ECS 字段

事件起源的日期/时间。这是从事件中提取的日期/时间，通常代表事件由源生成的日期/时间。如果事件源没有原始时间戳，此值通常由事件首次被管道接收的时间填充。所有事件的必填字段。

类型：日期

示例：2016-05-23T08:05:34.853Z

必填：True

自定义键值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例：docker 和 k8s 标签。

类型：对象

示例：{"application": "foo-bar", "env": "production"}

对于日志事件，message 字段包含日志消息，针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志，可以将其他字段连接起来，以形成事件的人类可读摘要。如果存在多个消息，则可以将它们组合成一条消息。

类型：match_only_text

示例：Hello World

用于标记每个事件的关键字列表。

类型：关键字

示例：["production", "env2"]

代理的扩展构建信息。此字段旨在包含数据源可能提供的任何构建信息，不需要特定的格式。

类型：关键字

示例：metricbeat 版本 7.6.0 (amd64)，libbeat 7.6.0 [6a23e8f8f30f5001ba344e4e54d8d9cb82cb107c 构建于 2020-02-05 23:10:10 +0000 UTC]

此代理的短暂标识符（如果存在）。此 ID 通常在重启时发生变化，但 agent.id 不会。

类型：关键字

示例：8a4f500f

此代理的唯一标识符（如果存在）。例如：对于 Beats，这将是 beat.id。

类型：关键字

示例：8a4f500d

代理的自定义名称。这是可以赋予代理的名称。如果例如，两个 Filebeat 实例在同一主机上运行，但需要对来自哪个 Filebeat 实例的数据进行人类可读的分隔，这将非常有用。如果没有给出名称，则该名称通常为空。

类型：关键字

示例：foo

代理的类型。代理类型始终保持不变，应由所使用的代理给出。在 Filebeat 的情况下，即使在同一台机器上运行两个 Filebeat 实例，代理也始终是 Filebeat。

类型：关键字

示例：filebeat

代理的版本。

类型：关键字

示例：6.0.0-rc2

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

组织名称。

类型：关键字

示例：Google LLC

类型：match_only_text

某些事件客户端地址定义不明确。该事件有时会列出 IP、域或 unix 套接字。您应始终将原始地址存储在 .address 字段中。然后应根据情况将其复制到 .ip 或 .domain。

类型：关键字

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

组织名称。

类型：关键字

示例：Google LLC

类型：match_only_text

从客户端发送到服务器的字节数。

类型：long

示例：184

格式：字节

客户端系统的域名。此值可能为主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或来自丰富添加。

类型：关键字

示例：foo.example.com

城市名称。

类型：关键字

示例：蒙特利尔

代表大陆名称的两位字母代码。

类型：关键字

示例：NA

大陆名称。

类型：关键字

示例：北美

国家 ISO 代码。

类型：关键字

示例：CA

国家名称。

类型：关键字

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可能是其数据中心的名称、楼层编号（如果这描述的是本地物理实体）、城市名称。通常不在自动地理定位中使用。

类型：关键字

示例：boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区将有很大差异。

类型：关键字

示例：94040

地区 ISO 代码。

类型：关键字

示例：CA-QC

地区名称。

类型：关键字

示例：魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

客户端的 IP 地址（IPv4 或 IPv6）。

类型：ip

客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节的无符号整数值。连续的八位字节由连字符隔开。

类型：关键字

示例：00-00-5E-00-53-23

基于源 NAT 会话的源 IP 翻译（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

类型：ip

基于源 NAT 会话的源端口翻译（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

类型：long

格式：字符串

从客户端发送到服务器的数据包。

类型：long

示例：12

客户端的端口。

类型：long

格式：字符串

剥离子域的最高注册客户端域名。例如，"foo.example.com" 的注册域为 "example.com"。可以使用像公共后缀列表这样的列表精确地确定此值 (http://publicsuffix.org)。简单地获取最后两个标签来近似此值，对于像“co.uk”这样的 TLD 来说将无法正常工作。

类型：关键字

示例：example.com

完全限定域名的子域部分包含除了注册域下的主机名之外的所有名称。在部分限定域中，或者如果无法确定全名的限定级别，则 subdomain 包含注册域以下的所有名称。例如，“www.east.mydomain.co.uk” 的子域部分为“east”。如果域具有多个子域级别，例如“sub2.sub1.example.com”，则 subdomain 字段应包含“sub2.sub1”，没有尾随句号。

类型：关键字

示例：east

有效顶级域 (eTLD)，也称为域名后缀，是域名最后一部分。例如，example.com 的顶级域为“com”。可以使用像公共后缀列表这样的列表精确地确定此值 (http://publicsuffix.org)。简单地获取最后一个标签来近似此值，对于像“co.uk”这样的有效 TLD 来说将无法正常工作。

类型：关键字

示例：co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

用户电子邮件地址。

类型：关键字

用户的全名（如果可用）。

类型：关键字

示例：阿尔伯特·爱因斯坦

类型：match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

组在系统/平台上的唯一标识符。

类型：关键字

组的名称。

类型：关键字

唯一用户哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息而无法使用，则很有用。

类型：关键字

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

用户的简称或登录名。

类型：关键字

示例：a.einstein

类型：match_only_text

事件发生时用户角色的数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

用于在多租户环境中识别不同实体的云帐户或组织 ID。例如：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：关键字

示例：666777888999

用于在多租户环境中识别不同实体的云帐户名称或别名。例如：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：关键字

示例：elastic-dev

此宿主、资源或服务所在的可用区。

类型：关键字

示例：us-east-1c

主机机器的实例 ID。

类型：关键字

示例：i-1234567890abcdef0

主机机器的实例名称。

类型：关键字

主机机器的机器类型。

类型：关键字

示例：t2.medium

用于在多租户环境中识别不同实体的云帐户或组织 ID。例如：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：关键字

示例：666777888999

用于在多租户环境中识别不同实体的云帐户名称或别名。例如：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：关键字

示例：elastic-dev

此宿主、资源或服务所在的可用区。

类型：关键字

示例：us-east-1c

主机机器的实例 ID。

类型：关键字

示例：i-1234567890abcdef0

主机机器的实例名称。

类型：关键字

主机机器的机器类型。

类型：关键字

示例：t2.medium

云项目标识符。例如：Google Cloud 项目 ID、Azure 项目 ID。

类型：关键字

示例：my-project

云项目名称。例如：Google Cloud 项目名称、Azure 项目名称。

类型：关键字

示例：my project

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型：关键字

示例：aws

此宿主、资源或服务所在的区域。

类型：关键字

示例：us-east-1

云服务名称旨在区分在提供商内不同平台上运行的服务，例如 AWS EC2 与 Lambda，GCP GCE 与 App Engine，Azure VM 与 App Server。例如：app engine、app service、cloud run、fargate、lambda。

类型：关键字

例如：lambda

云项目标识符。例如：Google Cloud 项目 ID、Azure 项目 ID。

类型：关键字

示例：my-project

云项目名称。例如：Google Cloud 项目名称、Azure 项目名称。

类型：关键字

示例：my project

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型：关键字

示例：aws

此宿主、资源或服务所在的区域。

类型：关键字

示例：us-east-1

云服务名称旨在区分在提供商内不同平台上运行的服务，例如 AWS EC2 与 Lambda，GCP GCE 与 App Engine，Azure VM 与 App Server。例如：app engine、app service、cloud run、fargate、lambda。

类型：关键字

例如：lambda

用于在多租户环境中识别不同实体的云帐户或组织 ID。例如：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：关键字

示例：666777888999

用于在多租户环境中识别不同实体的云帐户名称或别名。例如：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：关键字

示例：elastic-dev

此宿主、资源或服务所在的可用区。

类型：关键字

示例：us-east-1c

主机机器的实例 ID。

类型：关键字

示例：i-1234567890abcdef0

主机机器的实例名称。

类型：关键字

主机机器的机器类型。

类型：关键字

示例：t2.medium

云项目标识符。例如：Google Cloud 项目 ID、Azure 项目 ID。

类型：关键字

示例：my-project

云项目名称。例如：Google Cloud 项目名称、Azure 项目名称。

类型：关键字

示例：my project

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

类型：关键字

示例：aws

此宿主、资源或服务所在的区域。

类型：关键字

示例：us-east-1

云服务名称旨在区分在提供商内不同平台上运行的服务，例如 AWS EC2 与 Lambda，GCP GCE 与 App Engine，Azure VM 与 App Server。例如：app engine、app service、cloud run、fargate、lambda。

类型：关键字

例如：lambda

用于签署进程的哈希算法。当文件由同一个签名者使用不同的摘要算法多次签名时，此值可以区分签名。

类型：关键字

例如：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

例如：true

用于签署进程的标识符。用于标识软件供应商制造的应用程序。此字段与 Apple *OS 相关。

类型：关键字

例如：com.apple.xpc.proxy

有关证书状态的附加信息。这对于记录与证书有效性或信任状态相关的加密错误很有用。如果未检查证书的有效性或信任，则不进行填充。

类型：关键字

例如：ERROR_UNTRUSTED_ROOT

代码签名者的主题名称

类型：关键字

例如：Microsoft Corporation

用于签署进程的团队标识符。用于标识软件产品的团队或供应商。此字段与 Apple *OS 相关。

类型：关键字

例如：EQHXZ8M8AV

生成和签署代码签名的时间日期。

类型：日期

例如：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

例如：true

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则不进行填充。

类型：布尔值

例如：true

使用的 CPU 百分比，通过 CPU 内核数量进行归一化，范围从 0 到 1。缩放因子：1000。

类型：scaled_float

自上次指标收集以来，成功读取的总字节数（从所有磁盘汇总）（量规）。

类型：long

自上次指标收集以来，成功写入的总字节数（从所有磁盘汇总）（量规）。

类型：long

唯一的容器 ID。

类型：关键字

容器构建的镜像名称。

类型：关键字

容器镜像标签。

类型：关键字

镜像标签。

类型：对象

内存使用率百分比，范围从 0 到 1。缩放因子：1000。

类型：scaled_float

容器名称。

类型：关键字

自上次指标收集以来，容器在所有网络接口上发送的字节数（量规）。

类型：long

自上次指标收集以来，容器在所有网络接口上接收的字节数（量规）。

类型：long

管理此容器的运行时。

类型：关键字

例如：docker

该字段可以包含任何有意义的内容来表示数据的来源。示例包括 nginx.access、prometheus、endpoint 等。对于其他方面符合但未设置数据集的数据流，我们对数据集值使用“generic”值。event.dataset 应与 data_stream.dataset 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，dataset 值还具有以下附加限制：* 必须不包含 - * 不超过 100 个字符

类型：constant_keyword

例如：nginx.access

用户定义的命名空间。命名空间有助于允许对数据进行分组。许多用户已经以这种方式组织其索引，并且数据流命名方案现在提供此最佳实践作为默认值。许多用户将此字段填充为 default。如果没有使用值，它将回退到 default。除了上面提到的 Elasticsearch 索引命名标准之外，namespace 值还具有以下附加限制：* 必须不包含 - * 不超过 100 个字符

类型：constant_keyword

例如：production

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。

类型：constant_keyword

例如：logs

某些事件目标地址的定义不明确。该事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后，应根据它是哪一个将其复制到 .ip 或 .domain。

类型：关键字

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

组织名称。

类型：关键字

示例：Google LLC

类型：match_only_text

从目标发送到源的字节数。

类型：long

示例：184

格式：字节

目标系统的域名。此值可能是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从丰富中添加。

类型：关键字

示例：foo.example.com

城市名称。

类型：关键字

示例：蒙特利尔

代表大陆名称的两位字母代码。

类型：关键字

示例：NA

大陆名称。

类型：关键字

示例：北美

国家 ISO 代码。

类型：关键字

示例：CA

国家名称。

类型：关键字

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可能是其数据中心的名称、楼层编号（如果这描述的是本地物理实体）、城市名称。通常不在自动地理定位中使用。

类型：关键字

示例：boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区将有很大差异。

类型：关键字

示例：94040

地区 ISO 代码。

类型：关键字

示例：CA-QC

地区名称。

类型：关键字

示例：魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

目标的 IP 地址（IPv4 或 IPv6）。

类型：ip

目标的 MAC 地址。建议使用 RFC 7042 中的符号格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节用连字符分隔。

类型：关键字

示例：00-00-5E-00-53-23

基于 NAT 会话的翻译后的目标 IP（例如，Internet 到私有 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

类型：ip

源会话被 NAT 设备翻译到的端口。通常与负载均衡器、防火墙或路由器一起使用。

类型：long

格式：字符串

从目标发送到源的数据包。

类型：long

示例：12

目标的端口。

类型：long

格式：字符串

剥离子域后，最高注册的目标域。例如，“foo.example.com”的注册域为“example.com”。可以使用公共后缀列表等列表 (http://publicsuffix.org) 精确地确定此值。尝试简单地获取最后两个标签来近似此值对于“co.uk”等 TLD 不会很好地工作。

类型：关键字

示例：example.com

完全限定域名的子域部分包含除了注册域下的主机名之外的所有名称。在部分限定域中，或者如果无法确定全名的限定级别，则 subdomain 包含注册域以下的所有名称。例如，“www.east.mydomain.co.uk” 的子域部分为“east”。如果域具有多个子域级别，例如“sub2.sub1.example.com”，则 subdomain 字段应包含“sub2.sub1”，没有尾随句号。

类型：关键字

示例：east

有效顶级域 (eTLD)，也称为域名后缀，是域名最后一部分。例如，example.com 的顶级域为“com”。可以使用像公共后缀列表这样的列表精确地确定此值 (http://publicsuffix.org)。简单地获取最后一个标签来近似此值，对于像“co.uk”这样的有效 TLD 来说将无法正常工作。

类型：关键字

示例：co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

用户电子邮件地址。

类型：关键字

用户的全名（如果可用）。

类型：关键字

示例：阿尔伯特·爱因斯坦

类型：match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

组在系统/平台上的唯一标识符。

类型：关键字

组的名称。

类型：关键字

唯一用户哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息而无法使用，则很有用。

类型：关键字

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

用户的简称或登录名。

类型：关键字

示例：a.einstein

类型：match_only_text

事件发生时用户角色的数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

用于签署进程的哈希算法。当文件由同一个签名者使用不同的摘要算法多次签名时，此值可以区分签名。

类型：关键字

例如：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

例如：true

用于签署进程的标识符。用于标识软件供应商制造的应用程序。此字段与 Apple *OS 相关。

类型：关键字

例如：com.apple.xpc.proxy

有关证书状态的附加信息。这对于记录与证书有效性或信任状态相关的加密错误很有用。如果未检查证书的有效性或信任，则不进行填充。

类型：关键字

例如：ERROR_UNTRUSTED_ROOT

代码签名者的主题名称

类型：关键字

例如：Microsoft Corporation

用于签署进程的团队标识符。用于标识软件产品的团队或供应商。此字段与 Apple *OS 相关。

类型：关键字

例如：EQHXZ8M8AV

生成和签署代码签名的时间日期。

类型：日期

例如：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

例如：true

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则不进行填充。

类型：布尔值

例如：true

MD5 哈希。

类型：关键字

SHA1 哈希。

类型：关键字

SHA256 哈希。

类型：关键字

SHA512 哈希。

类型：关键字

SSDEEP 哈希。

类型：关键字

库的名称。这通常映射到磁盘上的文件名称。

类型：关键字

例如：kernel32.dll

库的完整文件路径。

类型：关键字

例如：C:\Windows\System32\kernel32.dll

文件的 CPU 架构目标。

类型：关键字

例如：x64

文件的内部公司名称，在编译时提供。

类型：关键字

例如：Microsoft Corporation

文件的内部描述，在编译时提供。

类型：关键字

例如：Paint

文件的内部版本，在编译时提供。

类型：关键字

例如：6.3.9600.17415

PE 文件中导入的哈希。imphash - 或导入哈希 - 可用于指纹二进制文件，即使在重新编译或其他代码级转换发生后，也会改变更传统的哈希值。在https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 中了解更多信息。

类型：关键字

例如：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型：关键字

例如：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型：关键字

例如：Microsoft® Windows® Operating System

一个数组，包含服务器返回的每个答案部分的对象。这些对象中应该存在的主要键由 ECS 定义。包含更多信息的记录可能包含比 ECS 定义的更多键。并非所有 DNS 数据源都提供有关 DNS 答案的所有详细信息。至少，答案对象必须包含 data 键。如果有更多信息可用，请尽可能多地将其映射到 ECS，并将任何其他字段作为自定义字段添加到答案对象中。

类型：对象

此资源记录中包含的 DNS 数据的类别。

类型：关键字

示例：IN

描述资源的数据。此数据的含义取决于资源记录的类型和类别。

类型：关键字

示例：10.10.10.10

此资源记录相关的域名。如果正在解析 CNAME 链，则每个答案的 name 应与答案的 data 相对应。它不应只是简单地重复原始的 question.name。

类型：关键字

示例：www.example.com

此资源记录在被丢弃之前可以在缓存中保留的时间间隔（以秒为单位）。零值意味着数据不应被缓存。

类型：long

示例：180

此资源记录中包含的数据类型。

类型：关键字

示例：CNAME

2 个字母 DNS 头部标志的数组。预期值为：AA、TC、RD、RA、AD、CD、DO。

类型：关键字

示例：["RD", "RA"]

由生成查询的程序分配的 DNS 数据包标识符。标识符被复制到响应中。

类型：关键字

示例：62111

指定消息中查询类型的 DNS 操作码。此值由查询的发起者设置并复制到响应中。

类型：关键字

示例：QUERY

正在查询的记录的类别。

类型：关键字

示例：IN

正在查询的名称。如果名称字段包含不可打印的字符（低于 32 或高于 126），则这些字符应表示为转义的基数 10 整数（\DDD）。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

类型：关键字

示例：www.example.com

剥离子域后的最高注册域名。例如，"foo.example.com" 的注册域名是 "example.com"。可以使用公共后缀列表（http://publicsuffix.org）等列表来精确地确定此值。尝试通过简单地获取最后两个标签来近似此值对于 "co.uk" 等 TLD 来说效果不好。

类型：关键字

示例：example.com

子域是在 registered_domain 下的所有标签。如果域名具有多个子域级别，例如 "sub2.sub1.example.com"，则子域字段应包含 "sub2.sub1"，没有尾随句点。

类型：关键字

示例：www

有效顶级域 (eTLD)，也称为域名后缀，是域名最后一部分。例如，example.com 的顶级域为“com”。可以使用像公共后缀列表这样的列表精确地确定此值 (http://publicsuffix.org)。简单地获取最后一个标签来近似此值，对于像“co.uk”这样的有效 TLD 来说将无法正常工作。

类型：关键字

示例：co.uk

正在查询的记录类型。

类型：关键字

示例：AAAA

包含在 answers.data 中看到的全部 IP 的数组。由于 answers 数组可以包含各种数据格式，因此很难使用它。将 answers 数组中看到的全部 IP 地址提取到 dns.resolved_ip 中，可以将其作为 IP 地址进行索引，并且可以更轻松地进行可视化和查询。

类型：ip

示例：["10.10.10.10", "10.10.10.11"]

DNS 响应码。

类型：关键字

示例：NOERROR

捕获的 DNS 事件类型，查询或答案。如果您的 DNS 事件源只为您提供 DNS 查询，则您只应创建 dns.type:query 类型的 DNS 事件。如果您的 DNS 事件源也为您提供答案，则您应为每个查询创建（可选地在看到查询时）一个事件。以及一个包含所有查询详细信息以及答案数组的第二个事件。

类型：关键字

示例：answer

此事件符合的 ECS 版本。ecs.version 是一个必需字段，必须存在于所有事件中。当跨多个索引（可能符合略微不同的 ECS 版本）查询时，此字段使集成能够适应事件的架构版本。

类型：关键字

示例：1.0.0

必填：True

ELF 文件的机器架构。

类型：关键字

示例：x86-64

ELF 文件的字节顺序。

类型：关键字

示例：小端序

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

如果可能从文件的元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型：日期

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

ELF 文件的头部类别。

类型：关键字

ELF 头部的數據表。

类型：关键字

ELF 文件的头部入口点。

类型：long

格式：字符串

"0x1" 用于原始 ELF 文件。

类型：关键字

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

ELF 文件的头部类型。

类型：关键字

ELF 头部的版本。

类型：关键字

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件的每个部分的对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

部分的卡方概率分布。

类型：long

格式：数字

从部分进行的香农熵计算。

类型：long

格式：数字

ELF 部分列表标志。

类型：关键字

ELF 部分列表名称。

类型：关键字

ELF 部分列表偏移量。

类型：关键字

ELF 部分列表物理大小。

类型：long

格式：字节

ELF 部分列表类型。

类型：关键字

ELF 部分列表虚拟地址。

类型：long

格式：字符串

ELF 部分列表虚拟大小。

类型：long

格式：字符串

一个数组，包含 ELF 文件的每个段的对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型：关键字

ELF 对象段类型。

类型：关键字

此 ELF 对象使用的共享库列表。

类型：关键字

ELF 文件的 telfhash 符号哈希。

类型：关键字

描述错误的错误代码。

类型：关键字

错误的唯一标识符。

类型：关键字

错误消息。

类型：match_only_text

此错误的堆栈跟踪（纯文本）。

类型：通配符

类型：match_only_text

错误的类型，例如异常的类名。

类型：关键字

示例：java.lang.NullPointerException

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例包括 group-add、process-started、file-created。该值通常由实现者定义。

类型：关键字

示例：user-password-change

代理通常负责填充 agent.id 字段的值。如果接收事件的系统能够根据客户端的身份验证信息来验证该值，那么可以使用此字段来反映该验证的结果。例如，如果代理的连接使用 mTLS 进行身份验证，并且客户端证书包含已颁发证书的代理的 ID，那么可以在事件中将 agent.id 值与证书进行比较。如果值匹配，则将 event.agent_id_status: verified 添加到事件中，否则应使用其他允许的值之一。如果未执行验证，则应省略该字段。允许的值为：verified - agent.id 字段值与从身份验证元数据中获取的预期值匹配。 mismatch - agent.id 字段值与从身份验证元数据中获取的预期值不匹配。 missing - 事件中没有 agent.id 字段来验证。 auth_metadata_missing - 没有身份验证元数据，或者缺少有关代理 ID 的信息。

类型：关键字

示例：verified

这是 ECS 分类字段中的四个字段之一，它表示 ECS 类别层次结构中的第二级。event.category 表示 ECS 类别的“大桶”。例如，过滤 event.category:process 会产生所有与进程活动相关的事件。此字段与 event.type 密切相关，后者用作子类别。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确分类。

类型：关键字

示例：authentication

此事件的标识代码（如果存在）。一些事件源使用事件代码来明确标识消息，而不管消息语言或措辞调整如何。例如，Windows 事件 ID。

类型：关键字

示例：4648

event.created 包含代理或您的管道第一次读取事件的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳将略有不同。差异可用于计算您的源生成事件与您的代理第一次处理事件之间的时间延迟。这可用于监控您的代理或管道的跟上事件源的能力。如果两个时间戳相同，则应使用 @timestamp。

类型：日期

示例：2016-05-23T08:05:34.857Z

数据集的名称。如果事件源发布了多种类型的日志或事件（例如，访问日志、错误日志），则数据集用于指定事件来自哪个日志或事件。建议但不强制要求数据集名称以模块名称开头，后跟一个点，然后是数据集名称。

类型：关键字

示例：apache.access

事件的持续时间（纳秒）。如果知道 event.start 和 event.end，则此值应为结束时间和开始时间之差。

类型：long

格式：持续时间

event.end 包含事件结束或最后观察到活动时的日期。

类型：日期

原始字段的哈希值（可能是 logstash 指纹），以便能够证明日志完整性。

类型：关键字

示例：123456789012345678901234567890ABCD

描述事件的唯一 ID。

类型：关键字

示例：8a4f500d

事件到达中央数据存储的时间戳。这与 @timestamp 不同，后者是事件最初发生的时间。它也与 event.created 不同，后者旨在捕获代理第一次看到事件的时间。在正常情况下，假设没有篡改，时间戳按时间顺序应如下所示：@timestamp < event.created < event.ingested。

类型：日期

例如：2016-05-23T08:05:35.101Z

这是 ECS 分类字段中的四个字段之一，表示 ECS 类别层次结构中的最高级别。event.kind 提供有关事件包含的信息类型的概览信息，而不会具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制，也可能有助于了解数据是否以定期间隔传入。

类型：关键字

例如：alert

此数据来源的模块名称。如果您的监控代理支持模块或插件的概念来处理来自特定来源的事件（例如 Apache 日志），则 event.module 应包含此模块的名称。

类型：关键字

例如：apache

整个事件的原始文本消息。用于展示日志完整性，或者在可能需要完整日志消息（在将其拆分为多个部分之前）时使用，例如用于重新索引。此字段未索引，并且已禁用 doc_values。无法搜索它，但可以从 _source 中检索。如果用户希望覆盖此项并索引此字段，请参阅 Elasticsearch 参考 中的 字段数据类型。

类型：关键字

例如：Sep 19 08:26:10 host CEF:0|Security| threatmanager|1.0|100| worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2spt=1232

字段未索引。

这是 ECS 分类字段中的四个字段之一，表示 ECS 类别层次结构中的最低级别。event.outcome 简要表示事件是否代表从产生事件的实体的角度来看的成功或失败。请注意，当在多个事件中描述单个事务时，每个事件可能会根据其角度填充 event.outcome 的不同值。还要注意，对于复合事件（包含多个逻辑事件的单个事件），此字段应填充最能捕获从事件生产者的角度来看的整体成功或失败的值。此外还要注意，并非所有事件都具有关联的结果。例如，此字段通常不会填充指标事件、event.type:info 的事件或任何结果在逻辑上没有意义的事件。

类型：关键字

例如：success

事件来源。Syslog 或 Windows 事件日志等事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如 Sysmon、httpd），或操作系统的子系统的名称（内核、Microsoft-Windows-Security-Auditing）。

类型：关键字

例如：kernel

根据来源，此事件发生的原因。这描述了事件中捕获的特定操作或结果的“为什么”。event.action 捕获事件中的操作，而 event.reason 描述了执行该操作的原因。例如，具有 event.action 拒绝请求的 Web 代理也可能使用 event.reason 来描述原因（例如 blocked site）。

类型：关键字

例如：Terminated an unexpected process

链接到有关此事件的附加信息的参考 URL。此 URL 链接到此事件的静态定义。警报事件（由 event.kind:alert 指示）是此字段的常见用例。

类型：关键字

例如：https://system.example.com/event/#0001234

事件的风险评分或优先级（例如安全解决方案）。在此处使用您系统中的原始值。

类型：float

事件的标准化风险评分或优先级，范围为 0 到 100。如果您使用多个分配风险评分的系统，并且想要查看所有系统中的标准化值，这将非常有用。

类型：float

事件的序列号。序列号是某些事件源发布的值，用于使事件的精确顺序明确，而与时间戳精度无关。

类型：long

格式：字符串

根据您的事件源，事件的数字严重程度。不同的严重程度值意味着什么在来源和用例之间可能不同。由实施者确保来自同一来源的事件中的严重程度保持一致。Syslog 严重程度应位于 log.syslog.severity.code 中。event.severity 旨在表示事件源（例如防火墙、入侵检测系统）的严重程度。如果事件源未发布其自身的严重程度，则可以选择将 log.syslog.severity.code 复制到 event.severity。

类型：long

例如：7

格式：字符串

event.start 包含事件开始或首次观察到活动的时间。

类型：日期

当事件的时间戳不包含时区信息时，应填充此字段（例如默认 Syslog 时间戳）。否则，它是可选的。可接受的时区格式包括：规范 ID（例如“Europe/Amsterdam”）、缩写（例如“EST”）或 HH:mm 差值（例如“-05:00”）。

类型：关键字

这是 ECS 分类字段中的四个字段之一，表示 ECS 类别层次结构中的第三级。event.type 代表一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许对属于多种事件类型的一些事件进行正确的分类。

类型：关键字

链接到外部系统以继续调查此事件的 URL。此 URL 链接到另一个系统，可以在其中对该事件的特定发生进行深入调查。警报事件（由 event.kind:alert 指示）是此字段的常见用例。

类型：关键字

例如：https://mysystem.example.com/alert/5271dedb-f5b0-4218-87f0-4ac4870a38fe

布尔值，表示函数的冷启动。

类型：布尔值

当前函数执行的执行 ID。

类型：关键字

例如：af9d5aa4-a685-4c5f-a22b-444f80b3cc28

有关函数触发器的详细信息。

类型：嵌套

触发请求、消息、事件等的 ID。

类型：关键字

例如：123456789

函数执行的触发器。预期值包括：* http * pubsub * datasource * timer * other

类型：关键字

例如：http

文件上次被访问的时间。请注意，并非所有文件系统都会跟踪访问时间。

类型：日期

文件属性数组。属性名称会因平台而异。以下是此字段中预期值的非详尽列表：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型：关键字

例如：["readonly", "system"]

用于签署进程的哈希算法。当文件由同一个签名者使用不同的摘要算法多次签名时，此值可以区分签名。

类型：关键字

例如：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

例如：true

用于签署进程的标识符。用于标识软件供应商制造的应用程序。此字段与 Apple *OS 相关。

类型：关键字

例如：com.apple.xpc.proxy

有关证书状态的附加信息。这对于记录与证书有效性或信任状态相关的加密错误很有用。如果未检查证书的有效性或信任，则不进行填充。

类型：关键字

例如：ERROR_UNTRUSTED_ROOT

代码签名者的主题名称

类型：关键字

例如：Microsoft Corporation

用于签署进程的团队标识符。用于标识软件产品的团队或供应商。此字段与 Apple *OS 相关。

类型：关键字

例如：EQHXZ8M8AV

生成和签署代码签名的时间日期。

类型：日期

例如：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

例如：true

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则不进行填充。

类型：布尔值

例如：true

文件创建时间。请注意，并非所有文件系统都会存储创建时间。

类型：日期

文件属性或元数据上次更改的时间。请注意，文件内容的更改会更新 mtime。这意味着 ctime 会在同一时间进行调整，因为 mtime 是文件的属性。

类型：日期

作为文件来源的设备。

类型：关键字

例如：sda

文件所在的目录。它应包括驱动器盘符（如果适用）。

类型：关键字

例如：/home/alice

文件所在的驱动器盘符。此字段仅在 Windows 上相关。该值应为大写，并且不包括冒号。

类型：关键字

例如：C

ELF 文件的机器架构。

类型：关键字

示例：x86-64

ELF 文件的字节顺序。

类型：关键字

示例：小端序

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

如果可能从文件的元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型：日期

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

ELF 文件的头部类别。

类型：关键字

ELF 头部的數據表。

类型：关键字

ELF 文件的头部入口点。

类型：long

格式：字符串

"0x1" 用于原始 ELF 文件。

类型：关键字

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

ELF 文件的头部类型。

类型：关键字

ELF 头部的版本。

类型：关键字

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件的每个部分的对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

部分的卡方概率分布。

类型：long

格式：数字

从部分进行的香农熵计算。

类型：long

格式：数字

ELF 部分列表标志。

类型：关键字

ELF 部分列表名称。

类型：关键字

ELF 部分列表偏移量。

类型：关键字

ELF 部分列表物理大小。

类型：long

格式：字节

ELF 部分列表类型。

类型：关键字

ELF 部分列表虚拟地址。

类型：long

格式：字符串

ELF 部分列表虚拟大小。

类型：long

格式：字符串

一个数组，包含 ELF 文件的每个段的对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型：关键字

ELF 对象段类型。

类型：关键字

此 ELF 对象使用的共享库列表。

类型：关键字

ELF 文件的 telfhash 符号哈希。

类型：关键字

文件扩展名，不包括开头的点。请注意，当文件名具有多个扩展名（example.tar.gz）时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型：关键字

例如：png

fork 是与文件系统对象关联的附加数据。在 Linux 上，资源 fork 用于存储与文件系统对象关联的附加数据。文件始终至少具有一个用于数据部分的 fork，并且可能存在其他 fork。在 NTFS 上，这类似于备用数据流 (ADS)，文件的默认数据流称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 的形式通常为：C:\path\to\filename.extension:some_fork_name，some_fork_name 是应填充 fork_name 的值。filename.extension 应填充 file.name，extension 应填充 file.extension。完整路径 file.path 将包含 fork 名称。

类型：关键字

例如：Zone.Identifer

文件的初级组 ID (GID)。

类型：关键字

例如：1001

文件的初级组名称。

类型：关键字

例如：alice

MD5 哈希。

类型：关键字

SHA1 哈希。

类型：关键字

SHA256 哈希。

类型：关键字

SHA512 哈希。

类型：关键字

SSDEEP 哈希。

类型：关键字

文件系统中表示文件的 inode。

类型：关键字

例如：256383

MIME 类型应使用 IANA 官方类型 识别文件或字节流的格式（如果可能）。当多种类型适用时，应使用最具体的类型。

类型：关键字

文件的八进制表示形式的模式。

类型：关键字

例如：0640

文件内容上次修改的时间。

类型：日期

文件的名称，包括扩展名，不包括目录。

类型：关键字

例如：example.png

文件所有者的用户名。

类型：关键字

例如：alice

文件的完整路径，包括文件名。它应包括驱动器盘符（如果适用）。

类型：关键字

例如：/home/alice/example.png

类型：match_only_text

文件的 CPU 架构目标。

类型：关键字

例如：x64

文件的内部公司名称，在编译时提供。

类型：关键字

例如：Microsoft Corporation

文件的内部描述，在编译时提供。

类型：关键字

例如：Paint

文件的内部版本，在编译时提供。

类型：关键字

例如：6.3.9600.17415

PE 文件中导入的哈希。imphash - 或导入哈希 - 可用于指纹二进制文件，即使在重新编译或其他代码级转换发生后，也会改变更传统的哈希值。在https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 中了解更多信息。

类型：关键字

例如：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型：关键字

例如：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型：关键字

例如：Microsoft® Windows® Operating System

文件大小，以字节为单位。仅在 file.type 为“file”时相关。

类型：long

例如：16384

符号链接的目标路径。

类型：关键字

类型：match_only_text

文件类型（file、dir 或 symlink）。

类型：关键字

例如：file

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型：关键字

例如：1001

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（以及通配符）和电子邮件地址。

类型：关键字

示例：*.elastic.co

颁发证书颁发机构的通用名称 (CN) 列表。

类型：关键字

示例：Example SHA2 High Assurance Server CA

国家 © 代码列表

类型：关键字

示例：US

颁发证书颁发机构的识别名称 (DN)。

类型：关键字

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

地区名称 (L) 列表

类型：关键字

示例：Mountain View

颁发证书颁发机构的组织 (O) 列表。

类型：关键字

示例：Example Inc

颁发证书颁发机构的组织单位 (OU) 列表。

类型：关键字

示例：www.example.com

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

证书不再被视为有效的时刻。

类型：日期

示例：2020-07-16 03:15:39+00:00

证书首次被视为有效的时刻。

类型：日期

示例：2019-08-16 01:40:25+00:00

用于生成公钥的算法。

类型：关键字

示例：RSA

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型：关键字

示例：nistp521

用于推导出公钥的指数。这是特定于算法的。

类型：long

示例：65537

字段未索引。

公钥空间的大小（以位为单位）。

类型：long

示例：2048

证书颁发机构颁发的唯一序列号。为了保持一致性，如果此值是字母数字的，则应格式化为不带冒号且为大写字符。

类型：关键字

示例：55FBB9C7DEBF09809D12CCAA

证书签名算法的标识符。我们建议使用在 Go Lang Crypto 库中找到的名称。见 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353.

类型：关键字

示例：SHA256-RSA

主题的通用名称 (CN) 列表。

类型：关键字

示例：shared.global.example.net

国家 © 代码列表

类型：关键字

示例：US

证书主题实体的识别名称 (DN)。

类型：关键字

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

地区名称 (L) 列表

类型：关键字

示例：San Francisco

主题的组织 (O) 列表。

类型：关键字

示例：Example, Inc.

主题的组织单位 (OU) 列表。

类型：关键字

州或省名称 (ST、S 或 P) 列表

类型：关键字

示例：California

x509 格式的版本。

类型：关键字

示例：3

城市名称。

类型：关键字

示例：蒙特利尔

代表大陆名称的两位字母代码。

类型：关键字

示例：NA

大陆名称。

类型：关键字

示例：北美

国家 ISO 代码。

类型：关键字

示例：CA

国家名称。

类型：关键字

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可能是其数据中心的名称、楼层编号（如果这描述的是本地物理实体）、城市名称。通常不在自动地理定位中使用。

类型：关键字

示例：boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区将有很大差异。

类型：关键字

示例：94040

地区 ISO 代码。

类型：关键字

示例：CA-QC

地区名称。

类型：关键字

示例：魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

组在系统/平台上的唯一标识符。

类型：关键字

组的名称。

类型：关键字

MD5 哈希。

类型：关键字

SHA1 哈希。

类型：关键字

SHA256 哈希。

类型：关键字

SHA512 哈希。

类型：关键字

SSDEEP 哈希。

类型：关键字

操作系统架构。

类型：关键字

示例：x86_64

CPU 使用率百分比，通过 CPU 核心数量进行归一化，范围在 0 到 1 之间。缩放因子：1000。例如：对于一个双核主机，此值应为两个核心的平均值，介于 0 和 1 之间。

类型：scaled_float

自上次指标收集以来，成功读取的总字节数（从所有磁盘汇总）（量规）。

类型：long

自上次指标收集以来，成功写入的总字节数（从所有磁盘汇总）（量规）。

类型：long

主机所属域的名称。例如，在 Windows 上，这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可能是主机 LDAP 提供者的域。

类型：关键字

示例：CONTOSO

城市名称。

类型：关键字

示例：蒙特利尔

代表大陆名称的两位字母代码。

类型：关键字

示例：NA

大陆名称。

类型：关键字

示例：北美

国家 ISO 代码。

类型：关键字

示例：CA

国家名称。

类型：关键字

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可能是其数据中心的名称、楼层编号（如果这描述的是本地物理实体）、城市名称。通常不在自动地理定位中使用。

类型：关键字

示例：boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区将有很大差异。

类型：关键字

示例：94040

地区 ISO 代码。

类型：关键字

示例：CA-QC

地区名称。

类型：关键字

示例：魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

主机的 hostname。它通常包含主机机器上 hostname 命令返回的内容。

类型：关键字

唯一的 hostname。由于 hostname 并不总是唯一的，因此请使用在您的环境中有意义的值。例如：目前 beat.name 的用法。

类型：关键字

主机 IP 地址。

类型：ip

主机 MAC 地址。建议使用 RFC 7042 中的表示格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节的无符号整数。连续的八位字节由连字符分隔。

类型：关键字

示例：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

类型：关键字

自上次度量收集以来，主机在所有网络接口上发送的字节数（规范）。

类型：long

自上次度量收集以来，主机在所有网络接口上发送的数据包数（规范）。

类型：long

自上次度量收集以来，主机在所有网络接口上接收的字节数（规范）。

类型：long

自上次度量收集以来，主机在所有网络接口上接收的数据包数（规范）。

类型：long

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：关键字

示例：debian

操作系统名称，包括版本或代号。

类型：关键字

示例：Mac OS Mojave

类型：match_only_text

操作系统内核版本，作为原始字符串。

类型：关键字

示例：4.4.0-112-generic

操作系统名称，不带版本。

类型：关键字

示例：Mac OS X

类型：match_only_text

操作系统平台（例如 centos、ubuntu、windows）。

类型：关键字

示例：darwin

使用 os.type 字段将操作系统归类为主要的商业系列之一。应使用以下值之一（小写）：linux、macos、unix、windows。如果您处理的操作系统不在列表中，则不应填充该字段。请通过在 ECS 中打开一个问题来告知我们，以提出添加它的建议。

类型：关键字

示例：macos

操作系统版本，作为原始字符串。

类型：关键字

示例：10.14.1

主机的类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果是 vm，这可能是容器，例如，或您环境中其他有意义的信息。

类型：关键字

主机已运行的秒数。

类型：long

示例：1325

请求正文的大小（以字节为单位）。

类型：long

示例：887

格式：字节

完整的 HTTP 请求正文。

类型：通配符

示例：Hello world

类型：match_only_text

请求的总大小（以字节为单位）（正文和标头）。

类型：long

示例：1437

格式：字节

每个 HTTP 请求的唯一标识符，用于在事务中关联客户端和服务器之间的日志。该 ID 可能包含在非标准 HTTP 标头中，例如 X-Request-ID 或 X-Correlation-ID。

类型：关键字

示例：123e4567-e89b-12d3-a456-426614174000

HTTP 请求方法。该值应保留其在原始事件中的大小写。例如，GET、get 和 GeT 都被视为此字段的有效值。

类型：关键字

示例：POST

请求正文的 MIME 类型。此值仅应根据请求正文的内容填充，而不是根据 Content-Type 标头填充。将请求的 MIME 类型与请求的 Content-Type 标头进行比较有助于检测威胁或配置错误的客户端。

类型：关键字

示例：image/gif

此 HTTP 请求的来源。

类型：关键字

示例：https://blog.example.com/

响应正文的大小（以字节为单位）。

类型：long

示例：887

格式：字节

完整的 HTTP 响应正文。

类型：通配符

示例：Hello world

类型：match_only_text

响应的总大小（以字节为单位）（正文和标头）。

类型：long

示例：1437

格式：字节

响应正文的 MIME 类型。此值仅应根据响应正文的内容填充，而不是根据 Content-Type 标头填充。将响应的 MIME 类型与响应的 Content-Type 标头进行比较有助于检测配置错误的服务器。

类型：关键字

示例：image/gif

HTTP 响应状态代码。

类型：long

示例：404

格式：字符串

HTTP 版本。

类型：关键字

示例：1.1

系统报告的接口别名，通常在防火墙实现中用于例如内部、外部或 DMZ 逻辑接口命名。

类型：关键字

示例：outside

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型：关键字

示例：10

系统报告的接口名称。

类型：关键字

示例：eth0

此事件来自的日志文件的完整路径，包括文件名。它应包含驱动器盘符（如果适用）。如果事件不是从日志文件读取的，则不要填充此字段。

类型：关键字

示例：/var/log/fun-times.log

日志事件的原始日志级别。如果事件源提供日志级别或文本严重性，那么这就是放入 log.level 的级别。如果您的源没有指定一个，您可以在此处放置您的事件传输的严重性（例如 Syslog 严重性）。一些例子是 warn、err、i、informational。

类型：关键字

示例：error

应用程序内部记录器的名称。通常是初始化记录器的类的名称，也可以是自定义名称。

类型：关键字

示例：org.elasticsearch.bootstrap.Bootstrap

包含生成日志事件的源代码的文件的行号。

类型：long

示例：42

包含生成日志事件的源代码的文件名称。请注意，此字段并非用于捕获日志文件。捕获日志文件的正确字段是 log.file.path。

类型：关键字

示例：Bootstrap.java

生成日志事件的函数或方法的名称。

类型：关键字

示例：init

事件的 Syslog 元数据（如果事件是通过 Syslog 传输的）。请参见 RFC 5424 或 3164。

类型：对象

日志事件的 Syslog 数字设施（如果可用）。根据 RFC 5424 和 3164，此值应为 0 到 23 之间的整数。

类型：long

示例：23

格式：字符串

日志事件的 Syslog 基于文本的设施（如果可用）。

类型：关键字

示例：local7

事件的 Syslog 数字优先级（如果可用）。根据 RFC 5424 和 3164，优先级为 8 * 设施 + 严重性。因此，此数字预计将包含 0 到 191 之间的值。

类型：long

示例：135

格式：字符串

日志事件的 Syslog 数字严重性（如果可用）。如果通过 Syslog 发布的事件源提供不同的数字严重性值（例如防火墙、IDS），则源的数字严重性应转到 event.severity。如果事件源未指定不同的严重性，则可以选择将 Syslog 严重性复制到 event.severity。

类型：long

示例：3

日志事件的 Syslog 数字严重性（如果可用）。如果通过 Syslog 发布的事件源提供不同的严重性值（例如防火墙、IDS），则源的文本严重性应转到 log.level。如果事件源未指定不同的严重性，则可以选择将 Syslog 严重性复制到 log.level。

类型：关键字

示例：错误

当从网络连接详细信息（源/目标 IP、端口、证书或线格式）识别出特定应用程序或服务时，此字段会捕获应用程序或服务的名称。例如，原始事件会识别出网络连接来自 https 网络连接中的特定 Web 服务，如 facebook 或 twitter。字段值必须规范化为小写以进行查询。

类型：关键字

示例：aim

双向传输的总字节数。如果已知 source.bytes 和 destination.bytes，则 network.bytes 为它们的总和。

类型：long

示例：368

格式：字节

源和目标 IP 以及端口的哈希值，以及通信中使用的协议。这是用于识别流的与工具无关的标准。请在 https://github.com/corelight/community-id-spec 中了解更多信息。

类型：关键字

示例：1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0=

网络流量的方向。建议的值为：* 入站 * 出站 * 入站 * 出站 * 内部 * 外部 * 未知

在将事件从基于主机的监控环境映射时，请使用“入站”或“出站”值从主机的角度填充此字段。在将事件从基于网络或周边的监控环境映射时，请使用“入站”、“出站”、“内部”或“外部”值从网络周边角度填充此字段。请注意，“内部”没有跨越周边边界，用于描述周边内两台主机之间的通信。还要注意，“外部”用于描述两台位于周边外部的主机之间的流量。例如，这对 ISP 或 VPN 服务提供商来说可能很有用。

类型：关键字

示例：入站

当源 IP 地址为代理时，主机 IP 地址。

类型：ip

示例：192.1.1.2

IANA 协议编号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。标准化协议列表。这与使用 IANA 协议编号的 NetFlow 和 sFlow 相关日志很好地对齐。

类型：关键字

示例：6

network.inner 字段是在 network.vlan 字段之外添加的，用于描述存在 q-in-q VLAN 标记时的最内层 VLAN。允许的字段包括 vlan.id 和 vlan.name。当将具有多个 802.1q 封装的流量发送到网络传感器（例如 Zeek、Wireshark）时，通常使用内部 vlan 字段。

类型：对象

观察者报告的 VLAN ID。

类型：关键字

示例：10

观察者报告的可选 VLAN 名称。

类型：关键字

示例：outside

运营商为其网络的各个部分提供的名称。

类型：关键字

示例：访客 Wi-Fi

双向传输的总数据包数。如果已知 source.packets 和 destination.packets，则 network.packets 为它们的总和。

类型：long

示例：24

在 OSI 模型中，这将是应用程序层协议。例如，http、dns 或 ssh。字段值必须规范化为小写以进行查询。

类型：关键字

例如：http

与 network.iana_number 相同，但使用传输层 (udp、tcp、ipv6-icmp 等) 的关键字名称。字段值必须规范化为小写以进行查询。

类型：关键字

示例：tcp

在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值必须规范化为小写以进行查询。

类型：关键字

示例：ipv4

观察者报告的 VLAN ID。

类型：关键字

示例：10

观察者报告的可选 VLAN 名称。

类型：关键字

示例：outside

Observer.egress 包含接口编号和名称、vlan 和区域信息等信息，用于对出站流量进行分类。单臂监控（例如跨接端口上的网络传感器）应仅使用 observer.ingress 对流量进行分类。

类型：对象

系统报告的接口别名，通常在防火墙实现中用于例如内部、外部或 DMZ 逻辑接口命名。

类型：关键字

示例：outside

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型：关键字

示例：10

系统报告的接口名称。

类型：关键字

示例：eth0

观察者报告的 VLAN ID。

类型：关键字

示例：10

观察者报告的可选 VLAN 名称。

类型：关键字

示例：outside

观察者报告的出站流量的网络区域，用于对出站流量的目标区域进行分类，例如内部、外部、DMZ、HR、Legal 等。

类型：关键字

示例：公共互联网

城市名称。

类型：关键字

示例：蒙特利尔

代表大陆名称的两位字母代码。

类型：关键字

示例：NA

大陆名称。

类型：关键字

示例：北美

国家 ISO 代码。

类型：关键字

示例：CA

国家名称。

类型：关键字

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可能是其数据中心的名称、楼层编号（如果这描述的是本地物理实体）、城市名称。通常不在自动地理定位中使用。

类型：关键字

示例：boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区将有很大差异。

类型：关键字

示例：94040

地区 ISO 代码。

类型：关键字

示例：CA-QC

地区名称。

类型：关键字

示例：魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

观察者的主机名。

类型：关键字

Observer.ingress 包含接口编号和名称、vlan 和区域信息等信息，用于对入站流量进行分类。单臂监控（例如跨接端口上的网络传感器）应仅使用 observer.ingress 对流量进行分类。

类型：对象

系统报告的接口别名，通常在防火墙实现中用于例如内部、外部或 DMZ 逻辑接口命名。

类型：关键字

示例：outside

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型：关键字

示例：10

系统报告的接口名称。

类型：关键字

示例：eth0

观察者报告的 VLAN ID。

类型：关键字

示例：10

观察者报告的可选 VLAN 名称。

类型：关键字

示例：outside

观察者报告的入站流量的网络区域，用于对入站流量的源区域进行分类。例如，内部、外部、DMZ、HR、Legal 等。

类型：关键字

示例：DMZ

观察者的 IP 地址。

类型：ip

观察者的 MAC 地址。建议使用 RFC 7042 中的符号格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节的无符号整数值。连续的八位字节由连字符隔开。

类型：关键字

示例：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

观察者的自定义名称。这是一个可以赋予观察者的名称。例如，如果某个组织使用多个相同型号的防火墙，这会很有用。如果不需要自定义名称，则可以将字段留空。

类型：关键字

示例：1_proxySG

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：关键字

示例：debian

操作系统名称，包括版本或代号。

类型：关键字

示例：Mac OS Mojave

类型：match_only_text

操作系统内核版本，作为原始字符串。

类型：关键字

示例：4.4.0-112-generic

操作系统名称，不带版本。

类型：关键字

示例：Mac OS X

类型：match_only_text

操作系统平台（例如 centos、ubuntu、windows）。

类型：关键字

示例：darwin

使用 os.type 字段将操作系统归类为主要的商业系列之一。应使用以下值之一（小写）：linux、macos、unix、windows。如果您处理的操作系统不在列表中，则不应填充该字段。请通过在 ECS 中打开一个问题来告知我们，以提出添加它的建议。

类型：关键字

示例：macos

操作系统版本，作为原始字符串。

类型：关键字

示例：10.14.1

观察者的产品名称。

类型：关键字

示例：s200

观察者序列号。

类型：关键字

数据的来源的观察者类型。没有预定义的观察者类型列表。一些示例包括 forwarder、firewall、ids、ips、proxy、poller、sensor、APM server。

类型：关键字

示例：防火墙

观察者的供应商名称。

类型：关键字

示例：Symantec

观察者版本。

类型：关键字

用于执行操作的 API 版本

类型：关键字

示例：v1beta1

集群的名称。

类型：关键字

用于管理集群的 API 的 URL。

类型：关键字

集群的版本。

类型：关键字

正在执行操作的命名空间。

类型：关键字

示例：kube-system

受事件影响的组织（对于多租户编排器设置）。

类型：关键字

示例：elastic

正在操作的资源的名称。

类型：关键字

示例：test-pod-cdcws

正在操作的资源类型。

类型：关键字

示例：服务

编排器集群类型（例如 kubernetes、nomad 或 cloudfoundry）。

类型：关键字

示例：kubernetes

组织的唯一标识符。

类型：关键字

组织名称。

类型：关键字

类型：match_only_text

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：关键字

示例：debian

操作系统名称，包括版本或代号。

类型：关键字

示例：Mac OS Mojave

类型：match_only_text

操作系统内核版本，作为原始字符串。

类型：关键字

示例：4.4.0-112-generic

操作系统名称，不带版本。

类型：关键字

示例：Mac OS X

类型：match_only_text

操作系统平台（例如 centos、ubuntu、windows）。

类型：关键字

示例：darwin

使用 os.type 字段将操作系统归类为主要的商业系列之一。应使用以下值之一（小写）：linux、macos、unix、windows。如果您处理的操作系统不在列表中，则不应填充该字段。请通过在 ECS 中打开一个问题来告知我们，以提出添加它的建议。

类型：关键字

示例：macos

操作系统版本，作为原始字符串。

类型：关键字

示例：10.14.1

包架构。

类型：关键字

示例：x86_64

有关已安装包的构建版本的其他信息。例如，使用未发布包的提交 SHA。

类型：关键字

示例：36f4f7e89dd61b0988b12ee000b98966867710cd

已安装包的校验和，用于验证。

类型：关键字

示例：68b329da9893e34099c7d8ad5cb9c940

包的描述。

类型：关键字

示例：用于构建简单/可靠/高效软件的开源编程语言。

指示包的安装方式，例如用户本地、全局。

类型：关键字

示例：全局

安装包的时间。

类型：日期

软件包发布所依据的许可证。 尽可能使用简短的名称，例如 SPDX 许可证列表中的许可证标识符 (https://spdx.org/licenses/)。

类型：关键字

示例：Apache License 2.0

软件包名称。

类型：关键字

示例：go

软件包安装的路径。

类型：关键字

示例：/usr/local/Cellar/go/1.12.9/

如果可用，该软件包中软件的主页或参考 URL。

类型：关键字

示例：https://golang.ac.cn

软件包大小（以字节为单位）。

类型：long

示例：62231

格式：字符串

软件包类型。 这应该包含软件包文件类型，而不是软件包管理器名称。 例如：rpm、dpkg、brew、npm、gem、nupkg、jar。

类型：关键字

示例：rpm

软件包版本。

类型：关键字

示例：1.12.9

文件的 CPU 架构目标。

类型：关键字

例如：x64

文件的内部公司名称，在编译时提供。

类型：关键字

例如：Microsoft Corporation

文件的内部描述，在编译时提供。

类型：关键字

例如：Paint

文件的内部版本，在编译时提供。

类型：关键字

例如：6.3.9600.17415

PE 文件中导入的哈希。imphash - 或导入哈希 - 可用于指纹二进制文件，即使在重新编译或其他代码级转换发生后，也会改变更传统的哈希值。在https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 中了解更多信息。

类型：关键字

例如：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型：关键字

例如：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型：关键字

例如：Microsoft® Windows® Operating System

进程参数数组，从可执行文件的绝对路径开始。 可能会被过滤以保护敏感信息。

类型：关键字

示例：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.args 数组的长度。 此字段可用于查询或对启动进程时提供的参数数量执行桶分析。 更多参数可能表明可疑活动。

类型：long

示例：4

用于签署进程的哈希算法。当文件由同一个签名者使用不同的摘要算法多次签名时，此值可以区分签名。

类型：关键字

例如：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

例如：true

用于签署进程的标识符。用于标识软件供应商制造的应用程序。此字段与 Apple *OS 相关。

类型：关键字

例如：com.apple.xpc.proxy

有关证书状态的附加信息。这对于记录与证书有效性或信任状态相关的加密错误很有用。如果未检查证书的有效性或信任，则不进行填充。

类型：关键字

例如：ERROR_UNTRUSTED_ROOT

代码签名者的主题名称

类型：关键字

例如：Microsoft Corporation

用于签署进程的团队标识符。用于标识软件产品的团队或供应商。此字段与 Apple *OS 相关。

类型：关键字

例如：EQHXZ8M8AV

生成和签署代码签名的时间日期。

类型：日期

例如：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

例如：true

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则不进行填充。

类型：布尔值

例如：true

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。 某些参数可能会被过滤以保护敏感信息。

类型：通配符

示例：/usr/bin/ssh -l user 10.0.0.16

类型：match_only_text

ELF 文件的机器架构。

类型：关键字

示例：x86-64

ELF 文件的字节顺序。

类型：关键字

示例：小端序

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

如果可能从文件的元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型：日期

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

ELF 文件的头部类别。

类型：关键字

ELF 头部的數據表。

类型：关键字

ELF 文件的头部入口点。

类型：long

格式：字符串

"0x1" 用于原始 ELF 文件。

类型：关键字

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

ELF 文件的头部类型。

类型：关键字

ELF 头部的版本。

类型：关键字

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件的每个部分的对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

部分的卡方概率分布。

类型：long

格式：数字

从部分进行的香农熵计算。

类型：long

格式：数字

ELF 部分列表标志。

类型：关键字

ELF 部分列表名称。

类型：关键字

ELF 部分列表偏移量。

类型：关键字

ELF 部分列表物理大小。

类型：long

格式：字节

ELF 部分列表类型。

类型：关键字

ELF 部分列表虚拟地址。

类型：long

格式：字符串

ELF 部分列表虚拟大小。

类型：long

格式：字符串

一个数组，包含 ELF 文件的每个段的对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型：关键字

ELF 对象段类型。

类型：关键字

此 ELF 对象使用的共享库列表。

类型：关键字

ELF 文件的 telfhash 符号哈希。

类型：关键字

进程结束的时间。

类型：日期

示例：2016-05-23T08:05:34.853Z

进程的唯一标识符。 此标识符的实现由数据源指定，但这里可以使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程的一些唯一标识组件的哈希值。 构建全局唯一标识符是一种常见的做法，可以减轻 PID 重用，并随着时间的推移识别特定进程，跨多个监控主机。

类型：关键字

示例：c2c455d9f99375d

进程可执行文件的绝对路径。

类型：关键字

示例：/usr/bin/ssh

类型：match_only_text

进程的退出代码（如果这是一个终止事件）。 如果该事件没有退出代码（例如进程启动），则该字段应不存在。

类型：long

示例：137

MD5 哈希。

类型：关键字

SHA1 哈希。

类型：关键字

SHA256 哈希。

类型：关键字

SHA512 哈希。

类型：关键字

SSDEEP 哈希。

类型：关键字

进程名称。 有时称为程序名称或类似名称。

类型：关键字

示例：ssh

类型：match_only_text

进程参数数组，从可执行文件的绝对路径开始。 可能会被过滤以保护敏感信息。

类型：关键字

示例：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.args 数组的长度。 此字段可用于查询或对启动进程时提供的参数数量执行桶分析。 更多参数可能表明可疑活动。

类型：long

示例：4

用于签署进程的哈希算法。当文件由同一个签名者使用不同的摘要算法多次签名时，此值可以区分签名。

类型：关键字

例如：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

例如：true

用于签署进程的标识符。用于标识软件供应商制造的应用程序。此字段与 Apple *OS 相关。

类型：关键字

例如：com.apple.xpc.proxy

有关证书状态的附加信息。这对于记录与证书有效性或信任状态相关的加密错误很有用。如果未检查证书的有效性或信任，则不进行填充。

类型：关键字

例如：ERROR_UNTRUSTED_ROOT

代码签名者的主题名称

类型：关键字

例如：Microsoft Corporation

用于签署进程的团队标识符。用于标识软件产品的团队或供应商。此字段与 Apple *OS 相关。

类型：关键字

例如：EQHXZ8M8AV

生成和签署代码签名的时间日期。

类型：日期

例如：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

例如：true

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则不进行填充。

类型：布尔值

例如：true

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。 某些参数可能会被过滤以保护敏感信息。

类型：通配符

示例：/usr/bin/ssh -l user 10.0.0.16

类型：match_only_text

ELF 文件的机器架构。

类型：关键字

示例：x86-64

ELF 文件的字节顺序。

类型：关键字

示例：小端序

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

如果可能从文件的元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型：日期

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

ELF 文件的头部类别。

类型：关键字

ELF 头部的數據表。

类型：关键字

ELF 文件的头部入口点。

类型：long

格式：字符串

"0x1" 用于原始 ELF 文件。

类型：关键字

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

ELF 文件的头部类型。

类型：关键字

ELF 头部的版本。

类型：关键字

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件的每个部分的对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

部分的卡方概率分布。

类型：long

格式：数字

从部分进行的香农熵计算。

类型：long

格式：数字

ELF 部分列表标志。

类型：关键字

ELF 部分列表名称。

类型：关键字

ELF 部分列表偏移量。

类型：关键字

ELF 部分列表物理大小。

类型：long

格式：字节

ELF 部分列表类型。

类型：关键字

ELF 部分列表虚拟地址。

类型：long

格式：字符串

ELF 部分列表虚拟大小。

类型：long

格式：字符串

一个数组，包含 ELF 文件的每个段的对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型：关键字

ELF 对象段类型。

类型：关键字

此 ELF 对象使用的共享库列表。

类型：关键字

ELF 文件的 telfhash 符号哈希。

类型：关键字

进程结束的时间。

类型：日期

示例：2016-05-23T08:05:34.853Z

进程的唯一标识符。 此标识符的实现由数据源指定，但这里可以使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程的一些唯一标识组件的哈希值。 构建全局唯一标识符是一种常见的做法，可以减轻 PID 重用，并随着时间的推移识别特定进程，跨多个监控主机。

类型：关键字

示例：c2c455d9f99375d

进程可执行文件的绝对路径。

类型：关键字

示例：/usr/bin/ssh

类型：match_only_text

进程的退出代码（如果这是一个终止事件）。 如果该事件没有退出代码（例如进程启动），则该字段应不存在。

类型：long

示例：137

MD5 哈希。

类型：关键字

SHA1 哈希。

类型：关键字

SHA256 哈希。

类型：关键字

SHA512 哈希。

类型：关键字

SSDEEP 哈希。

类型：关键字

进程名称。 有时称为程序名称或类似名称。

类型：关键字

示例：ssh

类型：match_only_text

文件的 CPU 架构目标。

类型：关键字

例如：x64

文件的内部公司名称，在编译时提供。

类型：关键字

例如：Microsoft Corporation

文件的内部描述，在编译时提供。

类型：关键字

例如：Paint

文件的内部版本，在编译时提供。

类型：关键字

例如：6.3.9600.17415

PE 文件中导入的哈希。imphash - 或导入哈希 - 可用于指纹二进制文件，即使在重新编译或其他代码级转换发生后，也会改变更传统的哈希值。在https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 中了解更多信息。

类型：关键字

例如：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型：关键字

例如：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型：关键字

例如：Microsoft® Windows® Operating System

进程所属的进程组的标识符。

类型：long

格式：字符串

进程 ID。

类型：long

示例：4242

格式：字符串

进程启动的时间。

类型：日期

示例：2016-05-23T08:05:34.853Z

线程 ID。

类型：long

示例：4242

格式：字符串

线程名称。

类型：关键字

示例：thread-0

进程标题。 进程标题，有时与进程名称相同。 也可以不同：例如，浏览器将其标题设置为当前打开的网页。

类型：关键字

类型：match_only_text

进程运行的秒数。

类型：long

示例：1325

进程的工作目录。

类型：关键字

例如：/home/alice

类型：match_only_text

文件的 CPU 架构目标。

类型：关键字

例如：x64

文件的内部公司名称，在编译时提供。

类型：关键字

例如：Microsoft Corporation

文件的内部描述，在编译时提供。

类型：关键字

例如：Paint

文件的内部版本，在编译时提供。

类型：关键字

例如：6.3.9600.17415

PE 文件中导入的哈希。imphash - 或导入哈希 - 可用于指纹二进制文件，即使在重新编译或其他代码级转换发生后，也会改变更传统的哈希值。在https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 中了解更多信息。

类型：关键字

例如：0c6803c4e922103c4dca5963aad36ddf

文件的内部名称，在编译时提供。

类型：关键字

例如：MSPAINT.EXE

文件的内部产品名称，在编译时提供。

类型：关键字

例如：Microsoft® Windows® Operating System

进程所属的进程组的标识符。

类型：long

格式：字符串

进程 ID。

类型：long

示例：4242

格式：字符串

进程启动的时间。

类型：日期

示例：2016-05-23T08:05:34.853Z

线程 ID。

类型：long

示例：4242

格式：字符串

线程名称。

类型：关键字

示例：thread-0

进程标题。 进程标题，有时与进程名称相同。 也可以不同：例如，浏览器将其标题设置为当前打开的网页。

类型：关键字

类型：match_only_text

进程运行的秒数。

类型：long

示例：1325

进程的工作目录。

类型：关键字

例如：/home/alice

类型：match_only_text

使用 Base64 编码的原始字节。 对于 Windows 注册表操作（例如 SetValueEx 和 RegQueryValueEx），这对应于 lp_data 指向的数据。 这是可选的，但可以提供更好的可恢复性，应填充 REG_BINARY 编码的值。

类型：关键字

示例：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

写入字符串类型时的内容。 写入字符串数据到注册表时，将填充为一个数组。 对于单个字符串注册表类型 (REG_SZ、REG_EXPAND_SZ)，这应该是一个包含一个字符串的数组。 对于使用 REG_MULTI_SZ 的字符串序列，此数组将是可变长度的。 对于数字数据（例如 REG_DWORD 和 REG_QWORD），这应该使用十进制表示法填充（例如 "1"）。

类型：通配符

示例：["C:\rta\red_ttp\bin\myapp.exe"]

用于编码内容的标准注册表类型。

类型：关键字

示例：REG_SZ

蜂巢的缩写名称。

类型：关键字

示例：HKLM

键的蜂巢相关路径。

类型：关键字

示例：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

完整路径，包括蜂巢、键和值。

类型：关键字

示例：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

写入的值的名称。

类型：关键字

示例：Debugger

在您的事件上看到的所有哈希值。 填充此字段，然后使用它来搜索哈希值可以帮助您在不确定哈希算法（因此不确定要搜索哪个键名）的情况下进行搜索。

类型：关键字

在您的事件上看到的所有主机名或其他主机标识符。 示例标识符包括 FQDN、域名、工作站名称或别名。

类型：关键字

在您的事件上看到的所有 IP。

类型：ip

在该事件上看到的所有用户名或其他用户标识符。

类型：关键字

创建用于生成此事件的规则的作者或作者的姓名、组织或笔名。

类型：关键字

示例：["Star-Lord"]

使用该规则进行检测的实体使用的分类值关键字，用于检测此事件。

类型：关键字

示例：Attempted Information Leak

生成该事件的规则的描述。

类型：关键字

示例：阻止对公共 DNS over HTTPS/TLS 协议的请求

在使用该规则进行检测的代理、观察者或其他实体的范围内唯一的规则 ID，用于检测此事件。

类型：关键字

示例：101

用于生成此事件的规则的许可证名称，该规则的许可证使该规则可用。

类型：关键字

示例：Apache 2.0

生成该事件的规则或签名的名称。

类型：关键字

示例：BLOCK_DNS_over_TLS

指向有关用于生成此事件的规则的附加信息的参考 URL。 该 URL 可以指向供应商有关该规则的文档。 如果该文档不可用，它也可以链接到描述此类警报的更通用页面。

类型：关键字

示例：https://en.wikipedia.org/wiki/DNS_over_TLS

规则集、策略、组或父类别（用于生成此事件的规则是其成员）的名称。

类型：关键字

示例：Standard_Protocol_Filters

在使用该规则进行检测的一组或一组代理、观察者或其他实体的范围内唯一的规则 ID，用于检测此事件。

类型：关键字

示例：1100110011

用于分析的规则的版本/修订版。

类型：关键字

示例：1.1

某些事件服务器地址定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后应根据它是哪一个将其复制到 .ip 或 .domain。

类型：关键字

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

组织名称。

类型：关键字

示例：Google LLC

类型：match_only_text

从服务器发送到客户端的字节数。

类型：long

示例：184

格式：字节

服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能来自丰富。

类型：关键字

示例：foo.example.com

城市名称。

类型：关键字

示例：蒙特利尔

代表大陆名称的两位字母代码。

类型：关键字

示例：NA

大陆名称。

类型：关键字

示例：北美

国家 ISO 代码。

类型：关键字

示例：CA

国家名称。

类型：关键字

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可能是其数据中心的名称、楼层编号（如果这描述的是本地物理实体）、城市名称。通常不在自动地理定位中使用。

类型：关键字

示例：boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区将有很大差异。

类型：关键字

示例：94040

地区 ISO 代码。

类型：关键字

示例：CA-QC

地区名称。

类型：关键字

示例：魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

服务器的 IP 地址（IPv4 或 IPv6）。

类型：ip

服务器的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节由连字符隔开。

类型：关键字

示例：00-00-5E-00-53-23

基于 NAT 会话的翻译后的目标 IP（例如，Internet 到私有 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

类型：ip

基于 NAT 会话的目标端口转换（例如，互联网到私有 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

类型：long

格式：字符串

从服务器发送到客户端的数据包。

类型：long

示例：12

服务器的端口。

类型：long

格式：字符串

剥离子域后，最高注册的服务器域。例如，"foo.example.com" 的注册域是 "example.com"。此值可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表来精确确定。尝试通过简单地获取最后两个标签来近似此值对于 "co.uk" 等顶级域名来说效果不佳。

类型：关键字

示例：example.com

完全限定域名的子域部分包含除了注册域下的主机名之外的所有名称。在部分限定域中，或者如果无法确定全名的限定级别，则 subdomain 包含注册域以下的所有名称。例如，“www.east.mydomain.co.uk” 的子域部分为“east”。如果域具有多个子域级别，例如“sub2.sub1.example.com”，则 subdomain 字段应包含“sub2.sub1”，没有尾随句号。

类型：关键字

示例：east

有效顶级域 (eTLD)，也称为域名后缀，是域名最后一部分。例如，example.com 的顶级域为“com”。可以使用像公共后缀列表这样的列表精确地确定此值 (http://publicsuffix.org)。简单地获取最后一个标签来近似此值，对于像“co.uk”这样的有效 TLD 来说将无法正常工作。

类型：关键字

示例：co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

用户电子邮件地址。

类型：关键字

用户的全名（如果可用）。

类型：关键字

示例：阿尔伯特·爱因斯坦

类型：match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

组在系统/平台上的唯一标识符。

类型：关键字

组的名称。

类型：关键字

唯一用户哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息而无法使用，则很有用。

类型：关键字

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

用户的简称或登录名。

类型：关键字

示例：a.einstein

类型：match_only_text

事件发生时用户角色的数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

从该服务收集数据的地址。这应该是一个 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

类型：关键字

例如：172.26.0.2:5432

标识服务运行的环境。如果相同服务在不同的环境（生产、登台、QA、开发等）中运行，则环境可以标识相同服务的其他实例。还可以将来自同一环境的服务和应用程序分组。

类型：关键字

例如：production

此服务的短暂标识符（如果存在）。此 ID 通常在重启时发生变化，但 service.id 不会。

类型：关键字

示例：8a4f500f

正在运行服务的唯一标识符。如果服务包含多个节点，则 service.id 对于所有节点应该相同。此 ID 应该唯一标识服务。这使得能够关联特定服务的日志和指标，无论哪个特定节点发出事件。请注意，如果您需要查看来自服务特定主机的事件，则应该在该 host.name 或 host.id 上进行过滤。

类型：关键字

例如：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

从该服务收集数据的名称。服务的名称通常是用户指定的。这允许在多个主机上运行的分布式服务根据名称关联相关实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，service.name 默认情况下是 service.type 字段的副本，如果未指定名称。

类型：关键字

例如：elasticsearch-metrics

服务节点的名称。这允许在同一主机上运行的同一服务的两个节点之间进行区分。因此，service.node.name 通常应该在给定服务的节点之间是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下，可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些不提供唯一性（例如，在同一主机上运行的服务的多个实例） - 节点名称可以手动设置。

类型：关键字

例如：instance-0000000016

从该服务收集数据的地址。这应该是一个 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

类型：关键字

例如：172.26.0.2:5432

标识服务运行的环境。如果相同服务在不同的环境（生产、登台、QA、开发等）中运行，则环境可以标识相同服务的其他实例。还可以将来自同一环境的服务和应用程序分组。

类型：关键字

例如：production

此服务的短暂标识符（如果存在）。此 ID 通常在重启时发生变化，但 service.id 不会。

类型：关键字

示例：8a4f500f

正在运行服务的唯一标识符。如果服务包含多个节点，则 service.id 对于所有节点应该相同。此 ID 应该唯一标识服务。这使得能够关联特定服务的日志和指标，无论哪个特定节点发出事件。请注意，如果您需要查看来自服务特定主机的事件，则应该在该 host.name 或 host.id 上进行过滤。

类型：关键字

例如：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

从该服务收集数据的名称。服务的名称通常是用户指定的。这允许在多个主机上运行的分布式服务根据名称关联相关实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，service.name 默认情况下是 service.type 字段的副本，如果未指定名称。

类型：关键字

例如：elasticsearch-metrics

服务节点的名称。这允许在同一主机上运行的同一服务的两个节点之间进行区分。因此，service.node.name 通常应该在给定服务的节点之间是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下，可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些不提供唯一性（例如，在同一主机上运行的服务的多个实例） - 节点名称可以手动设置。

类型：关键字

例如：instance-0000000016

服务的当前状态。

类型：关键字

从该服务收集数据的类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。例如：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型：关键字

例如：elasticsearch

收集数据的服务的版本。这允许仅查看服务特定版本的特定数据集。

类型：关键字

例如：3.2.4

服务的当前状态。

类型：关键字

从该服务收集数据的地址。这应该是一个 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

类型：关键字

例如：172.26.0.2:5432

标识服务运行的环境。如果相同服务在不同的环境（生产、登台、QA、开发等）中运行，则环境可以标识相同服务的其他实例。还可以将来自同一环境的服务和应用程序分组。

类型：关键字

例如：production

此服务的短暂标识符（如果存在）。此 ID 通常在重启时发生变化，但 service.id 不会。

类型：关键字

示例：8a4f500f

正在运行服务的唯一标识符。如果服务包含多个节点，则 service.id 对于所有节点应该相同。此 ID 应该唯一标识服务。这使得能够关联特定服务的日志和指标，无论哪个特定节点发出事件。请注意，如果您需要查看来自服务特定主机的事件，则应该在该 host.name 或 host.id 上进行过滤。

类型：关键字

例如：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

从该服务收集数据的名称。服务的名称通常是用户指定的。这允许在多个主机上运行的分布式服务根据名称关联相关实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，service.name 默认情况下是 service.type 字段的副本，如果未指定名称。

类型：关键字

例如：elasticsearch-metrics

服务节点的名称。这允许在同一主机上运行的同一服务的两个节点之间进行区分。因此，service.node.name 通常应该在给定服务的节点之间是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下，可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些不提供唯一性（例如，在同一主机上运行的服务的多个实例） - 节点名称可以手动设置。

类型：关键字

例如：instance-0000000016

服务的当前状态。

类型：关键字

从该服务收集数据的类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。例如：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型：关键字

例如：elasticsearch

收集数据的服务的版本。这允许仅查看服务特定版本的特定数据集。

类型：关键字

例如：3.2.4

从该服务收集数据的类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。例如：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型：关键字

例如：elasticsearch

收集数据的服务的版本。这允许仅查看服务特定版本的特定数据集。

类型：关键字

例如：3.2.4

某些事件源地址定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后应根据它是哪一个将其复制到 .ip 或 .domain。

类型：关键字

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

组织名称。

类型：关键字

示例：Google LLC

类型：match_only_text

从源发送到目标的字节数。

类型：long

示例：184

格式：字节

源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能来自丰富。

类型：关键字

示例：foo.example.com

城市名称。

类型：关键字

示例：蒙特利尔

代表大陆名称的两位字母代码。

类型：关键字

示例：NA

大陆名称。

类型：关键字

示例：北美

国家 ISO 代码。

类型：关键字

示例：CA

国家名称。

类型：关键字

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在他们关心的粒度级别。可能是其数据中心的名称、楼层编号（如果这描述的是本地物理实体）、城市名称。通常不在自动地理定位中使用。

类型：关键字

示例：boston-dc

与位置相关的邮政编码。适合此字段的值也可能被称为邮政编码或邮政编码，并且在不同国家/地区将有很大差异。

类型：关键字

示例：94040

地区 ISO 代码。

类型：关键字

示例：CA-QC

地区名称。

类型：关键字

示例：魁北克

位置的时间区域，例如 IANA 时间区域名称。

类型：关键字

示例：America/Argentina/Buenos_Aires

源的 IP 地址（IPv4 或 IPv6）。

类型：ip

源的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节由连字符隔开。

类型：关键字

示例：00-00-5E-00-53-23

基于 NAT 会话的源 IP 转换（例如，内部客户端到互联网）。通常连接通过负载均衡器、防火墙或路由器进行。

类型：ip

基于 NAT 会话的源端口转换。（例如，内部客户端到互联网）。通常与负载均衡器、防火墙或路由器一起使用。

类型：long

格式：字符串

从源发送到目标的数据包。

类型：long

示例：12

源的端口。

类型：long

格式：字符串

剥离子域后，最高注册的源域。例如，"foo.example.com" 的注册域是 "example.com"。此值可以使用诸如公共后缀列表 (http://publicsuffix.org) 之类的列表来精确确定。尝试通过简单地获取最后两个标签来近似此值对于 "co.uk" 等顶级域名来说效果不佳。

类型：关键字

示例：example.com

完全限定域名的子域部分包含除了注册域下的主机名之外的所有名称。在部分限定域中，或者如果无法确定全名的限定级别，则 subdomain 包含注册域以下的所有名称。例如，“www.east.mydomain.co.uk” 的子域部分为“east”。如果域具有多个子域级别，例如“sub2.sub1.example.com”，则 subdomain 字段应包含“sub2.sub1”，没有尾随句号。

类型：关键字

示例：east

有效顶级域 (eTLD)，也称为域名后缀，是域名最后一部分。例如，example.com 的顶级域为“com”。可以使用像公共后缀列表这样的列表精确地确定此值 (http://publicsuffix.org)。简单地获取最后一个标签来近似此值，对于像“co.uk”这样的有效 TLD 来说将无法正常工作。

类型：关键字

示例：co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

用户电子邮件地址。

类型：关键字

用户的全名（如果可用）。

类型：关键字

示例：阿尔伯特·爱因斯坦

类型：match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：关键字

组在系统/平台上的唯一标识符。

类型：关键字

组的名称。

类型：关键字

唯一用户哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息而无法使用，则很有用。

类型：关键字

用户的唯一标识符。

类型：关键字

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

用户的简称或登录名。

类型：关键字

示例：a.einstein

类型：match_only_text

事件发生时用户角色的数组。

类型：关键字

示例：["kibana_admin", "reporting_user"]

与事件相关的指标对象列表，以及该关联/丰富的信息。

类型：嵌套

包含与事件相关的指标的对象。

类型：对象

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

组织名称。

类型：关键字

示例：Google LLC

类型：match_only_text

使用 STIX 2.1 框架附录 A 中定义的 None/Low/Medium/High 比例标识供应商中立的置信度等级。供应商特定的置信度等级可以作为自定义字段添加。预期值是：* 未指定 * 无 * 低 * 中 * 高

类型：关键字

例如：中

描述了威胁执行的操作类型。

类型：关键字

例如：观察到 IP x.x.x.x 传递 Angler EK。

将威胁指标标识为电子邮件地址（不考虑方向）。

类型：关键字

例如：[email protected]

文件上次被访问的时间。请注意，并非所有文件系统都会跟踪访问时间。

类型：日期

文件属性数组。属性名称会因平台而异。以下是此字段中预期值的非详尽列表：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型：关键字

例如：["readonly", "system"]

用于签署进程的哈希算法。当文件由同一个签名者使用不同的摘要算法多次签名时，此值可以区分签名。

类型：关键字

例如：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

例如：true

用于签署进程的标识符。用于标识软件供应商制造的应用程序。此字段与 Apple *OS 相关。

类型：关键字

例如：com.apple.xpc.proxy

有关证书状态的附加信息。这对于记录与证书有效性或信任状态相关的加密错误很有用。如果未检查证书的有效性或信任，则不进行填充。

类型：关键字

例如：ERROR_UNTRUSTED_ROOT

代码签名者的主题名称

类型：关键字

例如：Microsoft Corporation

用于签署进程的团队标识符。用于标识软件产品的团队或供应商。此字段与 Apple *OS 相关。

类型：关键字

例如：EQHXZ8M8AV

生成和签署代码签名的时间日期。

类型：日期

例如：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

例如：true

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则不进行填充。

类型：布尔值

例如：true

文件创建时间。请注意，并非所有文件系统都会存储创建时间。

类型：日期

文件属性或元数据上次更改的时间。请注意，文件内容的更改会更新 mtime。这意味着 ctime 会在同一时间进行调整，因为 mtime 是文件的属性。

类型：日期

作为文件来源的设备。

类型：关键字

例如：sda

文件所在的目录。它应包括驱动器盘符（如果适用）。

类型：关键字

例如：/home/alice

文件所在的驱动器盘符。此字段仅在 Windows 上相关。该值应为大写，并且不包括冒号。

类型：关键字

例如：C

ELF 文件的机器架构。

类型：关键字

示例：x86-64

ELF 文件的字节顺序。

类型：关键字

示例：小端序

ELF 文件的 CPU 类型。

类型：关键字

示例：Intel

如果可能从文件的元数据中提取。指示它是在何时构建或编译的。它也可以被恶意软件创建者伪造。

类型：日期

导出元素名称和类型的列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型：关键字

ELF 文件的头部类别。

类型：关键字

ELF 头部的數據表。

类型：关键字

ELF 文件的头部入口点。

类型：long

格式：字符串

"0x1" 用于原始 ELF 文件。

类型：关键字

Linux 操作系统的应用程序二进制接口 (ABI)。

类型：关键字

ELF 文件的头部类型。

类型：关键字

ELF 头部的版本。

类型：关键字

导入元素名称和类型的列表。

类型：扁平化

一个数组，包含 ELF 文件的每个部分的对象。这些对象中应该存在的键由 elf.sections.* 下的子字段定义。

类型：嵌套

部分的卡方概率分布。

类型：long

格式：数字

从部分进行的香农熵计算。

类型：long

格式：数字

ELF 部分列表标志。

类型：关键字

ELF 部分列表名称。

类型：关键字

ELF 部分列表偏移量。

类型：关键字

ELF 部分列表物理大小。

类型：long

格式：字节

ELF 部分列表类型。

类型：关键字

ELF 部分列表虚拟地址。

类型：long

格式：字符串

ELF 部分列表虚拟大小。

类型：long

格式：字符串

一个数组，包含 ELF 文件的每个段的对象。这些对象中应该存在的键由 elf.segments.* 下的子字段定义。

类型：嵌套

ELF 对象段部分。

类型：关键字

ELF 对象段类型。

类型：关键字

此 ELF 对象使用的共享库列表。

类型：关键字

ELF 文件的 telfhash 符号哈希。

类型：关键字

文件扩展名，不包括开头的点。请注意，当文件名具有多个扩展名（example.tar.gz）时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型：关键字

例如：png

fork 是与文件系统对象关联的附加数据。在 Linux 上，资源 fork 用于存储与文件系统对象关联的附加数据。文件始终至少具有一个用于数据部分的 fork，并且可能存在其他 fork。在 NTFS 上，这类似于备用数据流 (ADS)，文件的默认数据流称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 的形式通常为：C:\path\to\filename.extension:some_fork_name，some_fork_name 是应填充 fork_name 的值。filename.extension 应填充 file.name，extension 应填充 file.extension。完整路径 file.path 将包含 fork 名称。

类型：关键字

例如：Zone.Identifer

文件的初级组 ID (GID)。

类型：关键字

例如：1001

文件的初级组名称。

类型：关键字

例如：alice

MD5 哈希。

类型：关键字

SHA1 哈希。

类型：关键字

SHA256 哈希。

类型：关键字

SHA512 哈希。

类型：关键字

SSDEEP 哈希。

类型：关键字

文件系统中表示文件的 inode。

类型：关键字

例如：256383

MIME 类型应使用 IANA 官方类型 识别文件或字节流的格式（如果可能）。当多种类型适用时，应使用最具体的类型。

类型：关键字