packets

从服务器发送到客户端的数据包。

类型：long

示例：12

server.port

服务器的端口。

类型：long

格式：字符串

server.registered_domain

最高的注册服务器域，已剥离子域。例如，“foo.example.com”的注册域是“example.com”。可以通过公共后缀列表之类的列表 (http://publicsuffix.org) 精确确定此值。尝试通过简单地取最后两个标签来近似此值对于 TLD（如“co.uk”）来说效果不佳。

类型：关键字

示例：example.com

server.subdomain

类型：关键字

示例：east

server.top_level_domain

类型：关键字

示例：co.uk

server.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

server.user.email

用户电子邮件地址。

类型：关键字

server.user.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

server.user.full_name.text

类型：match_only_text

server.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

server.user.group.id

系统/平台上该组的唯一标识符。

类型：关键字

server.user.group.name

组的名称。

类型：关键字

server.user.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.id 或 user.name 包含机密信息并且无法使用，则此方法很有用。

类型：关键字

server.user.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

server.user.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

server.user.name.text

类型：match_only_text

server.user.roles

事件发生时用户角色的数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

服务

服务字段描述收集数据的服务或数据来源。这些字段可以帮助您查找和关联特定服务和版本的日志。

service.address

从中收集有关此服务的数据的地址。这应该是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径（套接字）。

类型：关键字

示例：172.26.0.2:5432

service.environment

标识服务运行的环境。如果同一服务在不同的环境（生产、暂存、QA、开发等）中运行，则环境可以标识同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。

类型：关键字

示例：production

service.ephemeral_id

此服务的临时标识符（如果存在）。此 ID 通常在重新启动时更改，但 service.id 不会。

类型：关键字

示例：8a4f500f

service.id

正在运行的服务的唯一标识符。如果服务由多个节点组成，则所有节点的 service.id 应相同。此 ID 应唯一标识服务。这使得可以关联一个特定服务的日志和指标，无论哪个特定节点发出了事件。请注意，如果您需要查看来自服务的某个特定主机的事件，则应改为筛选该 host.name 或 host.id。

类型：关键字

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.name

从中收集数据的服务的名称。服务名称通常由用户给定。这允许在多台主机上运行的分布式服务基于名称关联相关实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，如果未指定名称，则 service.name 默认是 service.type 字段的副本。

类型：关键字

示例：elasticsearch-metrics

service.node.name

服务节点的名称。这允许区分同一主机上运行的同一服务的两个节点。因此，service.node.name 通常应在给定服务的节点之间是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。如果服务没有节点名称的概念，则可以使用主机名或容器名称来区分组成此服务的正在运行的实例。如果这些不能提供唯一性（例如，服务的多个实例在同一主机上运行）- 则可以手动设置节点名称。

类型：关键字

示例：instance-0000000016

service.origin.address

从中收集有关此服务的数据的地址。这应该是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径（套接字）。

类型：关键字

示例：172.26.0.2:5432

service.origin.environment

类型：关键字

示例：production

service.origin.ephemeral_id

此服务的临时标识符（如果存在）。此 ID 通常在重新启动时更改，但 service.id 不会。

类型：关键字

示例：8a4f500f

service.origin.id

类型：关键字

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.origin.name

类型：关键字

示例：elasticsearch-metrics

service.origin.node.name

类型：关键字

示例：instance-0000000016

service.origin.state

服务的当前状态。

类型：关键字

service.origin.type

从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型：关键字

示例：elasticsearch

service.origin.version

从中收集数据的服务的版本。这允许仅查看特定服务版本的数据集。

类型：关键字

示例：3.2.4

service.state

服务的当前状态。

类型：关键字

service.target.address

从中收集有关此服务的数据的地址。这应该是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径（套接字）。

类型：关键字

示例：172.26.0.2:5432

service.target.environment

类型：关键字

示例：production

service.target.ephemeral_id

此服务的临时标识符（如果存在）。此 ID 通常在重新启动时更改，但 service.id 不会。

类型：关键字

示例：8a4f500f

service.target.id

类型：关键字

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.target.name

类型：关键字

示例：elasticsearch-metrics

service.target.node.name

类型：关键字

示例：instance-0000000016

service.target.state

服务的当前状态。

类型：关键字

service.target.type

类型：关键字

示例：elasticsearch

service.target.version

从中收集数据的服务的版本。这允许仅查看特定服务版本的数据集。

类型：关键字

示例：3.2.4

service.type

类型：关键字

示例：elasticsearch

service.version

从中收集数据的服务的版本。这允许仅查看特定服务版本的数据集。

类型：关键字

示例：3.2.4

来源

来源字段捕获有关网络交换/数据包的发送者的详细信息。这些字段从网络事件、数据包或其他包含网络事务详细信息的事件中填充。来源字段通常与目标字段一起填充。来源和目标字段被认为是基线，如果事件包含来自网络事务的来源和目标详细信息，则应始终填充这两个字段。如果事件还包含客户端和服务器角色的标识，则还应填充客户端和服务器字段。

source.address

某些事件源地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后，应将其复制到 .ip 或 .domain，具体取决于它是哪个。

类型：关键字

source.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

source.as.organization.name

组织名称。

类型：关键字

示例：Google LLC

source.as.organization.name.text

类型：match_only_text

source.bytes

从源发送到目标端的字节数。

类型：long

示例：184

格式：字节

source.domain

源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能来自富化处理。

类型：关键字

示例：foo.example.com

source.geo.city_name

城市名称。

类型：关键字

示例：Montreal

source.geo.continent_code

代表大陆名称的两个字母的代码。

类型：关键字

示例：NA

source.geo.continent_name

大陆的名称。

类型：关键字

示例：North America

source.geo.country_iso_code

国家 ISO 代码。

类型：关键字

示例：CA

source.geo.country_name

国家名称。

类型：关键字

示例：Canada

source.geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

source.geo.name

类型：关键字

示例：boston-dc

source.geo.postal_code

与位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码，并且在各个国家/地区差异很大。

类型：关键字

示例：94040

source.geo.region_iso_code

区域 ISO 代码。

类型：关键字

示例：CA-QC

source.geo.region_name

区域名称。

类型：关键字

示例：Quebec

source.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

source.ip

源的 IP 地址（IPv4 或 IPv6）。

类型：ip

source.mac

源的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个[大写]十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

类型：关键字

示例：00-00-5E-00-53-23

source.nat.ip

基于 NAT 会话的源的转换 IP（例如，内部客户端到 Internet）。通常是遍历负载均衡器、防火墙或路由器的连接。

类型：ip

source.nat.port

基于 NAT 会话的源的转换端口。（例如，内部客户端到 Internet）通常与负载均衡器、防火墙或路由器一起使用。

类型：long

格式：字符串

source.packets

从源发送到目标端的包数。

类型：long

示例：12

source.port

源的端口。

类型：long

格式：字符串

source.registered_domain

已注册的最高级源域，不包含子域。例如，“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表之类的列表精确地确定此值（http://publicsuffix.org）。尝试仅取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将无法很好地工作。

类型：关键字

示例：example.com

source.subdomain

类型：关键字

示例：east

source.top_level_domain

类型：关键字

示例：co.uk

source.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

source.user.email

用户电子邮件地址。

类型：关键字

source.user.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

source.user.full_name.text

类型：match_only_text

source.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

source.user.group.id

系统/平台上该组的唯一标识符。

类型：关键字

source.user.group.name

组的名称。

类型：关键字

source.user.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.id 或 user.name 包含机密信息并且无法使用，则此方法很有用。

类型：关键字

source.user.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

source.user.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

source.user.name.text

类型：match_only_text

source.user.roles

事件发生时用户角色的数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

threat

根据威胁分类法（例如 MITRE ATT&CK® 框架）对事件和警报进行分类的字段。这些字段供用户在通用分类法中对来自其所有来源（例如，IDS、NGFW 等）的警报进行分类。“threat.tactic.*”字段旨在捕获威胁的高级类别（例如，“影响”）。“threat.technique.*”字段旨在捕获此检测到的威胁使用哪种方法来实现目标（例如，“端点拒绝服务”）。

threat.enrichments

富化事件的相关指示器对象的列表，以及该关联/富化的上下文。

类型：嵌套

threat.enrichments.indicator

包含富化事件的相关指示器的对象。

类型：对象

threat.enrichments.indicator.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

threat.enrichments.indicator.as.organization.name

组织名称。

类型：关键字

示例：Google LLC

threat.enrichments.indicator.as.organization.name.text

类型：match_only_text

threat.enrichments.indicator.confidence

使用 STIX 2.1 框架附录 A 中定义的无/低/中/高等级来识别与供应商无关的置信度评级。供应商特定的置信度等级可以添加为自定义字段。预期值包括：* 未指定 * 无 * 低 * 中 * 高

类型：关键字

示例：中

threat.enrichments.indicator.description

描述威胁执行的操作类型。

类型：关键字

示例：观察到 IP x.x.x.x 正在传送 Angler EK。

threat.enrichments.indicator.email.address

将威胁指示器标识为电子邮件地址（与方向无关）。

类型：关键字

示例：[email protected]

threat.enrichments.indicator.file.accessed

上次访问文件的时间。请注意，并非所有文件系统都会跟踪访问时间。

类型：日期

threat.enrichments.indicator.file.attributes

类型：关键字

示例：["readonly", "system"]

threat.enrichments.indicator.file.code_signature.digest_algorithm

用于签署进程的哈希算法。当一个文件被同一个签名者多次签名但使用不同的摘要算法时，此值可以区分签名。

类型：关键字

示例：sha256

threat.enrichments.indicator.file.code_signature.exists

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

threat.enrichments.indicator.file.code_signature.signing_id

用于签署进程的标识符。此标识符用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

threat.enrichments.indicator.file.code_signature.status

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

threat.enrichments.indicator.file.code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

threat.enrichments.indicator.file.code_signature.team_id

用于签署进程的团队标识符。此标识符用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

threat.enrichments.indicator.file.code_signature.timestamp

代码签名生成和签署的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

threat.enrichments.indicator.file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段仅应由主动检查状态的工具填充。

类型：布尔值

示例：true

threat.enrichments.indicator.file.code_signature.valid

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，请留空。

类型：布尔值

示例：true

threat.enrichments.indicator.file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型：日期

threat.enrichments.indicator.file.ctime

上次更改文件属性或元数据的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将同时调整，因为 mtime 是文件的属性。

类型：日期

threat.enrichments.indicator.file.device

作为文件来源的设备。

类型：关键字

示例：sda

threat.enrichments.indicator.file.directory

文件所在的目录。它应包括盘符（如果适用）。

类型：关键字

示例：/home/alice

threat.enrichments.indicator.file.drive_letter

文件所在的盘符。此字段仅在 Windows 上相关。值应为大写，且不包含冒号。

类型：关键字

示例：C

threat.enrichments.indicator.file.elf.architecture

ELF 文件的机器架构。

类型：关键字

示例：x86-64

threat.enrichments.indicator.file.elf.byte_order

ELF 文件的字节顺序。

类型：关键字

示例：小端

threat.enrichments.indicator.file.elf.cpu_type

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

threat.enrichments.indicator.file.elf.creation_date

在可能的情况下，从文件的元数据中提取。指示构建或编译的时间。它也可以被恶意软件创建者伪造。

类型：日期

threat.enrichments.indicator.file.elf.exports

导出的元素名称和类型列表。

类型：扁平化

threat.enrichments.indicator.file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

threat.enrichments.indicator.file.elf.header.class

ELF 文件的标头类。

类型：关键字

threat.enrichments.indicator.file.elf.header.data

ELF 标头的数据表。

类型：关键字

threat.enrichments.indicator.file.elf.header.entrypoint

ELF 文件的标头入口点。

类型：long

格式：字符串

threat.enrichments.indicator.file.elf.header.object_version

原始 ELF 文件的“0x1”。

类型：关键字

threat.enrichments.indicator.file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

threat.enrichments.indicator.file.elf.header.type

ELF 文件的标头类型。

类型：关键字

threat.enrichments.indicator.file.elf.header.version

ELF 标头的版本。

类型：关键字

threat.enrichments.indicator.file.elf.imports

导入的元素名称和类型列表。

类型：扁平化

threat.enrichments.indicator.file.elf.sections

包含 ELF 文件每个部分的对象数组。这些对象中应存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

threat.enrichments.indicator.file.elf.sections.chi2

该部分的卡方概率分布。

类型：long

格式：数字

threat.enrichments.indicator.file.elf.sections.entropy

来自该部分的香农熵计算。

类型：long

格式：数字

threat.enrichments.indicator.file.elf.sections.flags

ELF 部分列表标志。

类型：关键字

threat.enrichments.indicator.file.elf.sections.name

ELF 部分列表名称。

类型：关键字

threat.enrichments.indicator.file.elf.sections.physical_offset

ELF 部分列表偏移量。

类型：关键字

threat.enrichments.indicator.file.elf.sections.physical_size

ELF 部分列表物理大小。

类型：long

格式：字节

threat.enrichments.indicator.file.elf.sections.type

ELF 部分列表类型。

类型：关键字

threat.enrichments.indicator.file.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型：long

格式：字符串

threat.enrichments.indicator.file.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型：long

格式：字符串

threat.enrichments.indicator.file.elf.segments

包含 ELF 文件每个段的对象数组。这些对象中应存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

threat.enrichments.indicator.file.elf.segments.sections

ELF 对象段部分。

类型：关键字

threat.enrichments.indicator.file.elf.segments.type

ELF 对象段类型。

类型：关键字

threat.enrichments.indicator.file.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：关键字

threat.enrichments.indicator.file.elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型：关键字

threat.enrichments.indicator.file.extension

文件扩展名，不包括前导点。请注意，当文件名有多个扩展名 (例如 example.tar.gz) 时，应仅捕获最后一个扩展名 (“gz”，而不是 “tar.gz”)。

类型：关键字

示例：png

threat.enrichments.indicator.file.fork_name

类型：关键字

示例：Zone.Identifer

threat.enrichments.indicator.file.gid

文件的主组 ID (GID)。

类型：关键字

示例：1001

threat.enrichments.indicator.file.group

文件的主组名称。

类型：关键字

示例：alice

threat.enrichments.indicator.file.hash.md5

MD5 哈希值。

类型：关键字

threat.enrichments.indicator.file.hash.sha1

SHA1 哈希值。

类型：关键字

threat.enrichments.indicator.file.hash.sha256

SHA256 哈希值。

类型：关键字

threat.enrichments.indicator.file.hash.sha512

SHA512 哈希值。

类型：关键字

threat.enrichments.indicator.file.hash.ssdeep

SSDEEP 哈希值。

类型：关键字

threat.enrichments.indicator.file.inode

表示文件系统中文件的 inode。

类型：关键字

示例：256383

threat.enrichments.indicator.file.mime_type

MIME 类型应尽可能使用 IANA 官方类型标识文件或字节流的格式。如果适用多个类型，则应使用最具体的类型。

类型：关键字

threat.enrichments.indicator.file.mode

文件的八进制表示法模式。

类型：关键字

示例：0640

threat.enrichments.indicator.file.mtime

上次修改文件内容的时间。

类型：日期

threat.enrichments.indicator.file.name

文件的名称，包括扩展名，不包括目录。

类型：关键字

示例：example.png

threat.enrichments.indicator.file.owner

文件所有者的用户名。

类型：关键字

示例：alice

threat.enrichments.indicator.file.path

文件的完整路径，包括文件名。如果适用，应包括盘符。

类型：关键字

示例：/home/alice/example.png

threat.enrichments.indicator.file.path.text

类型：match_only_text

threat.enrichments.indicator.file.pe.architecture

文件的目标 CPU 架构。

类型：关键字

示例：x64

threat.enrichments.indicator.file.pe.company

文件内部的公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

threat.enrichments.indicator.file.pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

threat.enrichments.indicator.file.pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

threat.enrichments.indicator.file.pe.imphash

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

threat.enrichments.indicator.file.pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

threat.enrichments.indicator.file.pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

threat.enrichments.indicator.file.size

文件大小（以字节为单位）。仅当 file.type 为 “file” 时相关。

类型：long

示例：16384

threat.enrichments.indicator.file.target_path

符号链接的目标路径。

类型：关键字

threat.enrichments.indicator.file.target_path.text

类型：match_only_text

threat.enrichments.indicator.file.type

文件类型（file、dir 或 symlink）。

类型：关键字

示例：file

threat.enrichments.indicator.file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型：关键字

示例：1001

threat.enrichments.indicator.file.x509.alternative_names

使用者备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）和电子邮件地址。

类型：关键字

示例：*.elastic.co

threat.enrichments.indicator.file.x509.issuer.common_name

颁发证书颁发机构的公用名 (CN) 列表。

类型：关键字

示例：Example SHA2 High Assurance Server CA

threat.enrichments.indicator.file.x509.issuer.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

threat.enrichments.indicator.file.x509.issuer.distinguished_name

颁发证书颁发机构的可分辨名称 (DN)。

类型：关键字

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.enrichments.indicator.file.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

示例：Mountain View

threat.enrichments.indicator.file.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

示例：Example Inc

threat.enrichments.indicator.file.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

threat.enrichments.indicator.file.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

threat.enrichments.indicator.file.x509.not_after

证书不再被视为有效的时间。

类型：日期

示例：2020-07-16 03:15:39+00:00

threat.enrichments.indicator.file.x509.not_before

首次认为证书有效的时间。

类型：日期

示例：2019-08-16 01:40:25+00:00

threat.enrichments.indicator.file.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

示例：RSA

threat.enrichments.indicator.file.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是算法特定的。

类型：关键字

示例：nistp521

threat.enrichments.indicator.file.x509.public_key_exponent

用于推导公钥的指数。这是算法特定的。

类型：long

示例：65537

该字段未被索引。

threat.enrichments.indicator.file.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：long

示例：2048

threat.enrichments.indicator.file.x509.serial_number

证书颁发机构颁发的唯一序列号。为了保持一致性，如果此值为字母数字，则其格式应不带冒号且为大写字符。

类型：关键字

示例：55FBB9C7DEBF09809D12CCAA

threat.enrichments.indicator.file.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

示例：SHA256-RSA

threat.enrichments.indicator.file.x509.subject.common_name

使用者公用名 (CN) 列表。

类型：关键字

示例：shared.global.example.net

threat.enrichments.indicator.file.x509.subject.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

threat.enrichments.indicator.file.x509.subject.distinguished_name

证书使用者实体的可分辨名称 (DN)。

类型：关键字

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

threat.enrichments.indicator.file.x509.subject.locality

地区名称 (L) 列表

类型：关键字

示例：San Francisco

threat.enrichments.indicator.file.x509.subject.organization

使用者的组织 (O) 列表。

类型：关键字

示例：Example, Inc.

threat.enrichments.indicator.file.x509.subject.organizational_unit

使用者的组织单位 (OU) 列表。

类型：关键字

threat.enrichments.indicator.file.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

threat.enrichments.indicator.file.x509.version_number

x509 格式的版本。

类型：关键字

示例：3

threat.enrichments.indicator.first_seen

情报来源首次报告发现此指示器时的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

threat.enrichments.indicator.geo.city_name

城市名称。

类型：关键字

示例：Montreal

threat.enrichments.indicator.geo.continent_code

代表大陆名称的两个字母的代码。

类型：关键字

示例：NA

threat.enrichments.indicator.geo.continent_name

大陆的名称。

类型：关键字

示例：North America

threat.enrichments.indicator.geo.country_iso_code

国家 ISO 代码。

类型：关键字

示例：CA

threat.enrichments.indicator.geo.country_name

国家名称。

类型：关键字

示例：Canada

threat.enrichments.indicator.geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

threat.enrichments.indicator.geo.name

类型：关键字

示例：boston-dc

threat.enrichments.indicator.geo.postal_code

与位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码，并且在各个国家/地区差异很大。

类型：关键字

示例：94040

threat.enrichments.indicator.geo.region_iso_code

区域 ISO 代码。

类型：关键字

示例：CA-QC

threat.enrichments.indicator.geo.region_name

区域名称。

类型：关键字

示例：Quebec

threat.enrichments.indicator.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

threat.enrichments.indicator.ip

将威胁指示器标识为 IP 地址（与方向无关）。

类型：ip

示例：1.2.3.4

threat.enrichments.indicator.last_seen

情报来源上次报告发现此指示器时的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

threat.enrichments.indicator.marking.tlp

流量信号协议共享标记。建议的值为：* 白色 * 绿色 * 黄色 * 红色

类型：关键字

示例：白色

threat.enrichments.indicator.modified_at

情报来源上次修改此指示器信息时的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

threat.enrichments.indicator.port

将威胁指示器标识为端口号（与方向无关）。

类型：long

示例：443

threat.enrichments.indicator.provider

指示器提供商的名称。

类型：关键字

示例：lrz_urlhaus

threat.enrichments.indicator.reference

链接到有关此指示器的其他信息的参考 URL。

类型：关键字

示例：https://system.example.com/indicator/0001234

threat.enrichments.indicator.registry.data.bytes

类型：关键字

示例: ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

threat.enrichments.indicator.registry.data.strings

类型：通配符

示例: ["C:\rta\red_ttp\bin\myapp.exe"]

threat.enrichments.indicator.registry.data.type

用于编码内容的标准注册表类型

类型：关键字

示例: REG_SZ

threat.enrichments.indicator.registry.hive

注册表单元的缩写名称。

类型：关键字

示例: HKLM

threat.enrichments.indicator.registry.key

注册表单元相对的键路径。

类型：关键字

示例: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

threat.enrichments.indicator.registry.path

完整路径，包括 Hive、键和值

类型：关键字

示例：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

threat.enrichments.indicator.registry.value

写入的值的名称。

类型：关键字

示例：Debugger

threat.enrichments.indicator.scanner_stats

成功检测到恶意文件或 URL 的 AV/EDR 供应商的数量。

类型：long

示例: 4

threat.enrichments.indicator.sightings

观察到此指示器进行威胁活动的次数。

类型：long

示例：20

threat.enrichments.indicator.type

STIX 2.0 中以 Cyber Observable 表示的指示器类型。建议的值：* autonomous-system * artifact * directory * domain-name * email-addr * file * ipv4-addr * ipv6-addr * mac-addr * mutex * port * process * software * url * user-account * windows-registry-key * x509-certificate

类型：关键字

示例：ipv4-addr

threat.enrichments.indicator.url.domain

URL 的域，例如“www.elastic.co”。在某些情况下，URL 可能直接引用 IP 和/或端口，而没有域名。在这种情况下，IP 地址将进入 domain 字段。如果 URL 包含由 [ 和 ] （IETF RFC 2732）括起来的字面 IPv6 地址，则 [ 和 ] 字符也应捕获在 domain 字段中。

类型：关键字

示例：www.elastic.co

threat.enrichments.indicator.url.extension

该字段包含来自原始请求 URL 的文件扩展名，不包括前导点。仅当文件扩展名存在时才设置该文件扩展名，因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如，该值必须是“png”，而不是“.png”。请注意，当文件名有多个扩展名（example.tar.gz）时，只应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型：关键字

示例：png

threat.enrichments.indicator.url.fragment

URL 中 # 之后的部分，例如“top”。# 不是片段的一部分。

类型：关键字

threat.enrichments.indicator.url.full

如果完整 URL 对您的用例很重要，则应将其存储在 url.full 中，无论此字段是重建的还是在事件源中存在的。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top

threat.enrichments.indicator.url.full.text

类型：match_only_text

threat.enrichments.indicator.url.original

事件源中看到的未修改的原始 URL。请注意，在网络监控中，观察到的 URL 可能是完整 URL，而在访问日志中，URL 通常仅表示为路径。此字段旨在表示观察到的 URL，无论是否完整。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

threat.enrichments.indicator.url.original.text

类型：match_only_text

threat.enrichments.indicator.url.password

请求的密码。

类型：关键字

threat.enrichments.indicator.url.path

请求的路径，例如“/search”。

类型：通配符

threat.enrichments.indicator.url.port

请求的端口，例如 443。

类型：long

示例：443

格式：字符串

threat.enrichments.indicator.url.query

查询字段描述请求的查询字符串，例如“q=elasticsearch”。查询字符串中不包含 ?。如果 URL 不包含 ?，则不存在查询字段。如果存在 ? 但没有查询，则查询字段存在，但为空字符串。可以使用 exists 查询来区分这两种情况。

类型：关键字

threat.enrichments.indicator.url.registered_domain

已注册的最高级别 URL 域名，已去除子域名。例如，“foo.example.com”的注册域名是“example.com”。这个值可以通过公共后缀列表（如 http://publicsuffix.org）精确确定。尝试简单地取最后两个标签来近似这个值，对于像“co.uk”这样的顶级域名（TLD）来说效果不佳。

类型：关键字

示例：example.com

threat.enrichments.indicator.url.scheme

请求的协议，例如“https”。注意：: 不属于协议的一部分。

类型：关键字

示例：https

threat.enrichments.indicator.url.subdomain

类型：关键字

示例：east

threat.enrichments.indicator.url.top_level_domain

类型：关键字

示例：co.uk

threat.enrichments.indicator.url.username

请求的用户名。

类型：关键字

threat.enrichments.indicator.x509.alternative_names

使用者备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）和电子邮件地址。

类型：关键字

示例：*.elastic.co

threat.enrichments.indicator.x509.issuer.common_name

颁发证书颁发机构的公用名 (CN) 列表。

类型：关键字

示例：Example SHA2 High Assurance Server CA

threat.enrichments.indicator.x509.issuer.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

threat.enrichments.indicator.x509.issuer.distinguished_name

颁发证书颁发机构的可分辨名称 (DN)。

类型：关键字

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.enrichments.indicator.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

示例：Mountain View

threat.enrichments.indicator.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

示例：Example Inc

threat.enrichments.indicator.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

threat.enrichments.indicator.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

threat.enrichments.indicator.x509.not_after

证书不再被视为有效的时间。

类型：日期

示例：2020-07-16 03:15:39+00:00

threat.enrichments.indicator.x509.not_before

首次认为证书有效的时间。

类型：日期

示例：2019-08-16 01:40:25+00:00

threat.enrichments.indicator.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

示例：RSA

threat.enrichments.indicator.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是算法特定的。

类型：关键字

示例：nistp521

threat.enrichments.indicator.x509.public_key_exponent

用于推导公钥的指数。这是算法特定的。

类型：long

示例：65537

该字段未被索引。

threat.enrichments.indicator.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：long

示例：2048

threat.enrichments.indicator.x509.serial_number

证书颁发机构颁发的唯一序列号。为了保持一致性，如果此值为字母数字，则其格式应不带冒号且为大写字符。

类型：关键字

示例：55FBB9C7DEBF09809D12CCAA

threat.enrichments.indicator.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

示例：SHA256-RSA

threat.enrichments.indicator.x509.subject.common_name

使用者公用名 (CN) 列表。

类型：关键字

示例：shared.global.example.net

threat.enrichments.indicator.x509.subject.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

threat.enrichments.indicator.x509.subject.distinguished_name

证书使用者实体的可分辨名称 (DN)。

类型：关键字

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

threat.enrichments.indicator.x509.subject.locality

地区名称 (L) 列表

类型：关键字

示例：San Francisco

threat.enrichments.indicator.x509.subject.organization

使用者的组织 (O) 列表。

类型：关键字

示例：Example, Inc.

threat.enrichments.indicator.x509.subject.organizational_unit

使用者的组织单位 (OU) 列表。

类型：关键字

threat.enrichments.indicator.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

threat.enrichments.indicator.x509.version_number

x509 格式的版本。

类型：关键字

示例：3

threat.enrichments.matched.atomic

标识与本地环境端点或网络事件匹配的原子指标值。

类型：关键字

示例：bad-domain.com

threat.enrichments.matched.field

标识与本地环境端点或网络事件匹配的原子指标的字段。

类型：关键字

示例：file.hash.sha256

threat.enrichments.matched.id

标识丰富该事件的指标文档的 _id。

类型：关键字

示例：ff93aee5-86a1-4a61-b0e6-0cdc313d01b5

threat.enrichments.matched.index

标识丰富该事件的指标文档的 _index。

类型：关键字

示例：filebeat-8.0.0-2021.05.23-000011

threat.enrichments.matched.type

标识导致事件被给定指标丰富匹配的类型。

类型：关键字

示例：indicator_match_rule

threat.framework

用于进一步分类和归类报告威胁的策略和技术所使用的威胁框架的名称。框架分类可以由检测系统提供，在摄取时进行评估，或追溯性地标记到事件。

类型：关键字

示例：MITRE ATT&CK

threat.group.alias

安全社区中以通用名称跟踪的一组相关入侵活动的组别名。虽然不是必需的，但您可以使用 MITRE ATT&CK® 组别名。

类型：关键字

示例：[ "Magecart Group 6" ]

threat.group.id

安全社区中以通用名称跟踪的一组相关入侵活动的组 ID。虽然不是必需的，但您可以使用 MITRE ATT&CK® 组 ID。

类型：关键字

示例：G0037

threat.group.name

安全社区中以通用名称跟踪的一组相关入侵活动的组名称。虽然不是必需的，但您可以使用 MITRE ATT&CK® 组名称。

类型：关键字

示例：FIN6

threat.group.reference

安全社区中以通用名称跟踪的一组相关入侵活动的组参考 URL。虽然不是必需的，但您可以使用 MITRE ATT&CK® 组参考 URL。

类型：关键字

示例：https://attack.mitre.org/groups/G0037/

threat.indicator.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

threat.indicator.as.organization.name

组织名称。

类型：关键字

示例：Google LLC

threat.indicator.as.organization.name.text

类型：match_only_text

threat.indicator.confidence

类型：关键字

示例：中

threat.indicator.description

描述威胁执行的操作类型。

类型：关键字

示例：观察到 IP x.x.x.x 正在传送 Angler EK。

threat.indicator.email.address

将威胁指示器标识为电子邮件地址（与方向无关）。

类型：关键字

示例：[email protected]

threat.indicator.file.accessed

上次访问文件的时间。请注意，并非所有文件系统都会跟踪访问时间。

类型：日期

threat.indicator.file.attributes

类型：关键字

示例：["readonly", "system"]

threat.indicator.file.code_signature.digest_algorithm

用于签署进程的哈希算法。当一个文件被同一个签名者多次签名但使用不同的摘要算法时，此值可以区分签名。

类型：关键字

示例：sha256

threat.indicator.file.code_signature.exists

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

threat.indicator.file.code_signature.signing_id

用于签署进程的标识符。此标识符用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：关键字

示例：com.apple.xpc.proxy

threat.indicator.file.code_signature.status

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，请留空。

类型：关键字

示例：ERROR_UNTRUSTED_ROOT

threat.indicator.file.code_signature.subject_name

代码签名者的主题名称

类型：关键字

示例：Microsoft Corporation

threat.indicator.file.code_signature.team_id

用于签署进程的团队标识符。此标识符用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：关键字

示例：EQHXZ8M8AV

threat.indicator.file.code_signature.timestamp

代码签名生成和签署的日期和时间。

类型：日期

示例：2021-01-01T12:10:30Z

threat.indicator.file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段仅应由主动检查状态的工具填充。

类型：布尔值

示例：true

threat.indicator.file.code_signature.valid

布尔值，用于捕获数字签名是否已针对二进制内容进行验证。如果未检查证书，请留空。

类型：布尔值

示例：true

threat.indicator.file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型：日期

threat.indicator.file.ctime

上次更改文件属性或元数据的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将同时调整，因为 mtime 是文件的属性。

类型：日期

threat.indicator.file.device

作为文件来源的设备。

类型：关键字

示例：sda

threat.indicator.file.directory

文件所在的目录。它应包括盘符（如果适用）。

类型：关键字

示例：/home/alice

threat.indicator.file.drive_letter

文件所在的盘符。此字段仅在 Windows 上相关。值应为大写，且不包含冒号。

类型：关键字

示例：C

threat.indicator.file.elf.architecture

ELF 文件的机器架构。

类型：关键字

示例：x86-64

threat.indicator.file.elf.byte_order

ELF 文件的字节顺序。

类型：关键字

示例：小端

threat.indicator.file.elf.cpu_type

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

threat.indicator.file.elf.creation_date

在可能的情况下，从文件的元数据中提取。指示构建或编译的时间。它也可以被恶意软件创建者伪造。

类型：日期

threat.indicator.file.elf.exports

导出的元素名称和类型列表。

类型：扁平化

threat.indicator.file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

threat.indicator.file.elf.header.class

ELF 文件的标头类。

类型：关键字

threat.indicator.file.elf.header.data

ELF 标头的数据表。

类型：关键字

threat.indicator.file.elf.header.entrypoint

ELF 文件的标头入口点。

类型：long

格式：字符串

threat.indicator.file.elf.header.object_version

原始 ELF 文件的“0x1”。

类型：关键字

threat.indicator.file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

threat.indicator.file.elf.header.type

ELF 文件的标头类型。

类型：关键字

threat.indicator.file.elf.header.version

ELF 标头的版本。

类型：关键字

threat.indicator.file.elf.imports

导入的元素名称和类型列表。

类型：扁平化

threat.indicator.file.elf.sections

包含 ELF 文件每个部分的对象数组。这些对象中应存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

threat.indicator.file.elf.sections.chi2

该部分的卡方概率分布。

类型：long

格式：数字

threat.indicator.file.elf.sections.entropy

来自该部分的香农熵计算。

类型：long

格式：数字

threat.indicator.file.elf.sections.flags

ELF 部分列表标志。

类型：关键字

threat.indicator.file.elf.sections.name

ELF 部分列表名称。

类型：关键字

threat.indicator.file.elf.sections.physical_offset

ELF 部分列表偏移量。

类型：关键字

threat.indicator.file.elf.sections.physical_size

ELF 部分列表物理大小。

类型：long

格式：字节

threat.indicator.file.elf.sections.type

ELF 部分列表类型。

类型：关键字

threat.indicator.file.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型：long

格式：字符串

threat.indicator.file.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型：long

格式：字符串

threat.indicator.file.elf.segments

包含 ELF 文件每个段的对象数组。这些对象中应存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

threat.indicator.file.elf.segments.sections

ELF 对象段部分。

类型：关键字

threat.indicator.file.elf.segments.type

ELF 对象段类型。

类型：关键字

threat.indicator.file.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型：关键字

threat.indicator.file.elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型：关键字

threat.indicator.file.extension

文件扩展名，不包括前导点。请注意，当文件名有多个扩展名 (例如 example.tar.gz) 时，应仅捕获最后一个扩展名 (“gz”，而不是 “tar.gz”)。

类型：关键字

示例：png

threat.indicator.file.fork_name

类型：关键字

示例：Zone.Identifer

threat.indicator.file.gid

文件的主组 ID (GID)。

类型：关键字

示例：1001

threat.indicator.file.group

文件的主组名称。

类型：关键字

示例：alice

threat.indicator.file.hash.md5

MD5 哈希值。

类型：关键字

threat.indicator.file.hash.sha1

SHA1 哈希值。

类型：关键字

threat.indicator.file.hash.sha256

SHA256 哈希值。

类型：关键字

threat.indicator.file.hash.sha512

SHA512 哈希值。

类型：关键字

threat.indicator.file.hash.ssdeep

SSDEEP 哈希值。

类型：关键字

threat.indicator.file.inode

表示文件系统中文件的 inode。

类型：关键字

示例：256383

threat.indicator.file.mime_type

MIME 类型应尽可能使用 IANA 官方类型标识文件或字节流的格式。如果适用多个类型，则应使用最具体的类型。

类型：关键字

threat.indicator.file.mode

文件的八进制表示法模式。

类型：关键字

示例：0640

threat.indicator.file.mtime

上次修改文件内容的时间。

类型：日期

threat.indicator.file.name

文件的名称，包括扩展名，不包括目录。

类型：关键字

示例：example.png

threat.indicator.file.owner

文件所有者的用户名。

类型：关键字

示例：alice

threat.indicator.file.path

文件的完整路径，包括文件名。如果适用，应包括盘符。

类型：关键字

示例：/home/alice/example.png

threat.indicator.file.path.text

类型：match_only_text

threat.indicator.file.pe.architecture

文件的目标 CPU 架构。

类型：关键字

示例：x64

threat.indicator.file.pe.company

文件内部的公司名称，在编译时提供。

类型：关键字

示例：Microsoft Corporation

threat.indicator.file.pe.description

文件的内部描述，在编译时提供。

类型：关键字

示例：画图

threat.indicator.file.pe.file_version

文件的内部版本，在编译时提供。

类型：关键字

示例：6.3.9600.17415

threat.indicator.file.pe.imphash

类型：关键字

示例：0c6803c4e922103c4dca5963aad36ddf

threat.indicator.file.pe.original_file_name

文件的内部名称，在编译时提供。

类型：关键字

示例：MSPAINT.EXE

threat.indicator.file.pe.product

文件的内部产品名称，在编译时提供。

类型：关键字

示例：Microsoft® Windows® 操作系统

threat.indicator.file.size

文件大小（以字节为单位）。仅当 file.type 为 “file” 时相关。

类型：long

示例：16384

threat.indicator.file.target_path

符号链接的目标路径。

类型：关键字

threat.indicator.file.target_path.text

类型：match_only_text

threat.indicator.file.type

文件类型（file、dir 或 symlink）。

类型：关键字

示例：file

threat.indicator.file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型：关键字

示例：1001

threat.indicator.file.x509.alternative_names

使用者备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）和电子邮件地址。

类型：关键字

示例：*.elastic.co

threat.indicator.file.x509.issuer.common_name

颁发证书颁发机构的公用名 (CN) 列表。

类型：关键字

示例：Example SHA2 High Assurance Server CA

threat.indicator.file.x509.issuer.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

threat.indicator.file.x509.issuer.distinguished_name

颁发证书颁发机构的可分辨名称 (DN)。

类型：关键字

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.indicator.file.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

示例：Mountain View

threat.indicator.file.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

示例：Example Inc

threat.indicator.file.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

threat.indicator.file.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

threat.indicator.file.x509.not_after

证书不再被视为有效的时间。

类型：日期

示例：2020-07-16 03:15:39+00:00

threat.indicator.file.x509.not_before

首次认为证书有效的时间。

类型：日期

示例：2019-08-16 01:40:25+00:00

threat.indicator.file.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

示例：RSA

threat.indicator.file.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是算法特定的。

类型：关键字

示例：nistp521

threat.indicator.file.x509.public_key_exponent

用于推导公钥的指数。这是算法特定的。

类型：long

示例：65537

该字段未被索引。

threat.indicator.file.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：long

示例：2048

threat.indicator.file.x509.serial_number

证书颁发机构颁发的唯一序列号。为了保持一致性，如果此值为字母数字，则其格式应不带冒号且为大写字符。

类型：关键字

示例：55FBB9C7DEBF09809D12CCAA

threat.indicator.file.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

示例：SHA256-RSA

threat.indicator.file.x509.subject.common_name

使用者公用名 (CN) 列表。

类型：关键字

示例：shared.global.example.net

threat.indicator.file.x509.subject.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

threat.indicator.file.x509.subject.distinguished_name

证书使用者实体的可分辨名称 (DN)。

类型：关键字

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

threat.indicator.file.x509.subject.locality

地区名称 (L) 列表

类型：关键字

示例：San Francisco

threat.indicator.file.x509.subject.organization

使用者的组织 (O) 列表。

类型：关键字

示例：Example, Inc.

threat.indicator.file.x509.subject.organizational_unit

使用者的组织单位 (OU) 列表。

类型：关键字

threat.indicator.file.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

threat.indicator.file.x509.version_number

x509 格式的版本。

类型：关键字

示例：3

threat.indicator.first_seen

情报来源首次报告发现此指示器时的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

threat.indicator.geo.city_name

城市名称。

类型：关键字

示例：Montreal

threat.indicator.geo.continent_code

代表大陆名称的两个字母的代码。

类型：关键字

示例：NA

threat.indicator.geo.continent_name

大陆的名称。

类型：关键字

示例：North America

threat.indicator.geo.country_iso_code

国家 ISO 代码。

类型：关键字

示例：CA

threat.indicator.geo.country_name

国家名称。

类型：关键字

示例：Canada

threat.indicator.geo.location

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

threat.indicator.geo.name

类型：关键字

示例：boston-dc

threat.indicator.geo.postal_code

与位置关联的邮政编码。适用于此字段的值也可能被称为邮政编码或 ZIP 代码，并且在各个国家/地区差异很大。

类型：关键字

示例：94040

threat.indicator.geo.region_iso_code

区域 ISO 代码。

类型：关键字

示例：CA-QC

threat.indicator.geo.region_name

区域名称。

类型：关键字

示例：Quebec

threat.indicator.geo.timezone

位置的时区，例如 IANA 时区名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

threat.indicator.ip

将威胁指示器标识为 IP 地址（与方向无关）。

类型：ip

示例：1.2.3.4

threat.indicator.last_seen

情报来源上次报告发现此指示器时的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

threat.indicator.marking.tlp

流量信号协议共享标记。建议的值为：* 白色 * 绿色 * 黄色 * 红色

类型：关键字

示例：WHITE

threat.indicator.modified_at

情报来源上次修改此指示器信息时的日期和时间。

类型：日期

示例：2020-11-05T17:25:47.000Z

threat.indicator.port

将威胁指示器标识为端口号（与方向无关）。

类型：long

示例：443

threat.indicator.provider

指示器提供商的名称。

类型：关键字

示例：lrz_urlhaus

threat.indicator.reference

链接到有关此指示器的其他信息的参考 URL。

类型：关键字

示例：https://system.example.com/indicator/0001234

threat.indicator.registry.data.bytes

类型：关键字

示例: ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

threat.indicator.registry.data.strings

类型：通配符

示例: ["C:\rta\red_ttp\bin\myapp.exe"]

threat.indicator.registry.data.type

用于编码内容的标准注册表类型

类型：关键字

示例: REG_SZ

threat.indicator.registry.hive

注册表单元的缩写名称。

类型：关键字

示例: HKLM

threat.indicator.registry.key

注册表单元相对的键路径。

类型：关键字

示例: SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

threat.indicator.registry.path

完整路径，包括 Hive、键和值

类型：关键字

示例：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

threat.indicator.registry.value

写入的值的名称。

类型：关键字

示例：Debugger

threat.indicator.scanner_stats

成功检测到恶意文件或 URL 的 AV/EDR 供应商的数量。

类型：long

示例: 4

threat.indicator.sightings

观察到此指示器进行威胁活动的次数。

类型：long

示例：20

threat.indicator.type

类型：关键字

示例：ipv4-addr

threat.indicator.url.domain

类型：关键字

示例：www.elastic.co

threat.indicator.url.extension

类型：关键字

示例：png

threat.indicator.url.fragment

URL 中 # 之后的部分，例如“top”。# 不是片段的一部分。

类型：关键字

threat.indicator.url.full

如果完整 URL 对您的用例很重要，则应将其存储在 url.full 中，无论此字段是重建的还是在事件源中存在的。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top

threat.indicator.url.full.text

类型：match_only_text

threat.indicator.url.original

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

threat.indicator.url.original.text

类型：match_only_text

threat.indicator.url.password

请求的密码。

类型：关键字

threat.indicator.url.path

请求的路径，例如“/search”。

类型：通配符

threat.indicator.url.port

请求的端口，例如 443。

类型：long

示例：443

格式：字符串

threat.indicator.url.query

类型：关键字

threat.indicator.url.registered_domain

类型：关键字

示例：example.com

threat.indicator.url.scheme

请求的协议，例如“https”。注意：: 不属于协议的一部分。

类型：关键字

示例：https

threat.indicator.url.subdomain

类型：关键字

示例：east

threat.indicator.url.top_level_domain

类型：关键字

示例：co.uk

threat.indicator.url.username

请求的用户名。

类型：关键字

threat.indicator.x509.alternative_names

使用者备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）和电子邮件地址。

类型：关键字

示例：*.elastic.co

threat.indicator.x509.issuer.common_name

颁发证书颁发机构的公用名 (CN) 列表。

类型：关键字

示例：Example SHA2 High Assurance Server CA

threat.indicator.x509.issuer.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

threat.indicator.x509.issuer.distinguished_name

颁发证书颁发机构的可分辨名称 (DN)。

类型：关键字

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.indicator.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

示例：Mountain View

threat.indicator.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

示例：Example Inc

threat.indicator.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

threat.indicator.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

threat.indicator.x509.not_after

证书不再被视为有效的时间。

类型：日期

示例：2020-07-16 03:15:39+00:00

threat.indicator.x509.not_before

首次认为证书有效的时间。

类型：日期

示例：2019-08-16 01:40:25+00:00

threat.indicator.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

示例：RSA

threat.indicator.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是算法特定的。

类型：关键字

示例：nistp521

threat.indicator.x509.public_key_exponent

用于推导公钥的指数。这是算法特定的。

类型：long

示例：65537

该字段未被索引。

threat.indicator.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：long

示例：2048

threat.indicator.x509.serial_number

证书颁发机构颁发的唯一序列号。为了保持一致性，如果此值为字母数字，则其格式应不带冒号且为大写字符。

类型：关键字

示例：55FBB9C7DEBF09809D12CCAA

threat.indicator.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

示例：SHA256-RSA

threat.indicator.x509.subject.common_name

使用者公用名 (CN) 列表。

类型：关键字

示例：shared.global.example.net

threat.indicator.x509.subject.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

threat.indicator.x509.subject.distinguished_name

证书使用者实体的可分辨名称 (DN)。

类型：关键字

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

threat.indicator.x509.subject.locality

地区名称 (L) 列表

类型：关键字

示例：San Francisco

threat.indicator.x509.subject.organization

使用者的组织 (O) 列表。

类型：关键字

示例：Example, Inc.

threat.indicator.x509.subject.organizational_unit

使用者的组织单位 (OU) 列表。

类型：关键字

threat.indicator.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

threat.indicator.x509.version_number

x509 格式的版本。

类型：关键字

示例：3

threat.software.alias

安全社区中以通用名称跟踪的一组相关入侵活动的软件别名。虽然不是必需的，但您可以使用 MITRE ATT&CK® 相关软件描述。

类型：关键字

示例：[ "X-Agent" ]

threat.software.id

此威胁使用的软件的 ID，以执行通常使用 MITRE ATT&CK® 建模的行为。虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件 ID。

类型：关键字

示例：S0552

threat.software.name

此威胁使用的软件的名称，以执行通常使用 MITRE ATT&CK® 建模的行为。虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件名称。

类型：关键字

示例：AdFind

threat.software.platforms

此威胁使用的软件的平台，以执行通常使用 MITRE ATT&CK® 建模的行为。推荐值：* AWS * Azure * Azure AD * GCP * Linux * macOS * Network * Office 365 * SaaS * Windows

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件平台。

类型：关键字

示例：[ "Windows" ]

threat.software.reference

此威胁使用的软件的参考 URL，以执行通常使用 MITRE ATT&CK® 建模的行为。虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件参考 URL。

类型：关键字

示例：https://attack.mitre.org/software/S0552/

threat.software.type

此威胁使用的软件的类型，以执行通常使用 MITRE ATT&CK® 建模的行为。推荐值 * 恶意软件 * 工具

While not required, you can use a MITRE ATT&CK® software type.

类型：关键字

示例：工具

threat.tactic.id

此威胁使用的策略 ID。例如，您可以使用 MITRE ATT&CK® 策略。（例如，https://attack.mitre.org/tactics/TA0002/ ）

类型：关键字

示例：TA0002

threat.tactic.name

此威胁使用的策略类型的名称。例如，您可以使用 MITRE ATT&CK® 策略。（例如，https://attack.mitre.org/tactics/TA0002/）

类型：关键字

示例：执行

threat.tactic.reference

此威胁所使用战术的参考 URL。例如，可以使用 MITRE ATT&CK® 战术。(例如： https://attack.mitre.org/tactics/TA0002/ )

类型：关键字

示例: https://attack.mitre.org/tactics/TA0002/

threat.technique.id

此威胁所使用技术的 ID。例如，可以使用 MITRE ATT&CK® 技术。(例如： https://attack.mitre.org/techniques/T1059/)

类型：关键字

示例: T1059

threat.technique.name

此威胁所使用技术的名称。例如，可以使用 MITRE ATT&CK® 技术。(例如： https://attack.mitre.org/techniques/T1059/)

类型：关键字

示例: 命令和脚本解释器

threat.technique.name.text

类型：match_only_text

threat.technique.reference

此威胁所使用技术的参考 URL。例如，可以使用 MITRE ATT&CK® 技术。(例如： https://attack.mitre.org/techniques/T1059/)

类型：关键字

示例: https://attack.mitre.org/techniques/T1059/

threat.technique.subtechnique.id

此威胁所使用子技术的完整 ID。例如，可以使用 MITRE ATT&CK® 子技术。(例如： https://attack.mitre.org/techniques/T1059/001/)

类型：关键字

示例: T1059.001

threat.technique.subtechnique.name

此威胁所使用子技术的名称。例如，可以使用 MITRE ATT&CK® 子技术。(例如： https://attack.mitre.org/techniques/T1059/001/)

类型：关键字

示例: PowerShell

threat.technique.subtechnique.name.text

类型：match_only_text

threat.technique.subtechnique.reference

此威胁所使用子技术的参考 URL。例如，可以使用 MITRE ATT&CK® 子技术。(例如： https://attack.mitre.org/techniques/T1059/001/)

类型：关键字

示例: https://attack.mitre.org/techniques/T1059/001/

tls

与 TLS 连接相关的字段。这些字段侧重于 TLS 协议本身，并有意避免对相关的 x.509 证书文件进行深入分析。

tls.cipher

指示当前连接期间使用的密码的字符串。

类型：关键字

示例: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

tls.client.certificate

客户端提供的 PEM 编码的独立证书。这通常与 client.certificate_chain 互斥，因为该值也存在于该列表中。

类型：关键字

示例: MII…

tls.client.certificate_chain

构成客户端提供的证书链的 PEM 编码证书数组。这通常与 client.certificate 互斥，因为该值应该是链中的第一个证书。

类型：关键字

示例: ["MII…", "MII…"]

tls.client.hash.md5

使用客户端提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：关键字

示例: 0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC

tls.client.hash.sha1

使用客户端提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：关键字

示例: 9E393D93138888D288266C2D915214D1D1CCEB2A

tls.client.hash.sha256

使用客户端提供的证书的 DER 编码版本的 SHA256 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：关键字

示例: 0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0

tls.client.issuer

客户端提供的 x.509 证书颁发者的主体的专有名称。

类型：关键字

示例: CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com

tls.client.ja3

一个哈希值，它根据客户端执行 SSL/TLS 握手的方式来标识客户端。

类型：关键字

示例: d4e5b18d6b55c71272893221c96ba240

tls.client.not_after

指示客户端证书不再被视为有效的日期/时间。

类型：日期

示例: 2021-01-01T00:00:00.000Z

tls.client.not_before

指示客户端证书首次被视为有效的日期/时间。

类型：日期

示例: 1970-01-01T00:00:00.000Z

tls.client.server_name

也称为 SNI，它告诉服务器客户端尝试连接到哪个主机名。如果此值可用，则应将其复制到 destination.domain。

类型：关键字

示例：www.elastic.co

tls.client.subject

客户端提供的 x.509 证书的主体的专有名称。

类型：关键字

示例: CN=myclient, OU=Documentation Team, DC=example, DC=com

tls.client.supported_ciphers

客户端在客户端 hello 期间提供的密码数组。

类型：关键字

示例: ["TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "…"]

tls.client.x509.alternative_names

使用者备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）和电子邮件地址。

类型：关键字

示例：*.elastic.co

tls.client.x509.issuer.common_name

颁发证书颁发机构的公用名 (CN) 列表。

类型：关键字

示例：Example SHA2 High Assurance Server CA

tls.client.x509.issuer.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

tls.client.x509.issuer.distinguished_name

颁发证书颁发机构的可分辨名称 (DN)。

类型：关键字

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

tls.client.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

示例：Mountain View

tls.client.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

示例：Example Inc

tls.client.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

tls.client.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

tls.client.x509.not_after

证书不再被视为有效的时间。

类型：日期

示例：2020-07-16 03:15:39+00:00

tls.client.x509.not_before

首次认为证书有效的时间。

类型：日期

示例：2019-08-16 01:40:25+00:00

tls.client.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

示例：RSA

tls.client.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是算法特定的。

类型：关键字

示例：nistp521

tls.client.x509.public_key_exponent

用于推导公钥的指数。这是算法特定的。

类型：long

示例：65537

该字段未被索引。

tls.client.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：long

示例：2048

tls.client.x509.serial_number

证书颁发机构颁发的唯一序列号。为了保持一致性，如果此值为字母数字，则其格式应不带冒号且为大写字符。

类型：关键字

示例：55FBB9C7DEBF09809D12CCAA

tls.client.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

示例：SHA256-RSA

tls.client.x509.subject.common_name

使用者公用名 (CN) 列表。

类型：关键字

示例：shared.global.example.net

tls.client.x509.subject.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

tls.client.x509.subject.distinguished_name

证书使用者实体的可分辨名称 (DN)。

类型：关键字

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

tls.client.x509.subject.locality

地区名称 (L) 列表

类型：关键字

示例：San Francisco

tls.client.x509.subject.organization

使用者的组织 (O) 列表。

类型：关键字

示例：Example, Inc.

tls.client.x509.subject.organizational_unit

使用者的组织单位 (OU) 列表。

类型：关键字

tls.client.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

tls.client.x509.version_number

x509 格式的版本。

类型：关键字

示例：3

tls.curve

指示给定密码使用的曲线的字符串（如果适用）。

类型：关键字

示例: secp256r1

tls.established

布尔标志，指示 TLS 协商是否成功并转换为加密隧道。

类型：布尔值

tls.next_protocol

指示正在隧道传输的协议的字符串。根据 IANA 注册表中的值 (https://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml#alpn-protocol-ids)，此字符串应为小写。

类型：关键字

示例: http/1.1

tls.resumed

布尔标志，指示此 TLS 连接是否从现有 TLS 协商恢复。

类型：布尔值

tls.server.certificate

服务器提供的 PEM 编码的独立证书。这通常与 server.certificate_chain 互斥，因为该值也存在于该列表中。

类型：关键字

示例: MII…

tls.server.certificate_chain

构成服务器提供的证书链的 PEM 编码证书数组。这通常与 server.certificate 互斥，因为该值应该是链中的第一个证书。

类型：关键字

示例: ["MII…", "MII…"]

tls.server.hash.md5

使用服务器提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：关键字

示例: 0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC

tls.server.hash.sha1

使用服务器提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：关键字

示例: 9E393D93138888D288266C2D915214D1D1CCEB2A

tls.server.hash.sha256

使用服务器提供的证书的 DER 编码版本的 SHA256 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：关键字

示例: 0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0

tls.server.issuer

服务器提供的 x.509 证书颁发者的主体。

类型：关键字

示例: CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com

tls.server.ja3s

一个哈希值，它根据服务器执行 SSL/TLS 握手的方式来标识服务器。

类型：关键字

示例: 394441ab65754e2207b1e1b457b3641d

tls.server.not_after

指示服务器证书不再被视为有效的时间戳。

类型：日期

示例: 2021-01-01T00:00:00.000Z

tls.server.not_before

指示服务器证书首次被视为有效的时间戳。

类型：日期

示例: 1970-01-01T00:00:00.000Z

tls.server.subject

服务器提供的 x.509 证书的主体。

类型：关键字

示例: CN=www.example.com, OU=Infrastructure Team, DC=example, DC=com

tls.server.x509.alternative_names

使用者备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）和电子邮件地址。

类型：关键字

示例：*.elastic.co

tls.server.x509.issuer.common_name

颁发证书颁发机构的公用名 (CN) 列表。

类型：关键字

示例：Example SHA2 High Assurance Server CA

tls.server.x509.issuer.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

tls.server.x509.issuer.distinguished_name

颁发证书颁发机构的可分辨名称 (DN)。

类型：关键字

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

tls.server.x509.issuer.locality

地区名称 (L) 列表

类型：关键字

示例：Mountain View

tls.server.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

示例：Example Inc

tls.server.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

tls.server.x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

tls.server.x509.not_after

证书不再被视为有效的时间。

类型：日期

示例：2020-07-16 03:15:39+00:00

tls.server.x509.not_before

首次认为证书有效的时间。

类型：日期

示例：2019-08-16 01:40:25+00:00

tls.server.x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

示例：RSA

tls.server.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是算法特定的。

类型：关键字

示例：nistp521

tls.server.x509.public_key_exponent

用于推导公钥的指数。这是算法特定的。

类型：long

示例：65537

该字段未被索引。

tls.server.x509.public_key_size

公钥空间的大小（以位为单位）。

类型：long

示例：2048

tls.server.x509.serial_number

证书颁发机构颁发的唯一序列号。为了保持一致性，如果此值为字母数字，则其格式应不带冒号且为大写字符。

类型：关键字

示例：55FBB9C7DEBF09809D12CCAA

tls.server.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

示例：SHA256-RSA

tls.server.x509.subject.common_name

使用者公用名 (CN) 列表。

类型：关键字

示例：shared.global.example.net

tls.server.x509.subject.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

tls.server.x509.subject.distinguished_name

证书使用者实体的可分辨名称 (DN)。

类型：关键字

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

tls.server.x509.subject.locality

地区名称 (L) 列表

类型：关键字

示例：San Francisco

tls.server.x509.subject.organization

使用者的组织 (O) 列表。

类型：关键字

示例：Example, Inc.

tls.server.x509.subject.organizational_unit

使用者的组织单位 (OU) 列表。

类型：关键字

tls.server.x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

tls.server.x509.version_number

x509 格式的版本。

类型：关键字

示例：3

tls.version

从原始字符串解析的版本号的数字部分。

类型：关键字

示例: 1.2

tls.version_protocol

从原始字符串解析的规范化的小写协议名称。

类型：关键字

示例: tls

span.id

跨度在其跟踪范围内的唯一标识符。跨度表示事务中的操作，例如对另一个服务的请求或数据库查询。

类型：关键字

示例: 3ff9a8981b7ccd5a

trace.id

跟踪的唯一标识符。跟踪将多个事件分组在一起，例如属于一起的事务。例如，由多个互连服务处理的用户请求。

类型：关键字

示例: 4bf92f3577b34da6a3ce929d0e0e4736

transaction.id

事务在其跟踪范围内的唯一标识符。事务是服务中测量的最高级别的工作，例如对服务器的请求。

类型：关键字

示例: 00f067aa0ba902b7

url

URL 字段提供对完整或部分 URL 的支持，并支持分解为 scheme、domain、path 等。

url.domain

类型：关键字

示例：www.elastic.co

url.extension

类型：关键字

示例：png

url.fragment

URL 中 # 之后的部分，例如“top”。# 不是片段的一部分。

类型：关键字

url.full

如果完整 URL 对您的用例很重要，则应将其存储在 url.full 中，无论此字段是重建的还是在事件源中存在的。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top

url.full.text

类型：match_only_text

url.original

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

url.original.text

类型：match_only_text

url.password

请求的密码。

类型：关键字

url.path

请求的路径，例如“/search”。

类型：通配符

url.port

请求的端口，例如 443。

类型：long

示例：443

格式：字符串

url.query

类型：关键字

url.registered_domain

类型：关键字

示例：example.com

url.scheme

请求的协议，例如“https”。注意：: 不属于协议的一部分。

类型：关键字

示例：https

url.subdomain

类型：关键字

示例：east

url.top_level_domain

类型：关键字

示例：co.uk

url.username

请求的用户名。

类型：关键字

user

用户字段描述与事件相关的用户信息。字段可以有一个条目或多个条目。如果用户有多个 ID，请提供一个包含所有 ID 的数组。

user.changes.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.changes.email

用户电子邮件地址。

类型：关键字

user.changes.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

user.changes.full_name.text

类型：match_only_text

user.changes.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.changes.group.id

系统/平台上该组的唯一标识符。

类型：关键字

user.changes.group.name

组的名称。

类型：关键字

user.changes.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.id 或 user.name 包含机密信息并且无法使用，则此方法很有用。

类型：关键字

user.changes.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

user.changes.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

user.changes.name.text

类型：match_only_text

user.changes.roles

事件发生时用户角色的数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.effective.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.effective.email

用户电子邮件地址。

类型：关键字

user.effective.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

user.effective.full_name.text

类型：match_only_text

user.effective.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.effective.group.id

系统/平台上该组的唯一标识符。

类型：关键字

user.effective.group.name

组的名称。

类型：关键字

user.effective.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.id 或 user.name 包含机密信息并且无法使用，则此方法很有用。

类型：关键字

user.effective.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

user.effective.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

user.effective.name.text

类型：match_only_text

user.effective.roles

事件发生时用户角色的数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

user.email

用户电子邮件地址。

类型：关键字

user.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

user.full_name.text

类型：match_only_text

user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.group.id

系统/平台上该组的唯一标识符。

类型：关键字

user.group.name

组的名称。

类型：关键字

user.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.id 或 user.name 包含机密信息并且无法使用，则此方法很有用。

类型：关键字

user.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

user.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

user.name.text

类型：match_only_text

user.roles

事件发生时用户角色的数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

user.target.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.target.email

用户电子邮件地址。

类型：关键字

user.target.full_name

用户的全名（如果可用）。

类型：关键字

示例：Albert Einstein

user.target.full_name.text

类型：match_only_text

user.target.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

user.target.group.id

系统/平台上该组的唯一标识符。

类型：关键字

user.target.group.name

组的名称。

类型：关键字

user.target.hash

用于以匿名形式关联用户信息的用户唯一哈希值。如果 user.id 或 user.name 包含机密信息并且无法使用，则此方法很有用。

类型：关键字

user.target.id

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

user.target.name

用户的简称或登录名。

类型：关键字

示例：a.einstein

user.target.name.text

类型：match_only_text

user.target.roles

事件发生时用户角色的数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

user_agent

user_agent 字段通常来自浏览器请求。它们经常出现在来自已解析的用户代理字符串的 Web 服务日志中。

user_agent.device.name

设备名称。

类型：关键字

示例: iPhone

user_agent.name

用户代理的名称。

类型：关键字

示例: Safari

user_agent.original

未解析的 user_agent 字符串。

类型：关键字

示例: Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

user_agent.original.text

类型：match_only_text

user_agent.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：关键字

示例：debian

user_agent.os.full

操作系统名称，包括版本或代码名称。

类型：关键字

示例：Mac OS Mojave

user_agent.os.full.text

类型：match_only_text

user_agent.os.kernel

操作系统内核版本，作为原始字符串。

类型：关键字

示例：4.4.0-112-generic

user_agent.os.name

操作系统名称，不带版本。

类型：关键字

示例：Mac OS X

user_agent.os.name.text

类型：match_only_text

user_agent.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

类型：关键字

示例：darwin

user_agent.os.type

类型：关键字

示例：macos

user_agent.os.version

操作系统版本，作为原始字符串。

类型：关键字

示例：10.14.1

user_agent.version

用户代理的版本。

类型：关键字

示例：12.0

vlan

VLAN 字段用于标识数据包的 802.1q 标签，以及观察者相对于特定数据包或连接的入口和出口 VLAN 关联。Network.vlan 字段用于记录观察到的数据包或连接的单个 VLAN 标签，或者在 q-in-q 封装情况下的外部标签，通常由被动报告流量的网络传感器（例如 Zeek、Wireshark）提供。Network.inner VLAN 字段用于报告观察到的内部 q-in-q 802.1q 标签（多个 802.1q 封装），通常由被动报告流量的网络传感器（例如 Zeek、Wireshark）提供。Network.inner VLAN 字段应仅与 network.vlan 字段一起使用，以指示 q-in-q 标记。观察者的入口和出口 VLAN 值用于记录观察者事件包含离散入口和出口 VLAN 信息时的观察者特定信息，通常由防火墙、路由器或负载均衡器提供。

vlan.id

观察者报告的 VLAN ID。

类型：关键字

示例：10

vlan.name

观察者报告的可选 VLAN 名称。

类型：关键字

示例：outside

vulnerability

漏洞字段描述与事件相关的漏洞信息。

vulnerability.category

漏洞影响的系统或架构类型。这些可能是特定于平台的（例如，Debian 或 SUSE），也可能是通用的（例如，数据库或防火墙）。例如（Qualys 漏洞类别）此字段必须是一个数组。

类型：关键字

示例：["Firewall"]

vulnerability.classification

漏洞评分系统的分类。例如（https://www.first.org/cvss/）

类型：关键字

示例：CVSS

vulnerability.description

漏洞的描述，提供有关漏洞的更多上下文。例如（通用漏洞和暴露 CVE 描述）

类型：关键字

示例：在 macOS 2.12.6 之前的版本中，RPC 中存在一个漏洞……

vulnerability.description.text

类型：match_only_text

vulnerability.enumeration

此漏洞使用的标识符类型。例如（https://cve.mitre.org/about/）

类型：关键字

示例：CVE

vulnerability.id

标识 (ID) 是漏洞条目的数字部分。它包括该漏洞的唯一标识号。例如（通用漏洞和暴露 CVE ID）

类型：关键字

示例：CVE-2019-00001

vulnerability.reference

提供有关已识别漏洞的其他信息、上下文和缓解措施的资源。

类型：关键字

示例：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6111

vulnerability.report_id

报告或扫描标识号。

类型：关键字

示例：20191018.0001

vulnerability.scanner.vendor

漏洞扫描器供应商的名称。

类型：关键字

示例：Tenable

vulnerability.score.base

分数范围可以从 0.0 到 10.0，其中 10.0 最为严重。基本分数涵盖对可利用性指标（攻击向量、复杂性、权限和用户交互）、影响指标（机密性、完整性和可用性）以及范围的评估。例如（https://www.first.org/cvss/specification-document）

类型：float

示例：5.5

vulnerability.score.environmental

分数范围可以从 0.0 到 10.0，其中 10.0 最为严重。环境分数涵盖对任何修改后的基本指标、机密性、完整性和可用性要求的评估。例如（https://www.first.org/cvss/specification-document）

类型：float

示例：5.5

vulnerability.score.temporal

分数范围可以从 0.0 到 10.0，其中 10.0 最为严重。临时分数涵盖对代码成熟度、修复级别和置信度的评估。例如（https://www.first.org/cvss/specification-document）

类型：float

vulnerability.score.version

国家漏洞数据库 (NVD) 为 CVSS v2.0 基本分数范围提供“低”、“中”和“高”的定性严重性排名，以及 CVSS v3.0 规范中定义的 CVSS v3.0 严重性评级。CVSS 由 FIRST.Org, Inc. (FIRST) 拥有和管理，这是一个位于美国的非营利组织，其使命是帮助世界各地的计算机安全事件响应团队。例如（https://nvd.nist.gov/vuln-metrics/cvss）

类型：关键字

示例：2.0

vulnerability.severity

漏洞的严重程度可以帮助进行指标和关于修复的内部优先级排序。例如（https://nvd.nist.gov/vuln-metrics/cvss）

类型：关键字

示例：严重

x509

这实现了 x509 证书的通用核心字段。此信息很可能与 TLS 会话、可执行二进制文件中找到的数字签名、电子邮件正文中的 S/MIME 信息或磁盘上文件的分析一起记录。当证书与文件相关时，请使用 file.x509 中的字段。如果 DER 编码证书的哈希可用，则还应填充 hash 数据集（例如，file.hash.sha256）。包含有关网络连接的证书信息的事件应使用相关 TLS 字段下的 x509 字段：tls.server.x509 和/或 tls.client.x509。

x509.alternative_names

使用者备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）和电子邮件地址。

类型：关键字

示例：*.elastic.co

x509.issuer.common_name

颁发证书颁发机构的公用名 (CN) 列表。

类型：关键字

示例：Example SHA2 High Assurance Server CA

x509.issuer.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

x509.issuer.distinguished_name

颁发证书颁发机构的可分辨名称 (DN)。

类型：关键字

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

x509.issuer.locality

地区名称 (L) 列表

类型：关键字

示例：Mountain View

x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

示例：Example Inc

x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

x509.issuer.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

x509.not_after

证书不再被视为有效的时间。

类型：日期

示例：2020-07-16 03:15:39+00:00

x509.not_before

首次认为证书有效的时间。

类型：日期

示例：2019-08-16 01:40:25+00:00

x509.public_key_algorithm

用于生成公钥的算法。

类型：关键字

示例：RSA

x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是算法特定的。

类型：关键字

示例：nistp521

x509.public_key_exponent

用于推导公钥的指数。这是算法特定的。

类型：long

示例：65537

该字段未被索引。

x509.public_key_size

公钥空间的大小（以位为单位）。

类型：long

示例：2048

x509.serial_number

证书颁发机构颁发的唯一序列号。为了保持一致性，如果此值为字母数字，则其格式应不带冒号且为大写字符。

类型：关键字

示例：55FBB9C7DEBF09809D12CCAA

x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参见https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：关键字

示例：SHA256-RSA

x509.subject.common_name

使用者公用名 (CN) 列表。

类型：关键字

示例：shared.global.example.net

x509.subject.country

国家/地区 (C) 代码列表

类型：关键字

示例：US

x509.subject.distinguished_name

证书使用者实体的可分辨名称 (DN)。

类型：关键字

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

x509.subject.locality

地区名称 (L) 列表

类型：关键字

示例：San Francisco

x509.subject.organization

使用者的组织 (O) 列表。

类型：关键字

示例：Example, Inc.

x509.subject.organizational_unit

使用者的组织单位 (OU) 列表。

类型：关键字

x509.subject.state_or_province

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

x509.version_number

x509 格式的版本。

类型：关键字

示例：3

« Dropwizard 字段 Elasticsearch 字段 »