› ›

ECS 字段

本节定义了 Elastic Common Schema (ECS) 字段，这是一组用于将事件数据存储在 Elasticsearch 中的通用字段。

这是一个详尽的列表，此处列出的字段不一定被 Winlogbeat 使用。ECS 的目标是使和鼓励 Elasticsearch 用户规范化其事件数据，以便他们能够更好地分析、可视化和关联事件中表示的数据。

有关更多信息，请参阅 ECS 参考。

@timestamp

事件起源的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由事件首次被管道接收的时间填充。所有事件的必填字段。

类型: date

示例: 2016-05-23T08:05:34.853Z

必填: True

labels

自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值均存储为关键字。例如：docker 和 k8s 标签。

类型: object

示例: {"application": "foo-bar", "env": "production"}

message

对于日志事件，message 字段包含日志消息，针对日志查看器进行了优化。对于没有原始消息字段的结构化日志，可以将其他字段连接起来，以形成事件的人类可读摘要。如果存在多个消息，则可以将它们组合成一个消息。

类型: match_only_text

示例: Hello World

tags

用于标记每个事件的关键字列表。

类型: keyword

示例: ["production", "env2"]

agent

agent 字段包含有关软件实体（如果有）的数据，这些实体在主机上收集、检测或观察事件，或在主机上进行测量。例如 Beats。代理也可能在观察者上运行。ECS agent.* 字段应填充在发生事件或进行测量的主机或观察者上运行的代理的详细信息。

agent.build.original

代理的扩展构建信息。此字段旨在包含数据源可能提供的任何构建信息，不需要任何特定格式。

类型: keyword

示例: metricbeat version 7.6.0 (amd64), libbeat 7.6.0 [6a23e8f8f30f5001ba344e4e54d8d9cb82cb107c built 2020-02-05 23:10:10 +0000 UTC]

agent.ephemeral_id

此代理的临时标识符（如果存在）。此 ID 通常在重新启动时发生变化，但 agent.id 不会。

类型: keyword

示例: 8a4f500f

agent.id

此代理的唯一标识符（如果存在）。例如：对于 Beats，这将是 beat.id。

类型: keyword

示例: 8a4f500d

agent.name

代理的自定义名称。这是一个可以赋予代理的名称。例如，如果两个 Filebeat 实例在同一主机上运行，但需要对来自哪个 Filebeat 实例的数据进行人类可读的分离，则此功能很有用。如果没有给出名称，则名称通常为空。

类型: keyword

示例: foo

agent.type

代理的类型。代理类型始终保持不变，应由使用的代理给出。在 Filebeat 的情况下，即使在同一台机器上运行两个 Filebeat 实例，代理也始终为 Filebeat。

类型: keyword

示例: filebeat

agent.version

代理的版本。

类型: keyword

示例: 6.0.0-rc2

as

自治系统 (AS) 是一个由互连的互联网协议 (IP) 路由前缀组成的集合，这些前缀受一个或多个网络运营商的控制，代表单个管理实体或域，向互联网呈现共同的、明确定义的路由策略。

as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

as.organization.name

组织名称。

类型: keyword

示例: Google LLC

as.organization.name.text

类型: match_only_text

client

客户端定义为网络连接的发起者，用于有关会话、连接或双向流记录的事件。对于 TCP 事件，客户端是发送 SYN 数据包的 TCP 连接的发起者。对于其他协议，客户端通常是网络事务中的发起者或请求者。某些系统使用术语“发起者”来指代 TCP 连接中的客户端。客户端字段描述有关充当网络事件中客户端的系统的详细信息。客户端字段通常与服务器字段一起填充。客户端字段通常不填充数据包级事件。客户端/服务器表示可以向交换添加语义上下文，这有助于在某些情况下可视化数据。如果您的上下文属于该类别，您仍应确保源和目标已正确填充。

client.address

某些事件客户端地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后应根据其所属类型将其复制到 .ip 或 .domain 中。

类型: keyword

client.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

client.as.organization.name

组织名称。

类型: keyword

示例: Google LLC

client.as.organization.name.text

类型: match_only_text

client.bytes

从客户端发送到服务器的字节数。

类型: long

示例: 184

格式: bytes

client.domain

客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从丰富中添加。

类型: keyword

示例: foo.example.com

client.geo.city_name

城市名称。

类型: keyword

示例: Montreal

client.geo.continent_code

表示大洲名称的两位代码。

类型: keyword

示例: NA

client.geo.continent_name

大洲的名称。

类型: keyword

示例: 北美

client.geo.country_iso_code

国家/地区 ISO 代码。

类型: keyword

示例: CA

client.geo.country_name

国家/地区名称。

类型: keyword

示例: 加拿大

client.geo.location

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

client.geo.name

用户定义的位置描述，在他们关心的粒度级别。可以是其数据中心的名称、楼层编号（如果描述本地物理实体），城市名称。通常不用于自动地理定位。

类型: keyword

示例: boston-dc

client.geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

client.geo.region_iso_code

地区 ISO 代码。

类型: keyword

示例: CA-QC

client.geo.region_name

地区名称。

类型: keyword

示例: 魁北克

client.geo.timezone

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

client.ip

客户端的 IP 地址 (IPv4 或 IPv6)。

类型: ip

client.mac

客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两位 [大写] 十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节由连字符分隔。

类型: keyword

示例: 00-00-5E-00-53-23

client.nat.ip

基于源 NAT 会话的转换后的 IP（例如，内部客户端到互联网）。通常是穿过负载均衡器、防火墙或路由器的连接。

类型: ip

client.nat.port

基于源 NAT 会话的转换后的端口（例如，内部客户端到互联网）。通常是穿过负载均衡器、防火墙或路由器的连接。

类型: long

格式: string

client.packets

从客户端发送到服务器的数据包数。

类型: long

示例: 12

client.port

客户端的端口。

类型: long

格式: string

client.registered_domain

最高注册的客户端域，已去除子域。例如，“foo.example.com”的注册域为“example.com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。简单地获取最后两个标签来近似此值对于“co.uk”等 TLD 来说效果不佳。

类型: keyword

示例: example.com

client.subdomain

完全限定域名中的子域部分包含除注册域下主机名之外的所有名称。在部分限定域中，或者如果无法确定全名的限定级别，则子域包含注册域下方的所有名称。例如，“www.east.mydomain.co.uk”的子域部分为“east”。如果域有多个子域级别，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，不带尾随句点。

类型: keyword

示例: east

client.top_level_domain

有效顶级域 (eTLD)，也称为域后缀，是域名末尾的部分。例如，example.com 的顶级域为“com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。简单地获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不佳。

类型: keyword

示例: co.uk

client.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

client.user.email

用户电子邮件地址。

类型: keyword

client.user.full_name

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

client.user.full_name.text

类型: match_only_text

client.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

client.user.group.id

系统/平台上组的唯一标识符。

类型: keyword

client.user.group.name

组的名称。

类型: keyword

client.user.hash

唯一的用户哈希，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型: keyword

client.user.id

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

client.user.name

用户的简称或登录名。

类型: keyword

示例: a.einstein

client.user.name.text

类型: match_only_text

client.user.roles

事件发生时用户角色的数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

cloud

与事件来源的云或基础设施相关的字段。

cloud.account.id

云帐户或组织 ID，用于在多租户环境中识别不同的实体。例如：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型: keyword

示例: 666777888999

cloud.account.name

云帐户名称或别名，用于在多租户环境中识别不同的实体。例如：AWS 帐户名称、Google Cloud ORG 显示名称。

类型: keyword

示例: elastic-dev

cloud.availability_zone

此主机、资源或服务所在的可用区。

类型: keyword

示例: us-east-1c

cloud.instance.id

主机机器的实例 ID。

类型: keyword

示例: i-1234567890abcdef0

cloud.instance.name

主机机器的实例名称。

类型: keyword

cloud.machine.type

主机机器的机器类型。

类型: keyword

示例: t2.medium

cloud.origin.account.id

云帐户或组织 ID，用于在多租户环境中识别不同的实体。例如：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型: keyword

示例: 666777888999

云源账户名称

云帐户名称或别名，用于在多租户环境中识别不同的实体。例如：AWS 帐户名称、Google Cloud ORG 显示名称。

类型: keyword

示例: elastic-dev

云源可用区

此主机、资源或服务所在的可用区。

类型: keyword

示例: us-east-1c

云源实例ID

主机机器的实例 ID。

类型: keyword

示例: i-1234567890abcdef0

云源实例名称

主机机器的实例名称。

类型: keyword

云源机器类型

主机机器的机器类型。

类型: keyword

示例: t2.medium

云源项目ID

云项目的标识符。例如：Google Cloud 项目 ID、Azure 项目 ID。

类型: keyword

示例：my-project

云源项目名称

云项目名称。例如：Google Cloud 项目名称、Azure 项目名称。

类型: keyword

示例：my project

云源提供商

云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。

类型: keyword

示例：aws

云源区域

此主机、资源或服务所在的区域。

类型: keyword

示例：us-east-1

云源服务名称

云服务名称旨在区分在提供商内部不同平台上运行的服务，例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。示例：app engine、app service、cloud run、fargate、lambda。

类型: keyword

示例：lambda

云项目ID

云项目的标识符。例如：Google Cloud 项目 ID、Azure 项目 ID。

类型: keyword

示例：my-project

云项目名称

云项目名称。例如：Google Cloud 项目名称、Azure 项目名称。

类型: keyword

示例：my project

云提供商

云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。

类型: keyword

示例：aws

云区域

此主机、资源或服务所在的区域。

类型: keyword

示例：us-east-1

云服务名称

类型: keyword

示例：lambda

云目标账户ID

云帐户或组织 ID，用于在多租户环境中识别不同的实体。例如：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型: keyword

示例: 666777888999

云目标账户名称

云帐户名称或别名，用于在多租户环境中识别不同的实体。例如：AWS 帐户名称、Google Cloud ORG 显示名称。

类型: keyword

示例: elastic-dev

云目标可用区

此主机、资源或服务所在的可用区。

类型: keyword

示例: us-east-1c

云目标实例ID

主机机器的实例 ID。

类型: keyword

示例: i-1234567890abcdef0

云目标实例名称

主机机器的实例名称。

类型: keyword

云目标机器类型

主机机器的机器类型。

类型: keyword

示例: t2.medium

云目标项目ID

云项目的标识符。例如：Google Cloud 项目 ID、Azure 项目 ID。

类型: keyword

示例：my-project

云目标项目名称

云项目名称。例如：Google Cloud 项目名称、Azure 项目名称。

类型: keyword

示例：my project

云目标提供商

云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。

类型: keyword

示例：aws

云目标区域

此主机、资源或服务所在的区域。

类型: keyword

示例：us-east-1

云目标服务名称

类型: keyword

示例：lambda

代码签名

这些字段包含有关二进制代码签名的信息。

代码签名摘要算法

用于对进程进行签名的哈希算法。当同一签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型: keyword

示例：sha256

代码签名是否存在

布尔值，用于捕获签名是否存在。

类型：布尔值

示例：true

代码签名签名ID

用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型: keyword

示例：com.apple.xpc.proxy

代码签名状态

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度，则保留为空。

类型: keyword

示例：ERROR_UNTRUSTED_ROOT

代码签名主体名称

代码签名者的主体名称

类型: keyword

示例：Microsoft Corporation

代码签名团队ID

用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型: keyword

示例：EQHXZ8M8AV

代码签名时间戳

生成和签署代码签名的时间。

类型: date

示例：2021-01-01T12:10:30Z

代码签名是否可信

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

代码签名是否有效

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则保留为空。

类型：布尔值

示例：true

容器

容器字段用于有关作为信息来源的特定容器的元信息。这些字段有助于根据任何运行时的容器关联数据。

容器CPU使用率

CPU 使用率百分比，通过 CPU 核数进行归一化，范围为 0 到 1。缩放因子：1000。

类型：缩放浮点数

容器磁盘读取字节数

自上次指标收集以来成功读取的总字节数（从所有磁盘聚合）。

类型: long

容器磁盘写入字节数

自上次指标收集以来成功写入的总字节数（从所有磁盘聚合）。

类型: long

容器ID

唯一的容器ID。

类型: keyword

容器镜像名称

容器构建所基于的镜像的名称。

类型: keyword

容器镜像标签

容器镜像标签。

类型: keyword

容器标签

镜像标签。

类型: object

容器内存使用率

内存使用率百分比，范围为 0 到 1。缩放因子：1000。

类型：缩放浮点数

容器名称

容器名称。

类型: keyword

容器网络出站字节数

自上次指标收集以来，容器在所有网络接口上发送的字节数。

类型: long

容器网络入站字节数

自上次指标收集以来，容器在所有网络接口上接收到的字节数。

类型: long

容器运行时

管理此容器的运行时。

类型: keyword

示例：docker

数据流

data_stream 字段参与定义新的数据流命名方案。在新的数据流命名方案中，data_stream 字段的值以以下方式组合成实际数据流的名称：{data_stream.type}-{data_stream.dataset}-{data_stream.namespace}。这意味着这些字段只能包含作为数据流名称一部分的有效字符。有关此内容的更多详细信息，请参阅此博文。Elasticsearch 数据流由一个或多个后备索引组成，并且数据流名称构成后备索引名称的一部分。由于此约定，数据流也必须遵循索引命名限制。例如，数据流名称不能包含 \、/、*、?、"、<、>、|、` `（空格字符）、, 或 #。有关其他限制，请参阅 Elasticsearch 参考。

数据流数据集

该字段可以包含任何有意义的内容来表示数据来源。示例包括 nginx.access、prometheus、endpoint 等。对于其他方面符合但未设置数据集的数据流，我们对数据集值使用“generic”。event.dataset 应与 data_stream.dataset 的值相同。除了上面提到的 Elasticsearch 数据流命名标准外，dataset 值还有一些其他限制：* 不能包含 - * 不超过 100 个字符

类型：常量关键字

示例：nginx.access

数据流命名空间

用户定义的命名空间。命名空间有助于允许对数据进行分组。许多用户已经以这种方式组织他们的索引，并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 default 填充此字段。如果未使用任何值，则回退到 default。除了上面提到的 Elasticsearch 索引命名标准外，namespace 值还有以下其他限制：* 不能包含 - * 不超过 100 个字符

类型：常量关键字

示例：production

数据流类型

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。

类型：常量关键字

示例：logs

目标

目标字段捕获有关网络交换/数据包接收者的详细信息。这些字段从网络事件、数据包或包含网络事务详细信息的其他事件中填充。目标字段通常与源字段一起填充。源和目标字段被认为是基线，如果事件包含来自网络事务的源和目标详细信息，则应始终填充。如果事件还包含客户端和服务器角色的标识，则还应填充客户端和服务器字段。

目标地址

某些事件目标地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后应根据其类型将其复制到 .ip 或 .domain。

类型: keyword

目标AS编号

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

目标AS组织名称

组织名称。

类型: keyword

示例: Google LLC

目标AS组织名称文本

类型: match_only_text

目标字节数

从目标发送到源的字节数。

类型: long

示例: 184

格式: bytes

目标域名

目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件或从增强中添加。

类型: keyword

示例: foo.example.com

目标地理位置城市名称

城市名称。

类型: keyword

示例: Montreal

目标地理位置洲代码

表示大洲名称的两位代码。

类型: keyword

示例: NA

目标地理位置洲名称

大洲的名称。

类型: keyword

示例: 北美

目标地理位置国家/地区ISO代码

国家/地区 ISO 代码。

类型: keyword

示例: CA

目标地理位置国家/地区名称

国家/地区名称。

类型: keyword

示例: 加拿大

目标地理位置

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

目标地理位置名称

类型: keyword

示例: boston-dc

目标地理位置邮政编码

与位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

目标地理位置区域ISO代码

地区 ISO 代码。

类型: keyword

示例: CA-QC

目标地理位置区域名称

地区名称。

类型: keyword

示例: 魁北克

目标地理位置时区

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

目标IP

目标的 IP 地址（IPv4 或 IPv6）。

类型: ip

目标MAC

目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节由连字符分隔。

类型: keyword

示例: 00-00-5E-00-53-23

目标NAT IP

基于 NAT 会话的目标 IP 的转换（例如，互联网到私有 DMZ）通常与负载均衡器、防火墙或路由器一起使用。

类型: ip

目标NAT端口

源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。

类型: long

格式: string

目标数据包

从目标发送到源的数据包。

类型: long

示例: 12

目标端口

目标的端口。

类型: long

格式: string

目标注册域名

剥离子域后，最高注册的目标域名。例如，“foo.example.com”的注册域名是“example.com”。可以使用类似于公共后缀列表（http://publicsuffix.org）的列表来精确确定此值。通过简单地获取最后两个标签来近似此值对于“co.uk”等顶级域名将效果不佳。

类型: keyword

示例: example.com

目标子域名

类型: keyword

示例: east

目标顶级域名

类型: keyword

示例: co.uk

目标用户域名

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

目标用户电子邮件

用户电子邮件地址。

类型: keyword

目标用户全名

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

目标用户全名文本

类型: match_only_text

目标用户组域名

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

目标用户组ID

系统/平台上组的唯一标识符。

类型: keyword

目标用户组名称

组的名称。

类型: keyword

目标用户哈希

唯一的用户哈希，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型: keyword

目标用户ID

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

目标用户名

用户的简称或登录名。

类型: keyword

示例: a.einstein

目标用户名文本

类型: match_only_text

目标用户角色

事件发生时用户角色的数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

DLL

这些字段包含有关动态加载到进程中的代码库的信息。

许多操作系统使用不同的名称来指代“共享代码库”，但此字段集指的是以下所有内容：* 动态链接库（.dll）通常用于 Windows * 共享对象（.so）通常用于类 Unix 操作系统 * 动态库（.dylib）通常用于 macOS

DLL代码签名摘要算法

用于对进程进行签名的哈希算法。当同一签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型: keyword

示例：sha256

DLL代码签名是否存在

布尔值，用于捕获签名是否存在。

类型：布尔值

示例：true

DLL代码签名签名ID

用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型: keyword

示例：com.apple.xpc.proxy

DLL代码签名状态

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度，则保留为空。

类型: keyword

示例：ERROR_UNTRUSTED_ROOT

DLL代码签名主体名称

代码签名者的主体名称

类型: keyword

示例：Microsoft Corporation

DLL代码签名团队ID

用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型: keyword

示例：EQHXZ8M8AV

DLL代码签名时间戳

生成和签署代码签名的时间。

类型: date

示例：2021-01-01T12:10:30Z

DLL代码签名是否可信

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

DLL代码签名是否有效

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则保留为空。

类型：布尔值

示例：true

DLL MD5哈希

MD5 哈希。

类型: keyword

DLL SHA1哈希

SHA1 哈希。

类型: keyword

DLL SHA256哈希

SHA256 哈希。

类型: keyword

DLL SHA512哈希

SHA512 哈希。

类型: keyword

DLL SSDEEP哈希

SSDEEP 哈希。

类型: keyword

DLL名称

库的名称。这通常映射到磁盘上文件的名称。

类型: keyword

示例：kernel32.dll

DLL路径

库的完整文件路径。

类型: keyword

示例：C:\Windows\System32\kernel32.dll

DLL PE体系结构

文件的 CPU 架构目标。

类型: keyword

示例：x64

DLL PE公司

文件的内部公司名称，在编译时提供。

类型: keyword

示例：Microsoft Corporation

DLL PE描述

文件的内部描述，在编译时提供。

类型: keyword

示例：画图

DLL PE文件版本

文件的内部版本，在编译时提供。

类型: keyword

示例：6.3.9600.17415

DLL PE导入哈希

PE 文件中导入的哈希。即使在重新编译或发生其他代码级转换（这会更改更传统的哈希值）后，imphash（或导入哈希）也可用于对二进制文件进行指纹识别。在https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html了解更多信息。

类型: keyword

示例：0c6803c4e922103c4dca5963aad36ddf

dll.pe.original_file_name

文件在编译时提供的内部名称。

类型: keyword

示例：MSPAINT.EXE

dll.pe.product

文件在编译时提供的内部产品名称。

类型: keyword

示例：Microsoft® Windows® 操作系统

dns

描述 DNS 查询和应答的字段。DNS 事件应表示获取应答之前的单个 DNS 查询（dns.type:query），或者应表示完整的交换，并包含查询详细信息以及为此查询提供的全部应答（dns.type:answer）。

dns.answers

一个数组，包含服务器返回的每个应答部分的对象。这些对象中应存在的关键键由 ECS 定义。包含更多信息的记录可能包含比 ECS 定义的更多的键。并非所有 DNS 数据源都提供 DNS 应答的全部详细信息。至少，应答对象必须包含 data 键。如果提供了更多信息，请尽可能将其映射到 ECS，并将任何其他字段作为自定义字段添加到应答对象中。

类型: object

dns.answers.class

此资源记录中包含的 DNS 数据的类别。

类型: keyword

示例：IN

dns.answers.data

描述资源的数据。此数据的意思取决于资源记录的类型和类别。

类型: keyword

示例：10.10.10.10

dns.answers.name

此资源记录相关的域名。如果正在解析 CNAME 链，则每个应答的 name 应与应答的 data 相对应。它不应只是简单地重复原始的 question.name。

类型: keyword

示例：www.example.com

dns.answers.ttl

此资源记录在丢弃之前可以缓存的时间间隔（以秒为单位）。零值表示不应缓存数据。

类型: long

示例：180

dns.answers.type

此资源记录中包含的数据类型。

类型: keyword

示例：CNAME

dns.header_flags

包含 2 个字母的 DNS 头部标志的数组。预期值为：AA、TC、RD、RA、AD、CD、DO。

类型: keyword

示例：["RD", "RA"]

dns.id

生成查询的程序分配的 DNS 数据包标识符。该标识符会复制到响应中。

类型: keyword

示例：62111

dns.op_code

DNS 操作代码，指定消息中查询的类型。此值由查询的发起者设置，并复制到响应中。

类型: keyword

示例：QUERY

dns.question.class

正在查询的记录类别。

类型: keyword

示例：IN

dns.question.name

正在查询的名称。如果 name 字段包含不可打印字符（低于 32 或高于 126），则应将这些字符表示为转义的十进制整数（\DDD）。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

类型: keyword

示例：www.example.com

dns.question.registered_domain

最高注册域名，已去除子域名。例如，“foo.example.com”的注册域名是“example.com”。可以使用像公共后缀列表这样的列表精确确定此值（http://publicsuffix.org）。通过简单地获取最后两个标签来近似此值对于像“co.uk”这样的顶级域名来说效果并不好。

类型: keyword

示例: example.com

dns.question.subdomain

子域名是注册域名下所有标签。如果域名有多个子域名级别，例如“sub2.sub1.example.com”，则 subdomain 字段应包含“sub2.sub1”，不带尾随句点。

类型: keyword

示例：www

dns.question.top_level_domain

类型: keyword

示例: co.uk

dns.question.type

正在查询的记录类型。

类型: keyword

示例：AAAA

dns.resolved_ip

包含在 answers.data 中看到的全部 IP 的数组。 answers 数组可能难以使用，因为它可以包含各种数据格式。将其中看到的全部 IP 地址提取到 dns.resolved_ip 使得能够将它们作为 IP 地址索引，并使它们更容易可视化和查询。

类型: ip

示例：["10.10.10.10", "10.10.10.11"]

dns.response_code

DNS 响应代码。

类型: keyword

示例：NOERROR

dns.type

捕获的 DNS 事件类型，查询或应答。如果您的 DNS 事件源仅为您提供 DNS 查询，则您应该只创建类型为 dns.type:query 的 dns 事件。如果您的 DNS 事件源也为您提供应答，则您应该为每个查询创建一个事件（可选地在看到查询后立即创建）。以及第二个事件，其中包含所有查询详细信息以及应答数组。

类型: keyword

示例：answer

ecs

ECS 特定的元信息。

ecs.version

此事件符合的 ECS 版本。ecs.version 是必需字段，必须存在于所有事件中。在跨多个索引（可能符合略微不同的 ECS 版本）进行查询时，此字段允许集成调整到事件的模式版本。

类型: keyword

示例：1.0.0

必填: True

elf

这些字段包含 Linux 可执行可链接格式 (ELF) 元数据。

elf.architecture

ELF 文件的机器体系结构。

类型: keyword

示例：x86-64

elf.byte_order

ELF 文件的字节顺序。

类型: keyword

示例：小端

elf.cpu_type

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

elf.creation_date

在可能的情况下从文件元数据中提取。指示其构建或编译的时间。它也可以被恶意软件创建者伪造。

类型: date

elf.exports

导出元素名称和类型的列表。

类型：扁平化

elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

elf.header.class

ELF 文件的头部类别。

类型: keyword

elf.header.data

ELF 头部的数据库。

类型: keyword

elf.header.entrypoint

ELF 文件的头部入口点。

类型: long

格式: string

elf.header.object_version

原始 ELF 文件为“0x1”。

类型: keyword

elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

elf.header.type

ELF 文件的头部类型。

类型: keyword

elf.header.version

ELF 头部的版本。

类型: keyword

elf.imports

导入元素名称和类型的列表。

类型：扁平化

elf.sections

一个数组，包含 ELF 文件每个部分的对象。elf.sections.* 下面的子字段定义了这些对象中应存在的键。

类型：嵌套

elf.sections.chi2

部分的卡方概率分布。

类型: long

格式：数字

elf.sections.entropy

从部分计算的香农熵。

类型: long

格式：数字

elf.sections.flags

ELF 部分列表标志。

类型: keyword

elf.sections.name

ELF 部分列表名称。

类型: keyword

elf.sections.physical_offset

ELF 部分列表偏移量。

类型: keyword

elf.sections.physical_size

ELF 部分列表物理大小。

类型: long

格式: bytes

elf.sections.type

ELF 部分列表类型。

类型: keyword

elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型: long

格式: string

elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型: long

格式: string

elf.segments

一个数组，包含 ELF 文件每个段的对象。elf.segments.* 下面的子字段定义了这些对象中应存在的键。

类型：嵌套

elf.segments.sections

ELF 对象段部分。

类型: keyword

elf.segments.type

ELF 对象段类型。

类型: keyword

elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型: keyword

elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型: keyword

error

这些字段可以表示任何类型的错误。将它们用于获取事件时发生的错误，或者事件本身包含错误的情况。

error.code

描述错误的错误代码。

类型: keyword

error.id

错误的唯一标识符。

类型: keyword

error.message

错误消息。

类型: match_only_text

error.stack_trace

此错误的堆栈跟踪（纯文本）。

类型：通配符

error.stack_trace.text

类型: match_only_text

error.type

错误的类型，例如异常的类名。

类型: keyword

示例：java.lang.NullPointerException

event

事件字段用于关于日志或指标事件本身的上下文信息。日志定义为包含发生的事情的详细信息的事件。日志事件必须包含事件发生的时间。日志事件的示例包括主机上启动进程、从源到目标发送网络数据包，或客户端和服务器之间的网络连接启动或关闭。指标定义为包含一个或多个数值测量值以及测量时间的时间的事件。指标事件的示例包括主机上测量的内存压力和设备温度。有关指标和状态事件的更多详细信息，请参阅本节中的 event.kind 定义。

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。例如 group-add、process-started、file-created。该值通常由实现者定义。

类型: keyword

示例：user-password-change

event.agent_id_status

代理通常负责填充 agent.id 字段值。如果接收事件的系统能够根据客户端的身份验证信息验证该值，则可以使用此字段来反映该验证的结果。例如，如果代理的连接通过 mTLS 进行身份验证，并且客户端证书包含颁发给该证书的代理的 ID，则可以针对证书检查事件中的 agent.id 值。如果值匹配，则将 event.agent_id_status: verified 添加到事件中，否则应使用其他允许的值之一。如果未执行验证，则应省略此字段。允许的值为：verified - agent.id 字段值与从身份验证元数据获得的预期值匹配。mismatch - agent.id 字段值与从身份验证元数据获得的预期值不匹配。missing - 事件中没有 agent.id 字段需要验证。auth_metadata_missing - 没有身份验证元数据或缺少有关代理 ID 的信息。

类型: keyword

示例：verified

event.category

这是四个 ECS 分类字段之一，表示 ECS 分类层次结构中的第二个级别。event.category 表示 ECS 类别的“大桶”。例如，根据 event.category:process 进行过滤将产生所有与进程活动相关的事件。此字段与 event.type 密切相关，后者用作子类别。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。

类型: keyword

示例：authentication

event.code

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确识别消息，而不管消息语言或随时间推移的措辞调整如何。Windows 事件 ID 就是一个示例。

类型: keyword

示例：4648

event.created

event.created 包含事件首次被代理或管道读取的日期/时间。此字段不同于 @timestamp，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳略有不同。差异可用于计算您的源生成事件与代理首次处理事件之间的时间延迟。这可用于监控您的代理或管道跟上事件源的能力。如果这两个时间戳相同，则应使用 @timestamp。

类型: date

示例：2016-05-23T08:05:34.857Z

event.dataset

数据集的名称。如果事件源发布多种类型的日志或事件（例如访问日志、错误日志），则数据集用于指定事件来自哪个日志或事件。建议（但不是必需）以模块名称开头，后跟一个点，然后是数据集名称。

类型: keyword

示例：apache.access

event.duration

事件持续时间（纳秒）。如果已知 event.start 和 event.end，则此值应为结束时间和开始时间之间的差值。

类型: long

格式：duration

event.end

event.end 包含事件结束或最后观察到活动的时间。

类型: date

event.hash

原始字段的哈希值（可能是 Logstash 指纹），用于证明日志完整性。

类型: keyword

示例：123456789012345678901234567890ABCD

event.id

描述事件的唯一 ID。

类型: keyword

示例: 8a4f500d

event.ingested

事件到达中央数据存储的时间戳。这与 @timestamp 不同，@timestamp 是事件最初发生的时间。它也与 event.created 不同，event.created 用于捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳的顺序应如下所示：@timestamp < event.created < event.ingested。

类型: date

示例：2016-05-23T08:05:35.101Z

event.kind

这是四个 ECS 分类字段之一，指示 ECS 分类层次结构中的最高级别。event.kind 提供有关事件包含的信息类型的概括信息，而无需具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知如何处理此类事件。它们可能需要不同的保留策略、不同的访问控制，还可以帮助理解数据是否以定期间隔传入。

类型: keyword

示例：alert

event.module

这些数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理来自给定源的事件（例如 Apache 日志），则 event.module 应包含此模块的名称。

类型: keyword

示例：apache

event.original

整个事件的原始文本消息。用于证明日志完整性或在可能需要完整日志消息（在将其拆分为多个部分之前）的地方使用，例如重新索引。此字段未被索引，并且禁用了 doc_values。无法搜索它，但可以从 _source 中检索它。如果用户希望覆盖此字段并索引它，请参阅 Elasticsearch 参考中的 字段数据类型。

类型: keyword

字段未被索引。

event.outcome

这是四个 ECS 分类字段之一，指示 ECS 分类层次结构中的最低级别。event.outcome 仅表示事件从生成事件的实体的角度来看是否表示成功或失败。请注意，当单个事务在多个事件中描述时，每个事件都可能填充 event.outcome 的不同值，具体取决于它们各自的角度。另请注意，对于复合事件（包含多个逻辑事件的单个事件），此字段应填充最能捕获从事件生成器角度来看的整体成功或失败的值。此外，请注意，并非所有事件都具有关联的结果。例如，此字段通常不会填充指标事件、event.type:info 的事件或任何结果没有逻辑意义的事件。

类型: keyword

示例：success

event.provider

事件的来源。Syslog 或 Windows 事件日志等事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如 Sysmon、httpd），也可以是操作系统的子系统的名称（内核、Microsoft-Windows-Security-Auditing）。

类型: keyword

示例：kernel

event.reason

根据源，此事件发生的原因。这描述了事件中捕获的特定操作或结果的原因。如果 event.action 捕获事件中的操作，则 event.reason 描述为何采取该操作。例如，具有 event.action 拒绝请求的 Web 代理也可能会使用 event.reason 来填充拒绝的原因（例如 blocked site）。

类型: keyword

示例：终止了一个意外进程

event.reference

链接到有关此事件的附加信息的参考 URL。此 URL 链接到此事件的静态定义。由 event.kind:alert 指示的警报事件是此字段的常见用例。

类型: keyword

示例：https://system.example.com/event/#0001234

event.risk_score

事件的风险评分或优先级（例如安全解决方案）。在此处使用您系统的原始值。

类型：float

event.risk_score_norm

事件的标准化风险评分或优先级，范围为 0 到 100。如果您使用多个分配风险评分的系统，并且希望查看所有系统中的标准化值，这主要很有用。

类型：float

event.sequence

事件的序列号。序列号是某些事件源发布的值，用于使事件的确切顺序明确，而不管时间戳精度如何。

类型: long

格式: string

event.severity

根据您的事件源，事件的数字严重程度。不同的严重程度值含义在源和用例之间可能不同。实施者有责任确保来自同一源的事件的严重程度保持一致。Syslog 严重程度位于 log.syslog.severity.code 中。event.severity 用于表示事件源（例如防火墙、IDS）的严重程度。如果事件源未发布其自己的严重程度，则可以选择将 log.syslog.severity.code 复制到 event.severity。

类型: long

示例：7

格式: string

event.start

event.start 包含事件开始或首次观察到活动的时间。

类型: date

event.timezone

当事件的时间戳不包含时区信息时，应填充此字段（例如，默认的 Syslog 时间戳）。否则为可选。可接受的时区格式为：规范 ID（例如“Europe/Amsterdam”）、缩写（例如“EST”）或 HH:mm 差值（例如“-05:00”）。

类型: keyword

event.type

这是四个 ECS 分类字段之一，指示 ECS 分类层次结构中的第三级。event.type 表示一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许正确分类属于多个事件类型的某些事件。

类型: keyword

event.url

链接到外部系统以继续调查此事件的 URL。此 URL 链接到另一个系统，在该系统中可以对事件的特定发生情况进行深入调查。由 event.kind:alert 指示的警报事件是此字段的常见用例。

类型: keyword

示例：https://mysystem.example.com/alert/5271dedb-f5b0-4218-87f0-4ac4870a38fe

faas

用户字段描述与事件相关的函数即服务的信息。

faas.coldstart

指示函数冷启动的布尔值。

类型：布尔值

faas.execution

当前函数执行的执行 ID。

类型: keyword

示例：af9d5aa4-a685-4c5f-a22b-444f80b3cc28

faas.trigger

有关函数触发器的详细信息。

类型：嵌套

faas.trigger.request_id

触发器请求、消息、事件等的 ID。

类型: keyword

示例：123456789

faas.trigger.type

函数执行的触发器。预期值为：* http * pubsub * datasource * timer * other

类型: keyword

示例：http

file

文件定义为已在文件系统上创建或已存在于文件系统上的信息集。文件对象可以与主机事件、网络事件和/或文件事件（例如，由文件完整性监控 [FIM] 产品或服务产生的事件）相关联。文件字段提供有关与事件或指标相关的受影响文件的详细信息。

file.accessed

上次访问文件的时间。请注意，并非所有文件系统都跟踪访问时间。

类型: date

file.attributes

文件属性数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型: keyword

示例：["readonly", "system"]

file.code_signature.digest_algorithm

用于对进程进行签名的哈希算法。当同一签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型: keyword

示例：sha256

file.code_signature.exists

布尔值，用于捕获签名是否存在。

类型：布尔值

示例：true

file.code_signature.signing_id

用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型: keyword

示例：com.apple.xpc.proxy

file.code_signature.status

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度，则保留为空。

类型: keyword

示例：ERROR_UNTRUSTED_ROOT

file.code_signature.subject_name

代码签名者的主体名称

类型: keyword

示例：Microsoft Corporation

file.code_signature.team_id

用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型: keyword

示例：EQHXZ8M8AV

file.code_signature.timestamp

生成和签署代码签名的时间。

类型: date

示例：2021-01-01T12:10:30Z

file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

file.code_signature.valid

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则保留为空。

类型：布尔值

示例：true

file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型: date

file.ctime

上次更改文件属性或元数据的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将同时调整，因为 mtime 是文件的属性。

类型: date

file.device

文件来源的设备。

类型: keyword

示例：sda

file.directory

文件所在的目录。在适当情况下，应包括驱动器号。

类型: keyword

示例：/home/alice

file.drive_letter

文件所在的驱动器号。此字段仅在 Windows 上相关。值应为大写，并且不包括冒号。

类型: keyword

示例：C

file.elf.architecture

ELF 文件的机器体系结构。

类型: keyword

示例：x86-64

file.elf.byte_order

ELF 文件的字节顺序。

类型: keyword

示例：小端

file.elf.cpu_type

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

file.elf.creation_date

在可能的情况下从文件元数据中提取。指示其构建或编译的时间。它也可以被恶意软件创建者伪造。

类型: date

file.elf.exports

导出元素名称和类型的列表。

类型：扁平化

file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

file.elf.header.class

ELF 文件的头部类别。

类型: keyword

file.elf.header.data

ELF 头部的数据库。

类型: keyword

file.elf.header.entrypoint

ELF 文件的头部入口点。

类型: long

格式: string

file.elf.header.object_version

原始 ELF 文件为“0x1”。

类型: keyword

file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

file.elf.header.type

ELF 文件的头部类型。

类型: keyword

file.elf.header.version

ELF 头部的版本。

类型: keyword

file.elf.imports

导入元素名称和类型的列表。

类型：扁平化

file.elf.sections

一个数组，包含 ELF 文件每个部分的对象。elf.sections.* 下面的子字段定义了这些对象中应存在的键。

类型：嵌套

file.elf.sections.chi2

部分的卡方概率分布。

类型: long

格式：数字

file.elf.sections.entropy

从部分计算的香农熵。

类型: long

格式：数字

file.elf.sections.flags

ELF 部分列表标志。

类型: keyword

file.elf.sections.name

ELF 部分列表名称。

类型: keyword

file.elf.sections.physical_offset

ELF 部分列表偏移量。

类型: keyword

file.elf.sections.physical_size

ELF 部分列表物理大小。

类型: long

格式: bytes

file.elf.sections.type

ELF 部分列表类型。

类型: keyword

file.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型: long

格式: string

file.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型: long

格式: string

file.elf.segments

一个数组，包含 ELF 文件每个段的对象。elf.segments.* 下面的子字段定义了这些对象中应存在的键。

类型：嵌套

file.elf.segments.sections

ELF 对象段部分。

类型: keyword

file.elf.segments.type

ELF 对象段类型。

类型: keyword

file.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型: keyword

file.elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型: keyword

file.extension

文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名（例如 example.tar.gz）时，仅应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型: keyword

示例：png

file.fork_name

分叉是指与文件系统对象关联的其他数据。在 Linux 上，资源分叉用于存储与文件系统对象关联的其他数据。文件至少有一个用于数据部分的分叉，并且可能存在其他分叉。在 NTFS 上，这类似于备用数据流 (ADS)，文件的默认数据流称为 $DATA。Zone.Identifier 通常由 Windows 用于跟踪从 Internet 下载的内容。ADS 通常采用以下形式：C:\path\to\filename.extension:some_fork_name，并且 some_fork_name 是应填充 fork_name 的值。filename.extension 应填充 file.name，而 extension 应填充 file.extension。完整路径 file.path 将包含分叉名称。

类型: keyword

示例：Zone.Identifer

file.gid

文件的初始组 ID (GID)。

类型: keyword

示例：1001

file.group

文件的初始组名称。

类型: keyword

示例：alice

file.hash.md5

MD5 哈希。

类型: keyword

file.hash.sha1

SHA1 哈希。

类型: keyword

file.hash.sha256

SHA256 哈希。

类型: keyword

file.hash.sha512

SHA512 哈希。

类型: keyword

file.hash.ssdeep

SSDEEP 哈希。

类型: keyword

file.inode

表示文件系统中文件的 inode。

类型: keyword

示例：256383

file.mime_type

MIME 类型应使用IANA 官方类型（如果可能）识别文件或字节流的格式。当多个类型适用时，应使用最具体的类型。

类型: keyword

file.mode

文件的八进制表示模式。

类型: keyword

示例：0640

file.mtime

上次修改文件内容的时间。

类型: date

file.name

包括扩展名在内的文件名，不包含目录。

类型: keyword

示例：example.png

file.owner

文件所有者的用户名。

类型: keyword

示例：alice

file.path

文件的完整路径，包括文件名。在适当情况下，应包含驱动器号。

类型: keyword

示例：/home/alice/example.png

file.path.text

类型: match_only_text

file.pe.architecture

文件的 CPU 架构目标。

类型: keyword

示例：x64

file.pe.company

文件的内部公司名称，在编译时提供。

类型: keyword

示例：Microsoft Corporation

file.pe.description

文件的内部描述，在编译时提供。

类型: keyword

示例：画图

file.pe.file_version

文件的内部版本，在编译时提供。

类型: keyword

示例：6.3.9600.17415

file.pe.imphash

类型: keyword

示例：0c6803c4e922103c4dca5963aad36ddf

file.pe.original_file_name

文件在编译时提供的内部名称。

类型: keyword

示例：MSPAINT.EXE

file.pe.product

文件在编译时提供的内部产品名称。

类型: keyword

示例：Microsoft® Windows® 操作系统

file.size

文件大小（以字节为单位）。仅当 file.type 为“file”时才相关。

类型: long

示例：16384

file.target_path

符号链接的目标路径。

类型: keyword

file.target_path.text

类型: match_only_text

file.type

文件类型（文件、目录或符号链接）。

类型: keyword

示例：file

file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型: keyword

示例：1001

file.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型: keyword

示例：*.elastic.co

file.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型: keyword

示例：Example SHA2 High Assurance Server CA

file.x509.issuer.country

国家/地区代码列表 ©

类型: keyword

示例：US

file.x509.issuer.distinguished_name

颁发证书颁发机构的识别名称 (DN)。

类型: keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

file.x509.issuer.locality

地区名称列表 (L)

类型: keyword

示例：Mountain View

file.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型: keyword

示例：Example Inc

file.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型: keyword

示例：www.example.com

file.x509.issuer.state_or_province

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

file.x509.not_after

证书不再被视为有效的时间。

类型: date

示例：2020-07-16 03:15:39+00:00

file.x509.not_before

证书首次被视为有效的时间。

类型: date

示例：2019-08-16 01:40:25+00:00

file.x509.public_key_algorithm

用于生成公钥的算法。

类型: keyword

示例：RSA

file.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型: keyword

示例：nistp521

file.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型: long

示例：65537

字段未被索引。

file.x509.public_key_size

公钥空间的大小（以位为单位）。

类型: long

示例：2048

file.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应格式化为不带冒号且为大写字符。

类型: keyword

示例：55FBB9C7DEBF09809D12CCAA

file.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型: keyword

示例：SHA256-RSA

file.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型: keyword

示例：shared.global.example.net

file.x509.subject.country

国家/地区代码列表 ©

类型: keyword

示例：US

file.x509.subject.distinguished_name

证书主题实体的识别名称 (DN)。

类型: keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

file.x509.subject.locality

地区名称列表 (L)

类型: keyword

示例：San Francisco

file.x509.subject.organization

主题的组织 (O) 列表。

类型: keyword

示例：Example, Inc.

file.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型: keyword

file.x509.subject.state_or_province

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

file.x509.version_number

x509 格式的版本。

类型: keyword

示例：3

geo

地理字段可以承载与事件相关的特定位置的数据。此地理位置信息可以源自 Geo IP 等技术，也可以由用户提供。

geo.city_name

城市名称。

类型: keyword

示例: Montreal

geo.continent_code

表示大洲名称的两位代码。

类型: keyword

示例: NA

geo.continent_name

大洲的名称。

类型: keyword

示例: 北美

geo.country_iso_code

国家/地区 ISO 代码。

类型: keyword

示例: CA

geo.country_name

国家/地区名称。

类型: keyword

示例: 加拿大

geo.location

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

geo.name

类型: keyword

示例: boston-dc

geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

geo.region_iso_code

地区 ISO 代码。

类型: keyword

示例: CA-QC

geo.region_name

地区名称。

类型: keyword

示例: 魁北克

geo.timezone

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

group

组字段旨在表示与事件相关的组。

group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

group.id

系统/平台上组的唯一标识符。

类型: keyword

group.name

组的名称。

类型: keyword

hash

哈希字段表示不同的位哈希算法及其值。常用哈希（例如 MD5、SHA1）的字段名称是预定义的。通过将哈希算法名称小写并使用下划线分隔符（蛇形大小写，例如 sha3_512）来添加其他哈希的字段。请注意，此字段集用于可能针对一系列通用字节计算的常用哈希。特定于实体的哈希（如 ja3 或 imphash）放置在其相关的字段集中（分别为 tls 和 pe）。

hash.md5

MD5 哈希。

类型: keyword

hash.sha1

SHA1 哈希。

类型: keyword

hash.sha256

SHA256 哈希。

类型: keyword

hash.sha512

SHA512 哈希。

类型: keyword

hash.ssdeep

SSDEEP 哈希。

类型: keyword

host

主机定义为通用计算实例。ECS host.* 字段应填充有关发生事件的主机或从中获取测量的主机的详细信息。主机类型包括硬件、虚拟机、Docker 容器和 Kubernetes 节点。

host.architecture

操作系统体系结构。

类型: keyword

示例：x86_64

host.cpu.usage

使用的 CPU 百分比，由 CPU 核数标准化，范围从 0 到 1。缩放因子：1000。例如：对于双核主机，此值应为两个核的平均值，介于 0 和 1 之间。

类型：缩放浮点数

host.disk.read.bytes

自上次指标收集以来成功读取的总字节数（从所有磁盘聚合）。

类型: long

host.disk.write.bytes

自上次指标收集以来成功写入的总字节数（从所有磁盘聚合）。

类型: long

host.domain

主机所属域的名称。例如，在 Windows 上，这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可能是主机 LDAP 提供程序的域。

类型: keyword

示例：CONTOSO

host.geo.city_name

城市名称。

类型: keyword

示例: Montreal

host.geo.continent_code

表示大洲名称的两位代码。

类型: keyword

示例: NA

host.geo.continent_name

大洲的名称。

类型: keyword

示例: 北美

host.geo.country_iso_code

国家/地区 ISO 代码。

类型: keyword

示例: CA

host.geo.country_name

国家/地区名称。

类型: keyword

示例: 加拿大

host.geo.location

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

host.geo.name

类型: keyword

示例: boston-dc

host.geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

host.geo.region_iso_code

地区 ISO 代码。

类型: keyword

示例: CA-QC

host.geo.region_name

地区名称。

类型: keyword

示例: 魁北克

host.geo.timezone

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

host.hostname

主机的主机名。它通常包含主机机器上 hostname 命令返回的内容。

类型: keyword

host.id

唯一的主机 ID。由于主机名并不总是唯一的，因此请使用在您的环境中有意义的值。例如：beat.name 的当前用法。

类型: keyword

host.ip

主机 IP 地址。

类型: ip

host.mac

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节由连字符分隔。

类型: keyword

示例：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

类型: keyword

host.network.egress.bytes

自上次指标收集以来，主机在所有网络接口上发送出的字节数（量规）。

类型: long

host.network.egress.packets

自上次指标收集以来，主机在所有网络接口上发送出的数据包数（量规）。

类型: long

host.network.ingress.bytes

自上次指标收集以来，主机在所有网络接口上接收到的字节数（量规）。

类型: long

host.network.ingress.packets

自上次指标收集以来，主机在所有网络接口上接收到的数据包数（量规）。

类型: long

host.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型: keyword

示例：debian

host.os.full

操作系统名称，包括版本或代号。

类型: keyword

示例：Mac OS Mojave

host.os.full.text

类型: match_only_text

host.os.kernel

作为原始字符串的操作系统内核版本。

类型: keyword

示例：4.4.0-112-generic

host.os.name

操作系统名称，不包括版本。

类型: keyword

示例：Mac OS X

host.os.name.text

类型: match_only_text

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

类型: keyword

示例：darwin

host.os.type

使用 os.type 字段将操作系统分类为广泛的商业系列之一。应使用以下值之一（小写）：linux、macos、unix、windows。如果要处理的操作系统不在列表中，则不应填充该字段。请通过在 ECS 中打开问题告知我们，以建议添加它。

类型: keyword

示例：macos

host.os.version

作为原始字符串的操作系统版本。

类型: keyword

示例：10.14.1

host.type

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果是 vm，这可能是容器，例如，或在您的环境中有意义的其他信息。

类型: keyword

host.uptime

主机已启动的秒数。

类型: long

示例：1325

http

与 HTTP 活动相关的字段。使用 url 字段集存储请求的 url。

http.request.body.bytes

请求正文的大小（以字节为单位）。

类型: long

示例：887

格式: bytes

http.request.body.content

完整的 HTTP 请求正文。

类型：通配符

示例：Hello world

http.request.body.content.text

类型: match_only_text

http.request.bytes

请求（正文和标头）的总大小（以字节为单位）。

类型: long

示例：1437

格式: bytes

http.request.id

每个 HTTP 请求的唯一标识符，用于在事务中关联客户端和服务器之间的日志。该 ID 可能包含在非标准的 HTTP 标头中，例如 X-Request-ID 或 X-Correlation-ID。

类型: keyword

示例：123e4567-e89b-12d3-a456-426614174000

http.request.method

HTTP 请求方法。该值应保留原始事件中的大小写。例如，GET、get 和 GeT 都被视为此字段的有效值。

类型: keyword

示例：POST

http.request.mime_type

请求正文的 MIME 类型。此值必须仅根据请求正文的内容填充，而不是根据 Content-Type 标头填充。将请求的 MIME 类型与请求的 Content-Type 标头进行比较，有助于检测威胁或配置错误的客户端。

类型: keyword

示例：image/gif

http.request.referrer

此 HTTP 请求的 Referrer。

类型: keyword

示例：https://blog.example.com/

http.response.body.bytes

响应正文的大小（以字节为单位）。

类型: long

示例：887

格式: bytes

http.response.body.content

完整的 HTTP 响应正文。

类型：通配符

示例：Hello world

http.response.body.content.text

类型: match_only_text

http.response.bytes

响应的总大小（正文和标头）（以字节为单位）。

类型: long

示例：1437

格式: bytes

http.response.mime_type

响应正文的 MIME 类型。此值必须仅根据响应正文的内容填充，而不是根据 Content-Type 标头填充。将响应的 MIME 类型与响应的 Content-Type 标头进行比较，有助于检测配置错误的服务器。

类型: keyword

示例：image/gif

http.response.status_code

HTTP 响应状态代码。

类型: long

示例：404

格式: string

http.version

HTTP 版本。

类型: keyword

示例：1.1

interface

接口字段用于记录观察者（例如防火墙、路由器、负载均衡器）在处理网络连接的上下文中报告的入口和出口接口信息。在单个观察者接口（例如跨端口上的网络传感器）的情况下，应仅填充 observer.ingress 信息。

interface.alias

系统报告的接口别名，通常在防火墙实现中用于例如内部、外部或 DMZ 逻辑接口命名。

类型: keyword

示例：outside

interface.id

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型: keyword

示例：10

interface.name

系统报告的接口名称。

类型: keyword

示例：eth0

log

有关事件日志记录机制或日志记录传输的详细信息。log.* 字段通常填充有关用于创建和/或传输事件的日志记录机制的详细信息。例如，syslog 详细信息位于 log.syslog.* 下。事件源特有的详细信息通常不会记录在 log.* 下，而是记录在 event.* 或其他 ECS 字段中。

log.file.path

此事件来自的日志文件的完整路径，包括文件名。在适当的情况下，它应包含驱动器号。如果事件不是从日志文件读取的，请不要填充此字段。

类型: keyword

示例：/var/log/fun-times.log

log.level

日志事件的原始日志级别。如果事件的来源提供了日志级别或文本严重性，则这是进入 log.level 的级别。如果您的来源未指定任何级别，则可以将事件传输的严重性放在此处（例如 Syslog 严重性）。一些示例是 warn、err、i、informational。

类型: keyword

示例：error

log.logger

应用程序内部记录器的名称。这通常是初始化记录器的类的名称，或者可以是自定义名称。

类型: keyword

示例：org.elasticsearch.bootstrap.Bootstrap

log.origin.file.line

包含源代码的行的行号，该源代码源自日志事件。

类型: long

示例：42

log.origin.file.name

包含源代码的文件的名称，该源代码源自日志事件。请注意，此字段并非旨在捕获日志文件。捕获日志文件的正确字段是 log.file.path。

类型: keyword

示例：Bootstrap.java

log.origin.function

源自日志事件的函数或方法的名称。

类型: keyword

示例：init

log.syslog

事件的 Syslog 元数据，如果事件是通过 Syslog 传输的。请参阅 RFC 5424 或 3164。

类型: object

log.syslog.facility.code

日志事件的 Syslog 数字设备，如果可用。根据 RFC 5424 和 3164，此值应为 0 到 23 之间的整数。

类型: long

示例：23

格式: string

log.syslog.facility.name

日志事件的 Syslog 基于文本的设备，如果可用。

类型: keyword

示例：local7

log.syslog.priority

事件的 Syslog 数字优先级，如果可用。根据 RFC 5424 和 3164，优先级为 8 * 设备 + 严重性。因此，此数字预计包含 0 到 191 之间的值。

类型: long

示例：135

格式: string

log.syslog.severity.code

日志事件的 Syslog 数字严重性，如果可用。如果通过 Syslog 发布的事件源提供不同的数字严重性值（例如防火墙、IDS），则源的数字严重性应转到 event.severity。如果事件源未指定不同的严重性，则可以选择将 Syslog 严重性复制到 event.severity。

类型: long

示例：3

log.syslog.severity.name

日志事件的 Syslog 数字严重性，如果可用。如果通过 Syslog 发布的事件源提供不同的严重性值（例如防火墙、IDS），则源的文本严重性应转到 log.level。如果事件源未指定不同的严重性，则可以选择将 Syslog 严重性复制到 log.level。

类型: keyword

示例：Error

network

网络定义为主机或网络事件发生的通信路径。network.* 字段应填充与事件相关的网络活动的详细信息。

network.application

当从网络连接详细信息（源/目标 IP、端口、证书或线格式）识别特定应用程序或服务时，此字段捕获应用程序或服务的名称。例如，原始事件标识网络连接来自 https 网络连接中的特定 Web 服务，例如 facebook 或 twitter。为了查询，字段值必须规范化为小写。

类型: keyword

示例：aim

network.bytes

双向传输的总字节数。如果已知 source.bytes 和 destination.bytes，则 network.bytes 是它们的总和。

类型: long

示例：368

格式: bytes

network.community_id

源和目标 IP 和端口以及通信中使用的协议的哈希值。这是一个与工具无关的标准，用于识别流。在 https://github.com/corelight/community-id-spec 中了解更多信息。

类型: keyword

示例：1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0=

network.direction

网络流量的方向。建议的值为：* 入站 * 出站 * 入站 * 出站 * 内部 * 外部 * 未知

在从基于主机的监控上下文中映射事件时，请从主机的角度使用“入站”或“出站”值填充此字段。在从基于网络或周边的监控上下文中映射事件时，请从网络周边角度使用“入站”、“出站”、“内部”或“外部”值填充此字段。请注意，“内部”不跨越周边边界，旨在描述周边内两台主机之间的通信。另请注意，“外部”旨在描述两台主机之间的流量，这两台主机位于周边的外部。例如，这对于 ISP 或 VPN 服务提供商可能很有用。

类型: keyword

示例：inbound

network.forwarded_ip

当源 IP 地址是代理时，主机 IP 地址。

类型: ip

示例：192.1.1.2

network.iana_number

IANA 协议编号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议编号的 NetFlow 和 sFlow 相关日志很好地对齐。

类型: keyword

示例：6

network.inner

除了 network.vlan 字段外，还添加了 Network.inner 字段以描述存在 q-in-q VLAN 标记时的最内层 VLAN。允许的字段包括 vlan.id 和 vlan.name。当将具有多个 802.1q 封装的流量发送到网络传感器（例如 Zeek、Wireshark）时，通常会使用内部 vlan 字段。

类型: object

network.inner.vlan.id

观察者报告的 VLAN ID。

类型: keyword

示例：10

network.inner.vlan.name

观察者报告的可选 VLAN 名称。

类型: keyword

示例：outside

network.name

运营商为其网络的部分赋予的名称。

类型: keyword

示例：Guest Wifi

network.packets

双向传输的总数据包数。如果已知 source.packets 和 destination.packets，则 network.packets 是它们的总和。

类型: long

示例：24

network.protocol

在 OSI 模型中，这将是应用层协议。例如，http、dns 或 ssh。为了查询，字段值必须规范化为小写。

类型: keyword

示例：http

network.transport

与 network.iana_number 相同，但使用传输层的关键字名称（udp、tcp、ipv6-icmp 等）。为了查询，字段值必须规范化为小写。

类型: keyword

示例：tcp

network.type

在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。为了查询，字段值必须规范化为小写。

类型: keyword

示例：ipv4

network.vlan.id

观察者报告的 VLAN ID。

类型: keyword

示例：10

network.vlan.name

观察者报告的可选 VLAN 名称。

类型: keyword

示例：outside

observer

观察者被定义为一种特殊的网络、安全或应用程序设备，用于检测、观察或创建网络、安全或与应用程序相关的事件和指标。这可能是一个自定义硬件设备或已配置为运行特殊网络、安全或应用程序软件的服务器。示例包括防火墙、Web 代理、入侵检测/防御系统、网络监控传感器、Web 应用防火墙、数据丢失预防系统和 APM 服务器。如果存在任何系统，则应使用 observer.* 字段填充其详细信息，这些系统检测、观察和/或创建网络、安全或应用程序事件或指标。在处理事件或指标中使用的消息队列和 ETL 组件在 ECS 中不被视为观察者。

observer.egress

Observer.egress 包含接口编号和名称、vlan 和区域信息等信息，以对出站流量进行分类。诸如跨端口上的网络传感器之类的单臂监控应仅使用 observer.ingress 对流量进行分类。

类型: object

observer.egress.interface.alias

系统报告的接口别名，通常在防火墙实现中用于例如内部、外部或 DMZ 逻辑接口命名。

类型: keyword

示例：outside

observer.egress.interface.id

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型: keyword

示例：10

observer.egress.interface.name

系统报告的接口名称。

类型: keyword

示例：eth0

observer.egress.vlan.id

观察者报告的 VLAN ID。

类型: keyword

示例：10

observer.egress.vlan.name

观察者报告的可选 VLAN 名称。

类型: keyword

示例：outside

observer.egress.zone

由观察者报告的出站流量的网络区域，用于对出口流量的目标区域进行分类，例如内部、外部、DMZ、人力资源、法律等。

类型: keyword

示例：Public_Internet

observer.geo.city_name

城市名称。

类型: keyword

示例: Montreal

observer.geo.continent_code

表示大洲名称的两位代码。

类型: keyword

示例: NA

observer.geo.continent_name

大洲的名称。

类型: keyword

示例: 北美

observer.geo.country_iso_code

国家/地区 ISO 代码。

类型: keyword

示例: CA

observer.geo.country_name

国家/地区名称。

类型: keyword

示例: 加拿大

observer.geo.location

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

observer.geo.name

类型: keyword

示例: boston-dc

observer.geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

observer.geo.region_iso_code

地区 ISO 代码。

类型: keyword

示例: CA-QC

observer.geo.region_name

地区名称。

类型: keyword

示例: 魁北克

observer.geo.timezone

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

observer.hostname

观察者的主机名。

类型: keyword

observer.ingress

Observer.ingress 包含诸如接口编号和名称、VLAN 和区域信息等信息，用于对入站流量进行分类。单臂监控（例如跨接端口上的网络传感器）应仅使用 observer.ingress 对流量进行分类。

类型: object

observer.ingress.interface.alias

系统报告的接口别名，通常在防火墙实现中用于例如内部、外部或 DMZ 逻辑接口命名。

类型: keyword

示例：outside

observer.ingress.interface.id

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

类型: keyword

示例：10

observer.ingress.interface.name

系统报告的接口名称。

类型: keyword

示例：eth0

observer.ingress.vlan.id

观察者报告的 VLAN ID。

类型: keyword

示例：10

observer.ingress.vlan.name

观察者报告的可选 VLAN 名称。

类型: keyword

示例：outside

observer.ingress.zone

由观察者报告的入站流量的网络区域，用于对入站流量的源区域进行分类。例如内部、外部、DMZ、人力资源、法律等。

类型: keyword

示例：DMZ

observer.ip

观察者的IP地址。

类型: ip

observer.mac

观察者的MAC地址。建议使用RFC 7042中的表示格式：每个八位字节（即8位字节）由两个[大写]十六进制数字表示，表示该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。

类型: keyword

示例：["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

observer.name

观察者的自定义名称。这是一个可以赋予观察者的名称。例如，如果组织中使用了多个相同型号的防火墙，这将很有帮助。如果不需要自定义名称，则可以保留此字段为空。

类型: keyword

示例：1_proxySG

observer.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型: keyword

示例：debian

observer.os.full

操作系统名称，包括版本或代号。

类型: keyword

示例：Mac OS Mojave

observer.os.full.text

类型: match_only_text

observer.os.kernel

作为原始字符串的操作系统内核版本。

类型: keyword

示例：4.4.0-112-generic

observer.os.name

操作系统名称，不包括版本。

类型: keyword

示例：Mac OS X

observer.os.name.text

类型: match_only_text

observer.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

类型: keyword

示例：darwin

observer.os.type

类型: keyword

示例：macos

observer.os.version

作为原始字符串的操作系统版本。

类型: keyword

示例：10.14.1

observer.product

观察者的产品名称。

类型: keyword

示例：s200

observer.serial_number

观察者序列号。

类型: keyword

observer.type

数据来自的观察者的类型。没有预定义的观察者类型列表。一些示例是forwarder、firewall、ids、ips、proxy、poller、sensor、APM server。

类型: keyword

示例：firewall

observer.vendor

观察者的供应商名称。

类型: keyword

示例：Symantec

observer.version

观察者版本。

类型: keyword

orchestrator

描述容器编排器管理或作用于的资源的字段。

orchestrator.api_version

用于执行操作的API版本

类型: keyword

示例：v1beta1

orchestrator.cluster.name

集群的名称。

类型: keyword

orchestrator.cluster.url

用于管理集群的API的URL。

类型: keyword

orchestrator.cluster.version

集群的版本。

类型: keyword

orchestrator.namespace

正在发生操作的命名空间。

类型: keyword

示例：kube-system

orchestrator.organization

受事件影响的组织（对于多租户编排器设置）。

类型: keyword

示例：elastic

orchestrator.resource.name

正在对其进行操作的资源的名称。

类型: keyword

示例：test-pod-cdcws

orchestrator.resource.type

正在对其进行操作的资源的类型。

类型: keyword

示例：service

orchestrator.type

编排器集群类型（例如kubernetes、nomad或cloudfoundry）。

类型: keyword

示例：kubernetes

organization

组织字段使用有关与数据关联的公司或实体的信息来丰富数据。这些字段可帮助您按一个或多个组织整理或筛选存储在索引中的数据。

organization.id

组织的唯一标识符。

类型: keyword

organization.name

组织名称。

类型: keyword

organization.name.text

类型: match_only_text

os

OS字段包含有关操作系统的详细信息。

os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型: keyword

示例：debian

os.full

操作系统名称，包括版本或代号。

类型: keyword

示例：Mac OS Mojave

os.full.text

类型: match_only_text

os.kernel

作为原始字符串的操作系统内核版本。

类型: keyword

示例：4.4.0-112-generic

os.name

操作系统名称，不包括版本。

类型: keyword

示例：Mac OS X

os.name.text

类型: match_only_text

os.platform

操作系统平台（例如 centos、ubuntu、windows）。

类型: keyword

示例：darwin

os.type

类型: keyword

示例：macos

os.version

作为原始字符串的操作系统版本。

类型: keyword

示例：10.14.1

package

这些字段包含有关已安装软件包的信息。它包含有关软件包的一般信息，例如名称、版本或大小。它还包含安装详细信息，例如时间或位置。

package.architecture

软件包体系结构。

类型: keyword

示例：x86_64

package.build_version

有关已安装软件包的构建版本的其他信息。例如，使用非发布软件包的提交 SHA。

类型: keyword

示例：36f4f7e89dd61b0988b12ee000b98966867710cd

package.checksum

已安装软件包的校验和，用于验证。

类型: keyword

示例：68b329da9893e34099c7d8ad5cb9c940

package.description

软件包的描述。

类型: keyword

示例：构建简单/可靠/高效软件的开源编程语言。

package.install_scope

指示软件包的安装方式，例如用户本地、全局。

类型: keyword

示例：global

package.installed

软件包安装的时间。

类型: date

package.license

软件包发布的许可证。尽可能使用简短的名称，例如来自SPDX许可证列表的许可证标识符（https://spdx.org/licenses/）。

类型: keyword

示例：Apache License 2.0

package.name

软件包名称

类型: keyword

示例：go

package.path

软件包安装的路径。

类型: keyword

示例：/usr/local/Cellar/go/1.12.9/

package.reference

如果可用，此软件包中软件的主页或参考URL。

类型: keyword

示例：https://golang.ac.cn

package.size

软件包大小（以字节为单位）。

类型: long

示例：62231

格式: string

package.type

软件包类型。这应该包含软件包文件类型，而不是包管理器名称。例如：rpm、dpkg、brew、npm、gem、nupkg、jar。

类型: keyword

示例：rpm

package.version

软件包版本

类型: keyword

示例：1.12.9

pe

这些字段包含Windows可移植可执行文件（PE）元数据。

pe.architecture

文件的 CPU 架构目标。

类型: keyword

示例：x64

pe.company

文件的内部公司名称，在编译时提供。

类型: keyword

示例：Microsoft Corporation

pe.description

文件的内部描述，在编译时提供。

类型: keyword

示例：画图

pe.file_version

文件的内部版本，在编译时提供。

类型: keyword

示例：6.3.9600.17415

pe.imphash

类型: keyword

示例：0c6803c4e922103c4dca5963aad36ddf

pe.original_file_name

文件在编译时提供的内部名称。

类型: keyword

示例：MSPAINT.EXE

pe.product

文件在编译时提供的内部产品名称。

类型: keyword

示例：Microsoft® Windows® 操作系统

process

这些字段包含有关进程的信息。这些字段可以帮助您将指标信息与日志消息中的进程ID/名称相关联。process.pid 通常保留在指标本身中，并复制到全局字段以进行关联。

process.args

进程参数数组，以可执行文件的绝对路径开头。可以进行过滤以保护敏感信息。

类型: keyword

示例：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.args_count

process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行桶分析。更多参数可能是可疑活动的迹象。

类型: long

示例：4

process.code_signature.digest_algorithm

用于对进程进行签名的哈希算法。当同一签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型: keyword

示例：sha256

process.code_signature.exists

布尔值，用于捕获签名是否存在。

类型：布尔值

示例：true

process.code_signature.signing_id

用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型: keyword

示例：com.apple.xpc.proxy

process.code_signature.status

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度，则保留为空。

类型: keyword

示例：ERROR_UNTRUSTED_ROOT

process.code_signature.subject_name

代码签名者的主体名称

类型: keyword

示例：Microsoft Corporation

process.code_signature.team_id

用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型: keyword

示例：EQHXZ8M8AV

process.code_signature.timestamp

生成和签署代码签名的时间。

类型: date

示例：2021-01-01T12:10:30Z

process.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

process.code_signature.valid

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则保留为空。

类型：布尔值

示例：true

process.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

类型：通配符

示例：/usr/bin/ssh -l user 10.0.0.16

process.command_line.text

类型: match_only_text

process.elf.architecture

ELF 文件的机器体系结构。

类型: keyword

示例：x86-64

process.elf.byte_order

ELF 文件的字节顺序。

类型: keyword

示例：小端

process.elf.cpu_type

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

process.elf.creation_date

在可能的情况下从文件元数据中提取。指示其构建或编译的时间。它也可以被恶意软件创建者伪造。

类型: date

process.elf.exports

导出元素名称和类型的列表。

类型：扁平化

process.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

process.elf.header.class

ELF 文件的头部类别。

类型: keyword

process.elf.header.data

ELF 头部的数据库。

类型: keyword

process.elf.header.entrypoint

ELF 文件的头部入口点。

类型: long

格式: string

process.elf.header.object_version

原始 ELF 文件为“0x1”。

类型: keyword

process.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

process.elf.header.type

ELF 文件的头部类型。

类型: keyword

process.elf.header.version

ELF 头部的版本。

类型: keyword

process.elf.imports

导入元素名称和类型的列表。

类型：扁平化

process.elf.sections

一个数组，包含 ELF 文件每个部分的对象。elf.sections.* 下面的子字段定义了这些对象中应存在的键。

类型：嵌套

process.elf.sections.chi2

部分的卡方概率分布。

类型: long

格式：数字

process.elf.sections.entropy

从部分计算的香农熵。

类型: long

格式：数字

process.elf.sections.flags

ELF 部分列表标志。

类型: keyword

process.elf.sections.name

ELF 部分列表名称。

类型: keyword

process.elf.sections.physical_offset

ELF 部分列表偏移量。

类型: keyword

process.elf.sections.physical_size

ELF 部分列表物理大小。

类型: long

格式: bytes

process.elf.sections.type

ELF 部分列表类型。

类型: keyword

process.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型: long

格式: string

process.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型: long

格式: string

process.elf.segments

一个数组，包含 ELF 文件每个段的对象。elf.segments.* 下面的子字段定义了这些对象中应存在的键。

类型：嵌套

process.elf.segments.sections

ELF 对象段部分。

类型: keyword

process.elf.segments.type

ELF 对象段类型。

类型: keyword

process.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型: keyword

process.elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型: keyword

process.end

进程结束的时间。

类型: date

示例: 2016-05-23T08:05:34.853Z

process.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可以使用的一些示例包括进程生成的UUID、Sysmon进程GUID或进程的一些唯一标识组件的哈希值。构建全局唯一标识符是一种常见的做法，可以减轻PID重用以及跨多个受监控主机随时间推移识别特定进程。

类型: keyword

示例：c2c455d9f99375d

process.executable

进程可执行文件的绝对路径。

类型: keyword

示例：/usr/bin/ssh

process.executable.text

类型: match_only_text

process.exit_code

进程的退出代码，如果这是一个终止事件。如果事件没有退出代码（例如进程启动），则此字段应不存在。

类型: long

示例：137

process.hash.md5

MD5 哈希。

类型: keyword

process.hash.sha1

SHA1 哈希。

类型: keyword

process.hash.sha256

SHA256 哈希。

类型: keyword

process.hash.sha512

SHA512 哈希。

类型: keyword

process.hash.ssdeep

SSDEEP 哈希。

类型: keyword

process.name

进程名称。有时称为程序名称或类似名称。

类型: keyword

示例：ssh

process.name.text

类型: match_only_text

process.parent.args

进程参数数组，以可执行文件的绝对路径开头。可以进行过滤以保护敏感信息。

类型: keyword

示例：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.parent.args_count

process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行桶分析。更多参数可能是可疑活动的迹象。

类型: long

示例：4

process.parent.code_signature.digest_algorithm

用于对进程进行签名的哈希算法。当同一签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型: keyword

示例：sha256

process.parent.code_signature.exists

布尔值，用于捕获签名是否存在。

类型：布尔值

示例：true

process.parent.code_signature.signing_id

用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型: keyword

示例：com.apple.xpc.proxy

process.parent.code_signature.status

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度，则保留为空。

类型: keyword

示例：ERROR_UNTRUSTED_ROOT

process.parent.code_signature.subject_name

代码签名者的主体名称

类型: keyword

示例：Microsoft Corporation

process.parent.code_signature.team_id

用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型: keyword

示例：EQHXZ8M8AV

process.parent.code_signature.timestamp

生成和签署代码签名的时间。

类型: date

示例：2021-01-01T12:10:30Z

process.parent.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

process.parent.code_signature.valid

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则保留为空。

类型：布尔值

示例：true

process.parent.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。

类型：通配符

示例：/usr/bin/ssh -l user 10.0.0.16

process.parent.command_line.text

类型: match_only_text

process.parent.elf.architecture

ELF 文件的机器体系结构。

类型: keyword

示例：x86-64

process.parent.elf.byte_order

ELF 文件的字节顺序。

类型: keyword

示例：小端

process.parent.elf.cpu_type

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

process.parent.elf.creation_date

在可能的情况下从文件元数据中提取。指示其构建或编译的时间。它也可以被恶意软件创建者伪造。

类型: date

process.parent.elf.exports

导出元素名称和类型的列表。

类型：扁平化

process.parent.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

process.parent.elf.header.class

ELF 文件的头部类别。

类型: keyword

process.parent.elf.header.data

ELF 头部的数据库。

类型: keyword

process.parent.elf.header.entrypoint

ELF 文件的头部入口点。

类型: long

格式: string

process.parent.elf.header.object_version

原始 ELF 文件为“0x1”。

类型: keyword

process.parent.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

process.parent.elf.header.type

ELF 文件的头部类型。

类型: keyword

process.parent.elf.header.version

ELF 头部的版本。

类型: keyword

process.parent.elf.imports

导入元素名称和类型的列表。

类型：扁平化

process.parent.elf.sections

一个数组，包含 ELF 文件每个部分的对象。elf.sections.* 下面的子字段定义了这些对象中应存在的键。

类型：嵌套

process.parent.elf.sections.chi2

部分的卡方概率分布。

类型: long

格式：数字

process.parent.elf.sections.entropy

从部分计算的香农熵。

类型: long

格式：数字

process.parent.elf.sections.flags

ELF 部分列表标志。

类型: keyword

process.parent.elf.sections.name

ELF 部分列表名称。

类型: keyword

process.parent.elf.sections.physical_offset

ELF 部分列表偏移量。

类型: keyword

process.parent.elf.sections.physical_size

ELF 部分列表物理大小。

类型: long

格式: bytes

process.parent.elf.sections.type

ELF 部分列表类型。

类型: keyword

process.parent.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型: long

格式: string

process.parent.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型: long

格式: string

process.parent.elf.segments

一个数组，包含 ELF 文件每个段的对象。elf.segments.* 下面的子字段定义了这些对象中应存在的键。

类型：嵌套

process.parent.elf.segments.sections

ELF 对象段部分。

类型: keyword

process.parent.elf.segments.type

ELF 对象段类型。

类型: keyword

process.parent.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型: keyword

process.parent.elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型: keyword

process.parent.end

进程结束的时间。

类型: date

示例: 2016-05-23T08:05:34.853Z

process.parent.entity_id

类型: keyword

示例：c2c455d9f99375d

process.parent.executable

进程可执行文件的绝对路径。

类型: keyword

示例：/usr/bin/ssh

process.parent.executable.text

类型: match_only_text

process.parent.exit_code

进程的退出代码，如果这是一个终止事件。如果事件没有退出代码（例如进程启动），则此字段应不存在。

类型: long

示例：137

process.parent.hash.md5

MD5 哈希。

类型: keyword

process.parent.hash.sha1

SHA1 哈希。

类型: keyword

process.parent.hash.sha256

SHA256 哈希。

类型: keyword

process.parent.hash.sha512

SHA512 哈希。

类型: keyword

process.parent.hash.ssdeep

SSDEEP 哈希。

类型: keyword

process.parent.name

进程名称。有时称为程序名称或类似名称。

类型: keyword

示例：ssh

process.parent.name.text

类型: match_only_text

process.parent.pe.architecture

文件的 CPU 架构目标。

类型: keyword

示例：x64

process.parent.pe.company

文件的内部公司名称，在编译时提供。

类型: keyword

示例：Microsoft Corporation

process.parent.pe.description

文件的内部描述，在编译时提供。

类型: keyword

示例：画图

process.parent.pe.file_version

文件的内部版本，在编译时提供。

类型: keyword

示例：6.3.9600.17415

process.parent.pe.imphash

类型: keyword

示例：0c6803c4e922103c4dca5963aad36ddf

process.parent.pe.original_file_name

文件在编译时提供的内部名称。

类型: keyword

示例：MSPAINT.EXE

process.parent.pe.product

文件在编译时提供的内部产品名称。

类型: keyword

示例：Microsoft® Windows® 操作系统

process.parent.pgid

进程所属的进程组的标识符。

类型: long

格式: string

process.parent.pid

进程ID。

类型: long

示例：4242

格式: string

process.parent.start

进程开始的时间。

类型: date

示例: 2016-05-23T08:05:34.853Z

process.parent.thread.id

线程ID。

类型: long

示例：4242

格式: string

process.parent.thread.name

线程名称。

类型: keyword

例如：thread-0

process.parent.title

进程标题。进程标题，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

类型: keyword

process.parent.title.text

类型: match_only_text

process.parent.uptime

进程已运行的秒数。

类型: long

示例：1325

process.parent.working_directory

进程的工作目录。

类型: keyword

示例：/home/alice

process.parent.working_directory.text

类型: match_only_text

process.pe.architecture

文件的 CPU 架构目标。

类型: keyword

示例：x64

process.pe.company

文件的内部公司名称，在编译时提供。

类型: keyword

示例：Microsoft Corporation

process.pe.description

文件的内部描述，在编译时提供。

类型: keyword

示例：画图

process.pe.file_version

文件的内部版本，在编译时提供。

类型: keyword

示例：6.3.9600.17415

process.pe.imphash

类型: keyword

示例：0c6803c4e922103c4dca5963aad36ddf

process.pe.original_file_name

文件在编译时提供的内部名称。

类型: keyword

示例：MSPAINT.EXE

process.pe.product

文件在编译时提供的内部产品名称。

类型: keyword

示例：Microsoft® Windows® 操作系统

process.pgid

进程所属的进程组的标识符。

类型: long

格式: string

process.pid

进程ID。

类型: long

示例：4242

格式: string

process.start

进程开始的时间。

类型: date

示例: 2016-05-23T08:05:34.853Z

process.thread.id

线程ID。

类型: long

示例：4242

格式: string

process.thread.name

线程名称。

类型: keyword

例如：thread-0

process.title

进程标题。进程标题，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

类型: keyword

process.title.text

类型: match_only_text

process.uptime

进程已运行的秒数。

类型: long

示例：1325

process.working_directory

进程的工作目录。

类型: keyword

示例：/home/alice

process.working_directory.text

类型: match_only_text

注册表

与Windows注册表操作相关的字段。

registry.data.bytes

使用base64编码写入的原始字节。对于Windows注册表操作，例如SetValueEx和RegQueryValueEx，这对应于lp_data指向的数据。这是可选的，但提供了更好的可恢复性，并且应该为REG_BINARY编码的值填充。

类型: keyword

例如：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

registry.data.strings

写入字符串类型时的内容。在将字符串数据写入注册表时，填充为数组。对于单个字符串注册表类型（REG_SZ、REG_EXPAND_SZ），这应该是一个包含一个字符串的数组。对于使用REG_MULTI_SZ的字符串序列，此数组将是可变长度的。对于数值数据，例如REG_DWORD和REG_QWORD，这应该填充为十进制表示（例如"1"）。

类型：通配符

例如：["C:\rta\red_ttp\bin\myapp.exe"]

registry.data.type

用于编码内容的标准注册表类型

类型: keyword

例如：REG_SZ

registry.hive

配置单元的缩写名称。

类型: keyword

例如：HKLM

registry.key

键的配置单元相对路径。

类型: keyword

例如：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

registry.path

完整路径，包括配置单元、键和值

类型: keyword

例如：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

registry.value

写入的值的名称。

类型: keyword

例如：Debugger

规则

规则字段用于捕获生成警报或其他值得注意事件的任何观察者或代理规则的详细信息。会填充规则字段的数据源示例包括：网络准入控制平台、网络或主机IDS/IPS、网络防火墙、Web应用程序防火墙、URL过滤器、端点检测和响应（EDR）系统等。

rule.author

创建用于生成此事件的规则的作者或作者的姓名、组织或假名。

类型: keyword

例如：["Star-Lord"]

rule.category

使用规则的实体用于检测此事件的分类值关键字。

类型: keyword

例如：尝试信息泄露

rule.description

生成事件的规则说明。

类型: keyword

例如：阻止对公共DNS over HTTPS/TLS协议的请求

rule.id

在使用规则检测此事件的代理、观察者或其他实体的范围内唯一的规则ID。

类型: keyword

例如：101

rule.license

用于生成此事件的规则可用的许可证名称。

类型: keyword

例如：Apache 2.0

rule.name

生成事件的规则或签名的名称。

类型: keyword

例如：BLOCK_DNS_over_TLS

rule.reference

指向有关用于生成此事件的规则的其他信息的参考URL。该URL可以指向供应商关于该规则的文档。如果不可用，它也可以是描述此类警报的更通用页面的链接。

类型: keyword

例如：https://en.wikipedia.org/wiki/DNS_over_TLS

rule.ruleset

规则集、策略、组或父类别名称，其中用于生成此事件的规则是成员。

类型: keyword

例如：Standard_Protocol_Filters

rule.uuid

在使用规则检测此事件的一组或一组代理、观察者或其他实体的范围内唯一的规则ID。

类型: keyword

例如：1100110011

rule.version

用于分析的规则的版本/修订版。

类型: keyword

示例：1.1

服务器

服务器定义为网络连接中的响应方，用于有关会话、连接或双向流记录的事件。对于TCP事件，服务器是TCP连接的初始SYN数据包的接收方。对于其他协议，服务器通常是网络事务中的响应方。某些系统实际上使用术语“响应方”来指代TCP连接中的服务器。服务器字段描述有关在网络事件中充当服务器的系统的详细信息。服务器字段通常与客户端字段一起填充。对于数据包级事件，通常不填充服务器字段。客户端/服务器表示可以为交换添加语义上下文，这有助于在某些情况下可视化数据。如果您的上下文属于该类别，您仍应确保源和目标已正确填充。

server.address

某些事件服务器地址定义不明确。事件有时会列出IP、域名或Unix套接字。您应始终将原始地址存储在.address字段中。然后应根据它是哪一个将其复制到.ip或.domain。

类型: keyword

server.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

server.as.organization.name

组织名称。

类型: keyword

示例: Google LLC

server.as.organization.name.text

类型: match_only_text

server.bytes

从服务器发送到客户端的字节数。

类型: long

示例: 184

格式: bytes

server.domain

服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件或从丰富中添加。

类型: keyword

示例: foo.example.com

server.geo.city_name

城市名称。

类型: keyword

示例: Montreal

server.geo.continent_code

表示大洲名称的两位代码。

类型: keyword

示例: NA

server.geo.continent_name

大洲的名称。

类型: keyword

示例: 北美

server.geo.country_iso_code

国家/地区 ISO 代码。

类型: keyword

示例: CA

server.geo.country_name

国家/地区名称。

类型: keyword

示例: 加拿大

server.geo.location

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

server.geo.name

类型: keyword

示例: boston-dc

server.geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

server.geo.region_iso_code

地区 ISO 代码。

类型: keyword

示例: CA-QC

server.geo.region_name

地区名称。

类型: keyword

示例: 魁北克

server.geo.timezone

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

server.ip

服务器的IP地址（IPv4或IPv6）。

类型: ip

server.mac

服务器的MAC地址。建议使用RFC 7042中的表示法格式：每个八位字节（即8位字节）都由两个[大写]十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节由连字符分隔。

类型: keyword

示例: 00-00-5E-00-53-23

server.nat.ip

基于 NAT 会话的目标 IP 的转换（例如，互联网到私有 DMZ）通常与负载均衡器、防火墙或路由器一起使用。

类型: ip

server.nat.port

基于NAT会话的目标端口转换（例如，Internet到私有DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

类型: long

格式: string

server.packets

从服务器发送到客户端的数据包。

类型: long

示例: 12

server.port

服务器的端口。

类型: long

格式: string

server.registered_domain

剥离子域的最高注册服务器域。例如，“foo.example.com”的注册域为“example.com”。可以使用类似于公共后缀列表（http://publicsuffix.org）的列表来精确确定此值。仅通过获取最后两个标签来近似此值对于诸如“co.uk”之类的顶级域将无法正常工作。

类型: keyword

示例: example.com

server.subdomain

类型: keyword

示例: east

server.top_level_domain

类型: keyword

示例: co.uk

server.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

server.user.email

用户电子邮件地址。

类型: keyword

server.user.full_name

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

server.user.full_name.text

类型: match_only_text

server.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

server.user.group.id

系统/平台上组的唯一标识符。

类型: keyword

server.user.group.name

组的名称。

类型: keyword

server.user.hash

唯一的用户哈希，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型: keyword

server.user.id

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

server.user.name

用户的简称或登录名。

类型: keyword

示例: a.einstein

server.user.name.text

类型: match_only_text

server.user.roles

事件发生时用户角色的数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

服务

服务字段描述收集数据的服务或来自该服务的数据。这些字段可帮助您查找和关联特定服务和版本的日志。

service.address

从其中收集有关此服务的数据的地址。这应该是一个URI、网络地址（ipv4:port或[ipv6]:port）或资源路径（套接字）。

类型: keyword

例如：172.26.0.2:5432

service.environment

标识服务正在运行的环境。如果同一服务在不同的环境（生产、登台、QA、开发等）中运行，则环境可以识别同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。

类型: keyword

示例：production

service.ephemeral_id

此服务的短暂标识符（如果存在）。此ID通常在重启后发生变化，但service.id不会。

类型: keyword

示例: 8a4f500f

service.id

正在运行服务的唯一标识符。如果服务由多个节点组成，则service.id对于所有节点都应该相同。此 ID 应该唯一标识服务。这使得能够关联一个特定服务的日志和指标，无论哪个特定节点发出了事件。请注意，如果您需要查看服务的一个特定主机的事件，则应根据host.name或host.id进行过滤。

类型: keyword

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.name

收集服务数据的服务名称。服务名称通常由用户提供。这允许在多个主机上运行的分布式服务根据名称关联相关的实例。在 Elasticsearch 的情况下，service.name可以包含集群名称。对于 Beats，如果未指定名称，则service.name默认为service.type字段的副本。

类型: keyword

示例：elasticsearch-metrics

service.node.name

服务节点的名称。这允许区分在同一主机上运行的同一服务的两个节点。因此，service.node.name通常应该在给定服务的节点之间唯一。在 Elasticsearch 的情况下，service.node.name可以包含 Elasticsearch 集群中的唯一节点名称。在服务没有节点名称概念的情况下，可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些名称不能提供唯一性（例如，在同一主机上运行服务的多个实例） - 则可以手动设置节点名称。

类型: keyword

示例：instance-0000000016

service.origin.address

从其中收集有关此服务的数据的地址。这应该是一个URI、网络地址（ipv4:port或[ipv6]:port）或资源路径（套接字）。

类型: keyword

例如：172.26.0.2:5432

service.origin.environment

类型: keyword

示例：production

service.origin.ephemeral_id

此服务的短暂标识符（如果存在）。此ID通常在重启后发生变化，但service.id不会。

类型: keyword

示例: 8a4f500f

service.origin.id

类型: keyword

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.origin.name

类型: keyword

示例：elasticsearch-metrics

service.origin.node.name

类型: keyword

示例：instance-0000000016

service.origin.state

服务的当前状态。

类型: keyword

service.origin.type

收集服务数据的服务类型。该类型可用于对来自一个服务类型的日志和指标进行分组和关联。例如：如果从 Elasticsearch 收集日志或指标，则service.type将为elasticsearch。

类型: keyword

示例：elasticsearch

service.origin.version

收集数据服务的版本。这允许仅查看特定服务版本的数据集。

类型: keyword

示例：3.2.4

service.state

服务的当前状态。

类型: keyword

service.target.address

从其中收集有关此服务的数据的地址。这应该是一个URI、网络地址（ipv4:port或[ipv6]:port）或资源路径（套接字）。

类型: keyword

例如：172.26.0.2:5432

service.target.environment

类型: keyword

示例：production

service.target.ephemeral_id

此服务的短暂标识符（如果存在）。此ID通常在重启后发生变化，但service.id不会。

类型: keyword

示例: 8a4f500f

service.target.id

类型: keyword

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

service.target.name

类型: keyword

示例：elasticsearch-metrics

service.target.node.name

类型: keyword

示例：instance-0000000016

service.target.state

服务的当前状态。

类型: keyword

service.target.type

类型: keyword

示例：elasticsearch

service.target.version

收集数据服务的版本。这允许仅查看特定服务版本的数据集。

类型: keyword

示例：3.2.4

service.type

类型: keyword

示例：elasticsearch

service.version

收集数据服务的版本。这允许仅查看特定服务版本的数据集。

类型: keyword

示例：3.2.4

source

源字段捕获有关网络交换/数据包发送者的详细信息。这些字段从网络事件、数据包或包含网络事务详细信息的其他事件中填充。源字段通常与目标字段一起填充。源字段和目标字段被认为是基线，如果事件包含来自网络事务的源和目标详细信息，则应始终填充这些字段。如果事件还包含客户端和服务器角色的标识，则还应填充客户端和服务器字段。

source.address

某些事件源地址定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在.address字段中。然后应根据其类型将其复制到.ip或.domain中。

类型: keyword

source.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

source.as.organization.name

组织名称。

类型: keyword

示例: Google LLC

source.as.organization.name.text

类型: match_only_text

source.bytes

从源发送到目标的字节数。

类型: long

示例: 184

格式: bytes

source.domain

源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件或从丰富中添加。

类型: keyword

示例: foo.example.com

source.geo.city_name

城市名称。

类型: keyword

示例: Montreal

source.geo.continent_code

表示大洲名称的两位代码。

类型: keyword

示例: NA

source.geo.continent_name

大洲的名称。

类型: keyword

示例: 北美

source.geo.country_iso_code

国家/地区 ISO 代码。

类型: keyword

示例: CA

source.geo.country_name

国家/地区名称。

类型: keyword

示例: 加拿大

source.geo.location

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

source.geo.name

类型: keyword

示例: boston-dc

source.geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

source.geo.region_iso_code

地区 ISO 代码。

类型: keyword

示例: CA-QC

source.geo.region_name

地区名称。

类型: keyword

示例: 魁北克

source.geo.timezone

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

source.ip

源的 IP 地址（IPv4 或 IPv6）。

类型: ip

source.mac

源的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，表示八位字节作为无符号整数的值。连续的八位字节由连字符分隔。

类型: keyword

示例: 00-00-5E-00-53-23

source.nat.ip

基于 NAT 会话（例如，内部客户端到互联网）的源的转换后的 IP。通常连接穿过负载均衡器、防火墙或路由器。

类型: ip

source.nat.port

基于 NAT 会话的源的转换后的端口。（例如，内部客户端到互联网）通常与负载均衡器、防火墙或路由器一起使用。

类型: long

格式: string

source.packets

从源发送到目标的数据包。

类型: long

示例: 12

source.port

源的端口。

类型: long

格式: string

source.registered_domain

剥离子域后，最高注册的源域。例如，“foo.example.com”的注册域为“example.com”。可以使用像公共后缀列表（http://publicsuffix.org）这样的列表精确确定此值。仅通过获取最后两个标签来近似此值对于像“co.uk”这样的顶级域名来说效果不佳。

类型: keyword

示例: example.com

source.subdomain

类型: keyword

示例: east

source.top_level_domain

类型: keyword

示例: co.uk

source.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

source.user.email

用户电子邮件地址。

类型: keyword

source.user.full_name

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

source.user.full_name.text

类型: match_only_text

source.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

source.user.group.id

系统/平台上组的唯一标识符。

类型: keyword

source.user.group.name

组的名称。

类型: keyword

source.user.hash

唯一的用户哈希，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型: keyword

source.user.id

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

source.user.name

用户的简称或登录名。

类型: keyword

示例: a.einstein

source.user.name.text

类型: match_only_text

source.user.roles

事件发生时用户角色的数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

threat

根据威胁分类法（例如 MITRE ATT&CK® 框架）对事件和警报进行分类的字段。这些字段供用户在其所有来源（例如 IDS、NGFW 等）中根据通用分类法对警报进行分类。threat.tactic.* 字段旨在捕获威胁的高级类别（例如，“影响”）。threat.technique.* 字段旨在捕获此检测到的威胁为实现目标（例如，“端点拒绝服务”）而使用的哪种方法。

threat.enrichments

与事件相关的指标对象的列表，以及该关联/丰富的内容。

类型：嵌套

threat.enrichments.indicator

包含与事件相关的指标的对象。

类型: object

threat.enrichments.indicator.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

threat.enrichments.indicator.as.organization.name

组织名称。

类型: keyword

示例: Google LLC

threat.enrichments.indicator.as.organization.name.text

类型: match_only_text

threat.enrichments.indicator.confidence

使用 STIX 2.1 框架附录 A 中定义的 None/Low/Medium/High 规模标识供应商中立的置信度等级。供应商特定的置信度等级可以作为自定义字段添加。预期值为：* 未指定 * 无 * 低 * 中 * 高

类型: keyword

示例：中等

threat.enrichments.indicator.description

描述威胁执行的操作类型。

类型: keyword

示例：观察到 IP x.x.x.x 传递 Angler EK。

threat.enrichments.indicator.email.address

将威胁指标标识为电子邮件地址（无论方向如何）。

类型: keyword

示例：[email protected]

threat.enrichments.indicator.file.accessed

上次访问文件的时间。请注意，并非所有文件系统都跟踪访问时间。

类型: date

threat.enrichments.indicator.file.attributes

类型: keyword

示例：["readonly", "system"]

threat.enrichments.indicator.file.code_signature.digest_algorithm

用于对进程进行签名的哈希算法。当同一签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型: keyword

示例：sha256

threat.enrichments.indicator.file.code_signature.exists

布尔值，用于捕获签名是否存在。

类型：布尔值

示例：true

threat.enrichments.indicator.file.code_signature.signing_id

用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型: keyword

示例：com.apple.xpc.proxy

threat.enrichments.indicator.file.code_signature.status

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度，则保留为空。

类型: keyword

示例：ERROR_UNTRUSTED_ROOT

threat.enrichments.indicator.file.code_signature.subject_name

代码签名者的主体名称

类型: keyword

示例：Microsoft Corporation

threat.enrichments.indicator.file.code_signature.team_id

用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型: keyword

示例：EQHXZ8M8AV

threat.enrichments.indicator.file.code_signature.timestamp

生成和签署代码签名的时间。

类型: date

示例：2021-01-01T12:10:30Z

threat.enrichments.indicator.file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

threat.enrichments.indicator.file.code_signature.valid

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则保留为空。

类型：布尔值

示例：true

threat.enrichments.indicator.file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型: date

threat.enrichments.indicator.file.ctime

上次更改文件属性或元数据的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将同时调整，因为 mtime 是文件的属性。

类型: date

threat.enrichments.indicator.file.device

文件来源的设备。

类型: keyword

示例：sda

threat.enrichments.indicator.file.directory

文件所在的目录。在适当情况下，应包括驱动器号。

类型: keyword

示例：/home/alice

threat.enrichments.indicator.file.drive_letter

文件所在的驱动器号。此字段仅在 Windows 上相关。值应为大写，并且不包括冒号。

类型: keyword

示例：C

threat.enrichments.indicator.file.elf.architecture

ELF 文件的机器体系结构。

类型: keyword

示例：x86-64

threat.enrichments.indicator.file.elf.byte_order

ELF 文件的字节顺序。

类型: keyword

示例：小端

threat.enrichments.indicator.file.elf.cpu_type

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

threat.enrichments.indicator.file.elf.creation_date

在可能的情况下从文件元数据中提取。指示其构建或编译的时间。它也可以被恶意软件创建者伪造。

类型: date

threat.enrichments.indicator.file.elf.exports

导出元素名称和类型的列表。

类型：扁平化

threat.enrichments.indicator.file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

threat.enrichments.indicator.file.elf.header.class

ELF 文件的头部类别。

类型: keyword

threat.enrichments.indicator.file.elf.header.data

ELF 头部的数据库。

类型: keyword

threat.enrichments.indicator.file.elf.header.entrypoint

ELF 文件的头部入口点。

类型: long

格式: string

threat.enrichments.indicator.file.elf.header.object_version

原始 ELF 文件为“0x1”。

类型: keyword

threat.enrichments.indicator.file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

threat.enrichments.indicator.file.elf.header.type

ELF 文件的头部类型。

类型: keyword

threat.enrichments.indicator.file.elf.header.version

ELF 头部的版本。

类型: keyword

threat.enrichments.indicator.file.elf.imports

导入元素名称和类型的列表。

类型：扁平化

threat.enrichments.indicator.file.elf.sections

一个数组，包含 ELF 文件每个部分的对象。elf.sections.* 下面的子字段定义了这些对象中应存在的键。

类型：嵌套

threat.enrichments.indicator.file.elf.sections.chi2

部分的卡方概率分布。

类型: long

格式：数字

threat.enrichments.indicator.file.elf.sections.entropy

从部分计算的香农熵。

类型: long

格式：数字

threat.enrichments.indicator.file.elf.sections.flags

ELF 部分列表标志。

类型: keyword

threat.enrichments.indicator.file.elf.sections.name

ELF 部分列表名称。

类型: keyword

threat.enrichments.indicator.file.elf.sections.physical_offset

ELF 部分列表偏移量。

类型: keyword

threat.enrichments.indicator.file.elf.sections.physical_size

ELF 部分列表物理大小。

类型: long

格式: bytes

threat.enrichments.indicator.file.elf.sections.type

ELF 部分列表类型。

类型: keyword

threat.enrichments.indicator.file.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型: long

格式: string

threat.enrichments.indicator.file.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型: long

格式: string

threat.enrichments.indicator.file.elf.segments

一个数组，包含 ELF 文件每个段的对象。elf.segments.* 下面的子字段定义了这些对象中应存在的键。

类型：嵌套

threat.enrichments.indicator.file.elf.segments.sections

ELF 对象段部分。

类型: keyword

threat.enrichments.indicator.file.elf.segments.type

ELF 对象段类型。

类型: keyword

threat.enrichments.indicator.file.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型: keyword

threat.enrichments.indicator.file.elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型: keyword

threat.enrichments.indicator.file.extension

文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名（例如 example.tar.gz）时，仅应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型: keyword

示例：png

threat.enrichments.indicator.file.fork_name

类型: keyword

示例：Zone.Identifer

threat.enrichments.indicator.file.gid

文件的初始组 ID (GID)。

类型: keyword

示例：1001

threat.enrichments.indicator.file.group

文件的初始组名称。

类型: keyword

示例：alice

threat.enrichments.indicator.file.hash.md5

MD5 哈希。

类型: keyword

threat.enrichments.indicator.file.hash.sha1

SHA1 哈希。

类型: keyword

threat.enrichments.indicator.file.hash.sha256

SHA256 哈希。

类型: keyword

threat.enrichments.indicator.file.hash.sha512

SHA512 哈希。

类型: keyword

threat.enrichments.indicator.file.hash.ssdeep

SSDEEP 哈希。

类型: keyword

threat.enrichments.indicator.file.inode

表示文件系统中文件的 inode。

类型: keyword

示例：256383

threat.enrichments.indicator.file.mime_type

MIME 类型应使用IANA 官方类型（如果可能）识别文件或字节流的格式。当多个类型适用时，应使用最具体的类型。

类型: keyword

threat.enrichments.indicator.file.mode

文件的八进制表示模式。

类型: keyword

示例：0640

threat.enrichments.indicator.file.mtime

上次修改文件内容的时间。

类型: date

threat.enrichments.indicator.file.name

包括扩展名在内的文件名，不包含目录。

类型: keyword

示例：example.png

threat.enrichments.indicator.file.owner

文件所有者的用户名。

类型: keyword

示例：alice

threat.enrichments.indicator.file.path

文件的完整路径，包括文件名。在适当情况下，应包含驱动器号。

类型: keyword

示例：/home/alice/example.png

threat.enrichments.indicator.file.path.text

类型: match_only_text

threat.enrichments.indicator.file.pe.architecture

文件的 CPU 架构目标。

类型: keyword

示例：x64

threat.enrichments.indicator.file.pe.company

文件的内部公司名称，在编译时提供。

类型: keyword

示例：Microsoft Corporation

threat.enrichments.indicator.file.pe.description

文件的内部描述，在编译时提供。

类型: keyword

示例：画图

threat.enrichments.indicator.file.pe.file_version

文件的内部版本，在编译时提供。

类型: keyword

示例：6.3.9600.17415

threat.enrichments.indicator.file.pe.imphash

类型: keyword

示例：0c6803c4e922103c4dca5963aad36ddf

threat.enrichments.indicator.file.pe.original_file_name

文件在编译时提供的内部名称。

类型: keyword

示例：MSPAINT.EXE

threat.enrichments.indicator.file.pe.product

文件在编译时提供的内部产品名称。

类型: keyword

示例：Microsoft® Windows® 操作系统

threat.enrichments.indicator.file.size

文件大小（以字节为单位）。仅当 file.type 为“file”时才相关。

类型: long

示例：16384

threat.enrichments.indicator.file.target_path

符号链接的目标路径。

类型: keyword

threat.enrichments.indicator.file.target_path.text

类型: match_only_text

threat.enrichments.indicator.file.type

文件类型（文件、目录或符号链接）。

类型: keyword

示例：file

threat.enrichments.indicator.file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型: keyword

示例：1001

threat.enrichments.indicator.file.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型: keyword

示例：*.elastic.co

threat.enrichments.indicator.file.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型: keyword

示例：Example SHA2 High Assurance Server CA

threat.enrichments.indicator.file.x509.issuer.country

国家/地区代码列表 ©

类型: keyword

示例：US

threat.enrichments.indicator.file.x509.issuer.distinguished_name

颁发证书颁发机构的识别名称 (DN)。

类型: keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.enrichments.indicator.file.x509.issuer.locality

地区名称列表 (L)

类型: keyword

示例：Mountain View

threat.enrichments.indicator.file.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型: keyword

示例：Example Inc

threat.enrichments.indicator.file.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型: keyword

示例：www.example.com

threat.enrichments.indicator.file.x509.issuer.state_or_province

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

threat.enrichments.indicator.file.x509.not_after

证书不再被视为有效的时间。

类型: date

示例：2020-07-16 03:15:39+00:00

threat.enrichments.indicator.file.x509.not_before

证书首次被视为有效的时间。

类型: date

示例：2019-08-16 01:40:25+00:00

threat.enrichments.indicator.file.x509.public_key_algorithm

用于生成公钥的算法。

类型: keyword

示例：RSA

threat.enrichments.indicator.file.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型: keyword

示例：nistp521

threat.enrichments.indicator.file.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型: long

示例：65537

字段未被索引。

threat.enrichments.indicator.file.x509.public_key_size

公钥空间的大小（以位为单位）。

类型: long

示例：2048

threat.enrichments.indicator.file.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应格式化为不带冒号且为大写字符。

类型: keyword

示例：55FBB9C7DEBF09809D12CCAA

threat.enrichments.indicator.file.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型: keyword

示例：SHA256-RSA

threat.enrichments.indicator.file.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型: keyword

示例：shared.global.example.net

threat.enrichments.indicator.file.x509.subject.country

国家/地区代码列表 ©

类型: keyword

示例：US

threat.enrichments.indicator.file.x509.subject.distinguished_name

证书主题实体的识别名称 (DN)。

类型: keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

threat.enrichments.indicator.file.x509.subject.locality

地区名称列表 (L)

类型: keyword

示例：San Francisco

threat.enrichments.indicator.file.x509.subject.organization

主题的组织 (O) 列表。

类型: keyword

示例：Example, Inc.

threat.enrichments.indicator.file.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型: keyword

threat.enrichments.indicator.file.x509.subject.state_or_province

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

threat.enrichments.indicator.file.x509.version_number

x509 格式的版本。

类型: keyword

示例：3

threat.enrichments.indicator.first_seen

情报源首次报告发现此指标的日期和时间。

类型: date

示例：2020-11-05T17:25:47.000Z

threat.enrichments.indicator.geo.city_name

城市名称。

类型: keyword

示例: Montreal

threat.enrichments.indicator.geo.continent_code

表示大洲名称的两位代码。

类型: keyword

示例: NA

threat.enrichments.indicator.geo.continent_name

大洲的名称。

类型: keyword

示例: 北美

threat.enrichments.indicator.geo.country_iso_code

国家/地区 ISO 代码。

类型: keyword

示例: CA

threat.enrichments.indicator.geo.country_name

国家/地区名称。

类型: keyword

示例: 加拿大

threat.enrichments.indicator.geo.location

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

threat.enrichments.indicator.geo.name

类型: keyword

示例: boston-dc

threat.enrichments.indicator.geo.postal_code

与位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

threat.enrichments.indicator.geo.region_iso_code

地区 ISO 代码。

类型: keyword

示例: CA-QC

threat.enrichments.indicator.geo.region_name

地区名称。

类型: keyword

示例: 魁北克

threat.enrichments.indicator.geo.timezone

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

threat.enrichments.indicator.ip

将威胁指标标识为 IP 地址（无论方向如何）。

类型: ip

示例：1.2.3.4

threat.enrichments.indicator.last_seen

情报源最后一次报告发现此指标的日期和时间。

类型: date

示例：2020-11-05T17:25:47.000Z

threat.enrichments.indicator.marking.tlp

交通灯协议共享标记。推荐值是：* 白色 * 绿色 * 橙色 * 红色

类型: keyword

示例：白色

threat.enrichments.indicator.modified_at

情报源最后一次修改此指标信息的日期和时间。

类型: date

示例：2020-11-05T17:25:47.000Z

threat.enrichments.indicator.port

将威胁指标标识为端口号（无论方向如何）。

类型: long

示例：443

threat.enrichments.indicator.provider

指标提供程序的名称。

类型: keyword

示例：lrz_urlhaus

threat.enrichments.indicator.reference

指向有关此指标的附加信息的参考 URL。

类型: keyword

示例：https://system.example.com/indicator/0001234

threat.enrichments.indicator.registry.data.bytes

类型: keyword

例如：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

threat.enrichments.indicator.registry.data.strings

类型：通配符

例如：["C:\rta\red_ttp\bin\myapp.exe"]

threat.enrichments.indicator.registry.data.type

用于编码内容的标准注册表类型

类型: keyword

例如：REG_SZ

threat.enrichments.indicator.registry.hive

配置单元的缩写名称。

类型: keyword

例如：HKLM

threat.enrichments.indicator.registry.key

键的配置单元相对路径。

类型: keyword

例如：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

threat.enrichments.indicator.registry.path

完整路径，包括配置单元、键和值

类型: keyword

例如：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

threat.enrichments.indicator.registry.value

写入的值的名称。

类型: keyword

例如：Debugger

threat.enrichments.indicator.scanner_stats

成功检测到恶意文件或 URL 的 AV/EDR 供应商数量。

类型: long

示例：4

threat.enrichments.indicator.sightings

观察到此指标进行威胁活动的次数。

类型: long

示例：20

threat.enrichments.indicator.type

指标类型，以 STIX 2.0 中的 Cyber Observable 表示。推荐值：* autonomous-system * artifact * directory * domain-name * email-addr * file * ipv4-addr * ipv6-addr * mac-addr * mutex * port * process * software * url * user-account * windows-registry-key * x509-certificate

类型: keyword

示例：ipv4-addr

threat.enrichments.indicator.url.domain

URL 的域名，例如“www.elastic.co”。在某些情况下，URL 可能会直接引用 IP 和/或端口，而没有域名。在这种情况下，IP 地址将进入 domain 字段。如果 URL 包含用 [ 和 ]（IETF RFC 2732）括起来的文字 IPv6 地址，则 [ 和 ] 字符也应捕获在 domain 字段中。

类型: keyword

示例：www.elastic.co

threat.enrichments.indicator.url.extension

该字段包含原始请求 URL 中的文件扩展名，不包括前导点。仅当文件扩展名存在时才设置文件扩展名，因为并非每个 URL 都有文件扩展名。前导句点不得包含在内。例如，值必须为“png”，而不是“.png”。请注意，当文件名有多个扩展名（例如 example.tar.gz）时，仅应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型: keyword

示例：png

threat.enrichments.indicator.url.fragment

URL 中 # 之后的片段，例如“top”。# 不是片段的一部分。

类型: keyword

threat.enrichments.indicator.url.full

如果完整 URL 对您的用例很重要，则应将其存储在 url.full 中，无论此字段是重建的还是存在于事件源中。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top

threat.enrichments.indicator.url.full.text

类型: match_only_text

threat.enrichments.indicator.url.original

在事件源中看到的未修改的原始 URL。请注意，在网络监控中，观察到的 URL 可能是完整 URL，而在访问日志中，URL 通常仅表示为路径。此字段旨在表示观察到的 URL，无论完整与否。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

threat.enrichments.indicator.url.original.text

类型: match_only_text

threat.enrichments.indicator.url.password

请求的密码。

类型: keyword

threat.enrichments.indicator.url.path

请求的路径，例如“/search”。

类型：通配符

threat.enrichments.indicator.url.port

请求的端口，例如 443。

类型: long

示例：443

格式: string

threat.enrichments.indicator.url.query

query 字段描述请求的查询字符串，例如“q=elasticsearch”。? 不包含在查询字符串中。如果 URL 不包含 ?，则没有 query 字段。如果存在 ? 但没有查询，则 query 字段存在且为空字符串。可以使用 exists 查询来区分这两种情况。

类型: keyword

threat.enrichments.indicator.url.registered_domain

最顶级的注册 URL 域名，已去除子域名。例如，“foo.example.com”的注册域名是“example.com”。可以使用公共后缀列表（例如 http://publicsuffix.org）精确确定此值。仅通过获取最后两个标签来近似此值对于“co.uk”等顶级域名来说效果不佳。

类型: keyword

示例: example.com

threat.enrichments.indicator.url.scheme

请求的方案，例如“https”。注意：: 不是方案的一部分。

类型: keyword

示例：https

threat.enrichments.indicator.url.subdomain

类型: keyword

示例: east

threat.enrichments.indicator.url.top_level_domain

类型: keyword

示例: co.uk

threat.enrichments.indicator.url.username

请求的用户名。

类型: keyword

threat.enrichments.indicator.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型: keyword

示例：*.elastic.co

threat.enrichments.indicator.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型: keyword

示例：Example SHA2 High Assurance Server CA

threat.enrichments.indicator.x509.issuer.country

国家/地区代码列表 ©

类型: keyword

示例：US

threat.enrichments.indicator.x509.issuer.distinguished_name

颁发证书颁发机构的识别名称 (DN)。

类型: keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.enrichments.indicator.x509.issuer.locality

地区名称列表 (L)

类型: keyword

示例：Mountain View

threat.enrichments.indicator.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型: keyword

示例：Example Inc

threat.enrichments.indicator.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型: keyword

示例：www.example.com

threat.enrichments.indicator.x509.issuer.state_or_province

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

threat.enrichments.indicator.x509.not_after

证书不再被视为有效的时间。

类型: date

示例：2020-07-16 03:15:39+00:00

threat.enrichments.indicator.x509.not_before

证书首次被视为有效的时间。

类型: date

示例：2019-08-16 01:40:25+00:00

threat.enrichments.indicator.x509.public_key_algorithm

用于生成公钥的算法。

类型: keyword

示例：RSA

threat.enrichments.indicator.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型: keyword

示例：nistp521

threat.enrichments.indicator.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型: long

示例：65537

字段未被索引。

threat.enrichments.indicator.x509.public_key_size

公钥空间的大小（以位为单位）。

类型: long

示例：2048

threat.enrichments.indicator.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应格式化为不带冒号且为大写字符。

类型: keyword

示例：55FBB9C7DEBF09809D12CCAA

threat.enrichments.indicator.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型: keyword

示例：SHA256-RSA

threat.enrichments.indicator.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型: keyword

示例：shared.global.example.net

threat.enrichments.indicator.x509.subject.country

国家/地区代码列表 ©

类型: keyword

示例：US

threat.enrichments.indicator.x509.subject.distinguished_name

证书主题实体的识别名称 (DN)。

类型: keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

threat.enrichments.indicator.x509.subject.locality

地区名称列表 (L)

类型: keyword

示例：San Francisco

threat.enrichments.indicator.x509.subject.organization

主题的组织 (O) 列表。

类型: keyword

示例：Example, Inc.

threat.enrichments.indicator.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型: keyword

threat.enrichments.indicator.x509.subject.state_or_province

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

threat.enrichments.indicator.x509.version_number

x509 格式的版本。

类型: keyword

示例：3

threat.enrichments.matched.atomic

标识与本地环境端点或网络事件匹配的原子指标值。

类型: keyword

示例：bad-domain.com

threat.enrichments.matched.field

标识与本地环境端点或网络事件匹配的原子指标字段。

类型: keyword

示例：file.hash.sha256

threat.enrichments.matched.id

标识丰富事件的指标文档的 _id。

类型: keyword

示例：ff93aee5-86a1-4a61-b0e6-0cdc313d01b5

threat.enrichments.matched.index

标识丰富事件的指标文档的 _index。

类型: keyword

示例：filebeat-8.0.0-2021.05.23-000011

threat.enrichments.matched.type

标识导致事件使用给定指标进行丰富匹配的类型

类型: keyword

示例：indicator_match_rule

threat.framework

用于进一步对报告威胁的策略和技术进行分类和归类的威胁框架的名称。框架分类可以由检测系统提供，在摄取时进行评估，或者追溯性地标记到事件。

类型: keyword

示例：MITRE ATT&CK

threat.group.alias

一组相关入侵活动的组的别名，这些活动在安全社区中以通用名称进行跟踪。虽然不是必需的，但您可以使用 MITRE ATT&CK® 组别名。

类型: keyword

示例：["Magecart Group 6"]

threat.group.id

一组相关入侵活动的组的 ID，这些活动在安全社区中以通用名称进行跟踪。虽然不是必需的，但您可以使用 MITRE ATT&CK® 组 ID。

类型: keyword

示例：G0037

threat.group.name

一组相关入侵活动的组的名称，这些活动在安全社区中以通用名称进行跟踪。虽然不是必需的，但您可以使用 MITRE ATT&CK® 组名称。

类型: keyword

示例：FIN6

threat.group.reference

一组相关入侵活动的组的参考 URL，这些活动在安全社区中以通用名称进行跟踪。虽然不是必需的，但您可以使用 MITRE ATT&CK® 组参考 URL。

类型: keyword

示例：https://attack.mitre.org/groups/G0037/

threat.indicator.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。

类型: long

示例: 15169

threat.indicator.as.organization.name

组织名称。

类型: keyword

示例: Google LLC

threat.indicator.as.organization.name.text

类型: match_only_text

threat.indicator.confidence

类型: keyword

示例：中等

threat.indicator.description

描述威胁执行的操作类型。

类型: keyword

示例：观察到 IP x.x.x.x 传递 Angler EK。

threat.indicator.email.address

将威胁指标标识为电子邮件地址（无论方向如何）。

类型: keyword

示例：[email protected]

threat.indicator.file.accessed

上次访问文件的时间。请注意，并非所有文件系统都跟踪访问时间。

类型: date

threat.indicator.file.attributes

类型: keyword

示例：["readonly", "system"]

threat.indicator.file.code_signature.digest_algorithm

用于对进程进行签名的哈希算法。当同一签名者使用不同的摘要算法对文件进行多次签名时，此值可以区分签名。

类型: keyword

示例：sha256

threat.indicator.file.code_signature.exists

布尔值，用于捕获签名是否存在。

类型：布尔值

示例：true

threat.indicator.file.code_signature.signing_id

用于对进程进行签名的标识符。用于识别软件供应商制造的应用程序。此字段仅与 Apple *OS 相关。

类型: keyword

示例：com.apple.xpc.proxy

threat.indicator.file.code_signature.status

有关证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任度，则保留为空。

类型: keyword

示例：ERROR_UNTRUSTED_ROOT

threat.indicator.file.code_signature.subject_name

代码签名者的主体名称

类型: keyword

示例：Microsoft Corporation

threat.indicator.file.code_signature.team_id

用于对进程进行签名的团队标识符。用于识别软件产品的团队或供应商。此字段仅与 Apple *OS 相关。

类型: keyword

示例：EQHXZ8M8AV

threat.indicator.file.code_signature.timestamp

生成和签署代码签名的时间。

类型: date

示例：2021-01-01T12:10:30Z

threat.indicator.file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

threat.indicator.file.code_signature.valid

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则保留为空。

类型：布尔值

示例：true

threat.indicator.file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型: date

threat.indicator.file.ctime

上次更改文件属性或元数据的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将同时调整，因为 mtime 是文件的属性。

类型: date

threat.indicator.file.device

文件来源的设备。

类型: keyword

示例：sda

threat.indicator.file.directory

文件所在的目录。在适当情况下，应包括驱动器号。

类型: keyword

示例：/home/alice

threat.indicator.file.drive_letter

文件所在的驱动器号。此字段仅在 Windows 上相关。值应为大写，并且不包括冒号。

类型: keyword

示例：C

threat.indicator.file.elf.architecture

ELF 文件的机器体系结构。

类型: keyword

示例：x86-64

threat.indicator.file.elf.byte_order

ELF 文件的字节顺序。

类型: keyword

示例：小端

threat.indicator.file.elf.cpu_type

ELF 文件的 CPU 类型。

类型: keyword

示例：Intel

threat.indicator.file.elf.creation_date

在可能的情况下从文件元数据中提取。指示其构建或编译的时间。它也可以被恶意软件创建者伪造。

类型: date

threat.indicator.file.elf.exports

导出元素名称和类型的列表。

类型：扁平化

threat.indicator.file.elf.header.abi_version

ELF 应用程序二进制接口 (ABI) 的版本。

类型: keyword

threat.indicator.file.elf.header.class

ELF 文件的头部类别。

类型: keyword

threat.indicator.file.elf.header.data

ELF 头部的数据库。

类型: keyword

threat.indicator.file.elf.header.entrypoint

ELF 文件的头部入口点。

类型: long

格式: string

threat.indicator.file.elf.header.object_version

原始 ELF 文件为“0x1”。

类型: keyword

threat.indicator.file.elf.header.os_abi

Linux 操作系统的应用程序二进制接口 (ABI)。

类型: keyword

threat.indicator.file.elf.header.type

ELF 文件的头部类型。

类型: keyword

threat.indicator.file.elf.header.version

ELF 头部的版本。

类型: keyword

threat.indicator.file.elf.imports

导入元素名称和类型的列表。

类型：扁平化

threat.indicator.file.elf.sections

一个数组，包含 ELF 文件每个部分的对象。elf.sections.* 下面的子字段定义了这些对象中应存在的键。

类型：嵌套

threat.indicator.file.elf.sections.chi2

部分的卡方概率分布。

类型: long

格式：数字

threat.indicator.file.elf.sections.entropy

从部分计算的香农熵。

类型: long

格式：数字

threat.indicator.file.elf.sections.flags

ELF 部分列表标志。

类型: keyword

threat.indicator.file.elf.sections.name

ELF 部分列表名称。

类型: keyword

threat.indicator.file.elf.sections.physical_offset

ELF 部分列表偏移量。

类型: keyword

threat.indicator.file.elf.sections.physical_size

ELF 部分列表物理大小。

类型: long

格式: bytes

threat.indicator.file.elf.sections.type

ELF 部分列表类型。

类型: keyword

threat.indicator.file.elf.sections.virtual_address

ELF 部分列表虚拟地址。

类型: long

格式: string

threat.indicator.file.elf.sections.virtual_size

ELF 部分列表虚拟大小。

类型: long

格式: string

threat.indicator.file.elf.segments

一个数组，包含 ELF 文件每个段的对象。elf.segments.* 下面的子字段定义了这些对象中应存在的键。

类型：嵌套

threat.indicator.file.elf.segments.sections

ELF 对象段部分。

类型: keyword

threat.indicator.file.elf.segments.type

ELF 对象段类型。

类型: keyword

threat.indicator.file.elf.shared_libraries

此 ELF 对象使用的共享库列表。

类型: keyword

threat.indicator.file.elf.telfhash

ELF 文件的 telfhash 符号哈希。

类型: keyword

threat.indicator.file.extension

文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名（例如 example.tar.gz）时，仅应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

类型: keyword

示例：png

threat.indicator.file.fork_name

类型: keyword

示例：Zone.Identifer

threat.indicator.file.gid

文件的初始组 ID (GID)。

类型: keyword

示例：1001

threat.indicator.file.group

文件的初始组名称。

类型: keyword

示例：alice

threat.indicator.file.hash.md5

MD5 哈希。

类型: keyword

threat.indicator.file.hash.sha1

SHA1 哈希。

类型: keyword

threat.indicator.file.hash.sha256

SHA256 哈希。

类型: keyword

threat.indicator.file.hash.sha512

SHA512 哈希。

类型: keyword

threat.indicator.file.hash.ssdeep

SSDEEP 哈希。

类型: keyword

threat.indicator.file.inode

表示文件系统中文件的 inode。

类型: keyword

示例：256383

threat.indicator.file.mime_type

MIME 类型应使用IANA 官方类型（如果可能）识别文件或字节流的格式。当多个类型适用时，应使用最具体的类型。

类型: keyword

threat.indicator.file.mode

文件的八进制表示模式。

类型: keyword

示例：0640

threat.indicator.file.mtime

上次修改文件内容的时间。

类型: date

threat.indicator.file.name

包括扩展名在内的文件名，不包含目录。

类型: keyword

示例：example.png

threat.indicator.file.owner

文件所有者的用户名。

类型: keyword

示例：alice

threat.indicator.file.path

文件的完整路径，包括文件名。在适当情况下，应包含驱动器号。

类型: keyword

示例：/home/alice/example.png

threat.indicator.file.path.text

类型: match_only_text

threat.indicator.file.pe.architecture

文件的 CPU 架构目标。

类型: keyword

示例：x64

threat.indicator.file.pe.company

文件的内部公司名称，在编译时提供。

类型: keyword

示例：Microsoft Corporation

threat.indicator.file.pe.description

文件的内部描述，在编译时提供。

类型: keyword

示例：画图

threat.indicator.file.pe.file_version

文件的内部版本，在编译时提供。

类型: keyword

示例：6.3.9600.17415

threat.indicator.file.pe.imphash

类型: keyword

示例：0c6803c4e922103c4dca5963aad36ddf

threat.indicator.file.pe.original_file_name

文件在编译时提供的内部名称。

类型: keyword

示例：MSPAINT.EXE

threat.indicator.file.pe.product

文件在编译时提供的内部产品名称。

类型: keyword

示例：Microsoft® Windows® 操作系统

threat.indicator.file.size

文件大小（以字节为单位）。仅当 file.type 为“file”时才相关。

类型: long

示例：16384

threat.indicator.file.target_path

符号链接的目标路径。

类型: keyword

threat.indicator.file.target_path.text

类型: match_only_text

threat.indicator.file.type

文件类型（文件、目录或符号链接）。

类型: keyword

示例：file

threat.indicator.file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型: keyword

示例：1001

threat.indicator.file.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型: keyword

示例：*.elastic.co

threat.indicator.file.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型: keyword

示例：Example SHA2 High Assurance Server CA

threat.indicator.file.x509.issuer.country

国家/地区代码列表 ©

类型: keyword

示例：US

threat.indicator.file.x509.issuer.distinguished_name

颁发证书颁发机构的识别名称 (DN)。

类型: keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

threat.indicator.file.x509.issuer.locality

地区名称列表 (L)

类型: keyword

示例：Mountain View

threat.indicator.file.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型: keyword

示例：Example Inc

threat.indicator.file.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型: keyword

示例：www.example.com

threat.indicator.file.x509.issuer.state_or_province

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

threat.indicator.file.x509.not_after

证书不再被视为有效的时间。

类型: date

示例：2020-07-16 03:15:39+00:00

threat.indicator.file.x509.not_before

证书首次被视为有效的时间。

类型: date

示例：2019-08-16 01:40:25+00:00

threat.indicator.file.x509.public_key_algorithm

用于生成公钥的算法。

类型: keyword

示例：RSA

threat.indicator.file.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型: keyword

示例：nistp521

威胁指标.文件.X509.公钥指数

用于导出公钥的指数。这是特定于算法的。

类型: long

示例：65537

字段未被索引。

威胁指标.文件.X509.公钥大小

公钥空间的大小（以位为单位）。

类型: long

示例：2048

威胁指标.文件.X509.序列号

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应格式化为不带冒号且为大写字符。

类型: keyword

示例：55FBB9C7DEBF09809D12CCAA

威胁指标.文件.X509.签名算法

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型: keyword

示例：SHA256-RSA

威胁指标.文件.X509.主体.通用名称

主题的通用名称 (CN) 列表。

类型: keyword

示例：shared.global.example.net

威胁指标.文件.X509.主体.国家

国家/地区代码列表 ©

类型: keyword

示例：US

威胁指标.文件.X509.主体.可分辨名称

证书主题实体的识别名称 (DN)。

类型: keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

威胁指标.文件.X509.主体.地区

地区名称列表 (L)

类型: keyword

示例：San Francisco

威胁指标.文件.X509.主体.组织

主题的组织 (O) 列表。

类型: keyword

示例：Example, Inc.

威胁指标.文件.X509.主体.组织单位

主题的组织单位 (OU) 列表。

类型: keyword

威胁指标.文件.X509.主体.州或省

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

威胁指标.文件.X509.版本号

x509 格式的版本。

类型: keyword

示例：3

威胁指标.首次出现时间

情报源首次报告发现此指标的日期和时间。

类型: date

示例：2020-11-05T17:25:47.000Z

威胁指标.地理位置.城市名称

城市名称。

类型: keyword

示例: Montreal

威胁指标.地理位置.洲代码

表示大洲名称的两位代码。

类型: keyword

示例: NA

威胁指标.地理位置.洲名称

大洲的名称。

类型: keyword

示例: 北美

威胁指标.地理位置.国家ISO代码

国家/地区 ISO 代码。

类型: keyword

示例: CA

威胁指标.地理位置.国家名称

国家/地区名称。

类型: keyword

示例: 加拿大

威胁指标.地理位置.位置

经度和纬度。

类型: geo_point

示例: { "lon": -73.614830, "lat": 45.505918 }

威胁指标.地理位置.名称

类型: keyword

示例: boston-dc

威胁指标.地理位置.邮政编码

与位置关联的邮政编码。此字段的适当值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区之间差异很大。

类型: keyword

示例: 94040

威胁指标.地理位置.地区ISO代码

地区 ISO 代码。

类型: keyword

示例: CA-QC

威胁指标.地理位置.地区名称

地区名称。

类型: keyword

示例: 魁北克

威胁指标.地理位置.时区

位置的时区，例如 IANA 时区名称。

类型: keyword

示例: America/Argentina/Buenos_Aires

威胁指标.IP地址

将威胁指标标识为 IP 地址（无论方向如何）。

类型: ip

示例：1.2.3.4

威胁指标.最后出现时间

情报源最后一次报告发现此指标的日期和时间。

类型: date

示例：2020-11-05T17:25:47.000Z

威胁指标.标记.TLP

交通灯协议共享标记。推荐值是：* 白色 * 绿色 * 橙色 * 红色

类型: keyword

示例：白色

威胁指标.修改时间

情报源最后一次修改此指标信息的日期和时间。

类型: date

示例：2020-11-05T17:25:47.000Z

威胁指标.端口

将威胁指标标识为端口号（无论方向如何）。

类型: long

示例：443

威胁指标.提供者

指标提供程序的名称。

类型: keyword

示例：lrz_urlhaus

威胁指标.参考

指向有关此指标的附加信息的参考 URL。

类型: keyword

示例：https://system.example.com/indicator/0001234

威胁指标.注册表.数据.字节

类型: keyword

例如：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

威胁指标.注册表.数据.字符串

类型：通配符

例如：["C:\rta\red_ttp\bin\myapp.exe"]

威胁指标.注册表.数据.类型

用于编码内容的标准注册表类型

类型: keyword

例如：REG_SZ

威胁指标.注册表.配置单元

配置单元的缩写名称。

类型: keyword

例如：HKLM

威胁指标.注册表.键

键的配置单元相对路径。

类型: keyword

例如：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

威胁指标.注册表.路径

完整路径，包括配置单元、键和值

类型: keyword

例如：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

威胁指标.注册表.值

写入的值的名称。

类型: keyword

例如：Debugger

威胁指标.扫描器统计信息

成功检测到恶意文件或 URL 的 AV/EDR 供应商数量。

类型: long

示例：4

威胁指标.观察次数

观察到此指标进行威胁活动的次数。

类型: long

示例：20

威胁指标.类型

类型: keyword

示例：ipv4-addr

威胁指标.URL.域名

类型: keyword

示例：www.elastic.co

威胁指标.URL.扩展名

类型: keyword

示例：png

威胁指标.URL.片段

URL 中 # 之后的片段，例如“top”。# 不是片段的一部分。

类型: keyword

威胁指标.URL.完整URL

如果完整 URL 对您的用例很重要，则应将其存储在 url.full 中，无论此字段是重建的还是存在于事件源中。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top

威胁指标.URL.完整URL文本

类型: match_only_text

威胁指标.URL.原始URL

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

威胁指标.URL.原始URL文本

类型: match_only_text

威胁指标.URL.密码

请求的密码。

类型: keyword

威胁指标.URL.路径

请求的路径，例如“/search”。

类型：通配符

威胁指标.URL.端口

请求的端口，例如 443。

类型: long

示例：443

格式: string

威胁指标.URL.查询

类型: keyword

威胁指标.URL.注册域名

类型: keyword

示例: example.com

威胁指标.URL.方案

请求的方案，例如“https”。注意：: 不是方案的一部分。

类型: keyword

示例：https

威胁指标.URL.子域名

类型: keyword

示例: east

威胁指标.URL.顶级域名

类型: keyword

示例: co.uk

威胁指标.URL.用户名

请求的用户名。

类型: keyword

威胁指标.X509.备用名称

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型: keyword

示例：*.elastic.co

威胁指标.X509.颁发者.通用名称

颁发证书颁发机构的通用名称 (CN) 列表。

类型: keyword

示例：Example SHA2 High Assurance Server CA

威胁指标.X509.颁发者.国家

国家/地区代码列表 ©

类型: keyword

示例：US

威胁指标.X509.颁发者.可分辨名称

颁发证书颁发机构的识别名称 (DN)。

类型: keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

威胁指标.X509.颁发者.地区

地区名称列表 (L)

类型: keyword

示例：Mountain View

威胁指标.X509.颁发者.组织

颁发证书颁发机构的组织 (O) 列表。

类型: keyword

示例：Example Inc

威胁指标.X509.颁发者.组织单位

颁发证书颁发机构的组织单位 (OU) 列表。

类型: keyword

示例：www.example.com

威胁指标.X509.颁发者.州或省

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

威胁指标.X509.有效期截止日期

证书不再被视为有效的时间。

类型: date

示例：2020-07-16 03:15:39+00:00

威胁指标.X509.有效期开始日期

证书首次被视为有效的时间。

类型: date

示例：2019-08-16 01:40:25+00:00

威胁指标.X509.公钥算法

用于生成公钥的算法。

类型: keyword

示例：RSA

威胁指标.X509.公钥曲线

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型: keyword

示例：nistp521

威胁指标.X509.公钥指数

用于导出公钥的指数。这是特定于算法的。

类型: long

示例：65537

字段未被索引。

威胁指标.X509.公钥大小

公钥空间的大小（以位为单位）。

类型: long

示例：2048

威胁指标.X509.序列号

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应格式化为不带冒号且为大写字符。

类型: keyword

示例：55FBB9C7DEBF09809D12CCAA

威胁指标.X509.签名算法

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型: keyword

示例：SHA256-RSA

威胁指标.X509.主体.通用名称

主题的通用名称 (CN) 列表。

类型: keyword

示例：shared.global.example.net

威胁指标.X509.主体.国家

国家/地区代码列表 ©

类型: keyword

示例：US

威胁指标.X509.主体.可分辨名称

证书主题实体的识别名称 (DN)。

类型: keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

威胁指标.X509.主体.地区

地区名称列表 (L)

类型: keyword

示例：San Francisco

威胁指标.X509.主体.组织

主题的组织 (O) 列表。

类型: keyword

示例：Example, Inc.

威胁指标.X509.主体.组织单位

主题的组织单位 (OU) 列表。

类型: keyword

威胁指标.X509.主体.州或省

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

威胁指标.X509.版本号

x509 格式的版本。

类型: keyword

示例：3

威胁.软件.别名

安全社区中通过通用名称跟踪的一组相关入侵活动所使用的软件的别名。虽然不是必需的，但您可以使用与 MITRE ATT&CK® 相关的软件描述。

类型: keyword

示例：[“X-Agent”]

威胁.软件.ID

此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件的 ID。虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件 ID。

类型: keyword

示例：S0552

威胁.软件.名称

此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件的名称。虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件名称。

类型: keyword

示例：AdFind

威胁.软件.平台

此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件的平台。建议值：* AWS * Azure * Azure AD * GCP * Linux * macOS * 网络 * Office 365 * SaaS * Windows

虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件平台。

类型: keyword

示例：[“Windows”]

威胁.软件.参考

此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件的参考 URL。虽然不是必需的，但您可以使用 MITRE ATT&CK® 软件参考 URL。

类型: keyword

示例：https://attack.mitre.org/software/S0552/

威胁.软件.类型

此威胁用来执行通常使用 MITRE ATT&CK® 建模的行为的软件的类型。建议值 * 恶意软件 * 工具

While not required, you can use a MITRE ATT&CK® software type.

类型: keyword

示例：工具

威胁.战术.ID

此威胁使用的战术的 ID。例如，您可以使用 MITRE ATT&CK® 战术。（例如，https://attack.mitre.org/tactics/TA0002/）

类型: keyword

示例：TA0002

威胁.战术.名称

此威胁使用的战术类型的名称。例如，您可以使用 MITRE ATT&CK® 战术。（例如，https://attack.mitre.org/tactics/TA0002/）

类型: keyword

示例：执行

威胁.战术.参考

此威胁使用的战术的参考 URL。例如，您可以使用 MITRE ATT&CK® 战术。（例如，https://attack.mitre.org/tactics/TA0002/）

类型: keyword

示例：https://attack.mitre.org/tactics/TA0002/

威胁.技术.ID

此威胁使用的技术的 ID。例如，您可以使用 MITRE ATT&CK® 技术。（例如，https://attack.mitre.org/techniques/T1059/）

类型: keyword

示例：T1059

威胁.技术.名称

此威胁使用的技术的名称。例如，您可以使用 MITRE ATT&CK® 技术。（例如，https://attack.mitre.org/techniques/T1059/）

类型: keyword

示例：命令和脚本解释器

威胁.技术.名称.文本

类型: match_only_text

威胁.技术.参考

此威胁使用的技术的参考 URL。例如，您可以使用 MITRE ATT&CK® 技术。（例如，https://attack.mitre.org/techniques/T1059/）

类型: keyword

示例：https://attack.mitre.org/techniques/T1059/

威胁.技术.子技术.ID

此威胁使用的子技术的完整 ID。例如，您可以使用 MITRE ATT&CK® 子技术。（例如，https://attack.mitre.org/techniques/T1059/001/）

类型: keyword

示例：T1059.001

威胁.技术.子技术.名称

此威胁使用的子技术的名称。例如，您可以使用 MITRE ATT&CK® 子技术。（例如，https://attack.mitre.org/techniques/T1059/001/）

类型: keyword

示例：PowerShell

威胁.技术.子技术.名称.文本

类型: match_only_text

威胁.技术.子技术.参考

此威胁使用的子技术的参考 URL。例如，您可以使用 MITRE ATT&CK® 子技术。（例如，https://attack.mitre.org/techniques/T1059/001/）

类型: keyword

示例：https://attack.mitre.org/techniques/T1059/001/

TLS

与 TLS 连接相关的字段。这些字段侧重于 TLS 协议本身，并有意避免对相关的 x.509 证书文件进行深入分析。

TLS.密码

指示当前连接期间使用的密码的字符串。

类型: keyword

示例：TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS.客户端.证书

客户端提供的 PEM 编码的独立证书。这通常与 client.certificate_chain 互斥，因为此值也存在于该列表中。

类型: keyword

示例：MII…

TLS.客户端.证书链

构成客户端提供的证书链的 PEM 编码证书数组。这通常与 client.certificate 互斥，因为该值应该是链中的第一个证书。

类型: keyword

示例：["MII…", "MII…"]

TLS.客户端.哈希.MD5

使用客户端提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型: keyword

示例：0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC

TLS.客户端.哈希.SHA1

使用客户端提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型: keyword

示例：9E393D93138888D288266C2D915214D1D1CCEB2A

TLS.客户端.哈希.SHA256

使用客户端提供的证书的 DER 编码版本的 SHA256 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型: keyword

示例：0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0

TLS.客户端.颁发者

客户端提供的 x.509 证书的颁发者主题的可分辨名称。

类型: keyword

示例：CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com

TLS.客户端.JA3

根据客户端执行 SSL/TLS 握手的方式识别客户端的哈希值。

类型: keyword

示例：d4e5b18d6b55c71272893221c96ba240

TLS.客户端.有效期截止日期

指示客户端证书不再被视为有效的日期/时间。

类型: date

示例：2021-01-01T00:00:00.000Z

TLS.客户端.有效期开始日期

指示客户端证书首次被视为有效的日期/时间。

类型: date

示例：1970-01-01T00:00:00.000Z

TLS.客户端.服务器名称

也称为 SNI，它告诉服务器客户端尝试连接到的主机名。当此值可用时，应将其复制到 destination.domain。

类型: keyword

示例：www.elastic.co

TLS.客户端.主题

客户端提供的 x.509 证书的主题的可分辨名称。

类型: keyword

示例：CN=myclient, OU=Documentation Team, DC=example, DC=com

TLS.客户端.支持的密码

客户端在客户端问候期间提供的密码数组。

类型: keyword

示例：["TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "…"]

TLS.客户端.X509.备用名称

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型: keyword

示例：*.elastic.co

TLS.客户端.X509.颁发者.通用名称

颁发证书颁发机构的通用名称 (CN) 列表。

类型: keyword

示例：Example SHA2 High Assurance Server CA

TLS.客户端.X509.颁发者.国家

国家/地区代码列表 ©

类型: keyword

示例：US

TLS.客户端.X509.颁发者.可分辨名称

颁发证书颁发机构的识别名称 (DN)。

类型: keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

TLS.客户端.X509.颁发者.地区

地区名称列表 (L)

类型: keyword

示例：Mountain View

TLS.客户端.X509.颁发者.组织

颁发证书颁发机构的组织 (O) 列表。

类型: keyword

示例：Example Inc

TLS.客户端.X509.颁发者.组织单位

颁发证书颁发机构的组织单位 (OU) 列表。

类型: keyword

示例：www.example.com

TLS.客户端.X509.颁发者.州或省

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

TLS.客户端.X509.有效期截止日期

证书不再被视为有效的时间。

类型: date

示例：2020-07-16 03:15:39+00:00

TLS.客户端.X509.有效期开始日期

证书首次被视为有效的时间。

类型: date

示例：2019-08-16 01:40:25+00:00

TLS.客户端.X509.公钥算法

用于生成公钥的算法。

类型: keyword

示例：RSA

TLS.客户端.X509.公钥曲线

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型: keyword

示例：nistp521

TLS.客户端.X509.公钥指数

用于导出公钥的指数。这是特定于算法的。

类型: long

示例：65537

字段未被索引。

TLS.客户端.X509.公钥大小

公钥空间的大小（以位为单位）。

类型: long

示例：2048

TLS.客户端.X509.序列号

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应格式化为不带冒号且为大写字符。

类型: keyword

示例：55FBB9C7DEBF09809D12CCAA

TLS.客户端.X509.签名算法

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型: keyword

示例：SHA256-RSA

TLS.客户端.X509.主体.通用名称

主题的通用名称 (CN) 列表。

类型: keyword

示例：shared.global.example.net

TLS.客户端.X509.主体.国家

国家/地区代码列表 ©

类型: keyword

示例：US

TLS.客户端.X509.主体.可分辨名称

证书主题实体的识别名称 (DN)。

类型: keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

TLS.客户端.X509.主体.地区

地区名称列表 (L)

类型: keyword

示例：San Francisco

TLS.客户端.X509.主体.组织

主题的组织 (O) 列表。

类型: keyword

示例：Example, Inc.

TLS.客户端.X509.主体.组织单位

主题的组织单位 (OU) 列表。

类型: keyword

TLS.客户端.X509.主体.州或省

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

TLS.客户端.X509.版本号

x509 格式的版本。

类型: keyword

示例：3

TLS.曲线

指示在适用情况下，给定密码使用的曲线的字符串。

类型: keyword

示例：secp256r1

TLS.已建立

布尔标志，指示 TLS 协商是否成功并过渡到加密隧道。

类型：布尔值

TLS.下一个协议

指示正在隧道传输的协议的字符串。根据 IANA 注册表中的值（https://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml#alpn-protocol-ids），此字符串应为小写。

类型: keyword

示例：http/1.1

TLS.已恢复

布尔标志，指示此 TLS 连接是否从现有的 TLS 协商中恢复。

类型：布尔值

TLS.服务器.证书

服务器提供的 PEM 编码的独立证书。这通常与 server.certificate_chain 互斥，因为此值也存在于该列表中。

类型: keyword

示例：MII…

TLS.服务器.证书链

构成服务器提供的证书链的 PEM 编码证书数组。这通常与 server.certificate 互斥，因为该值应该是链中的第一个证书。

类型: keyword

示例：["MII…", "MII…"]

TLS.服务器.哈希.MD5

使用服务器提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型: keyword

示例：0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC

TLS.服务器.哈希.SHA1

使用服务器提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型: keyword

示例：9E393D93138888D288266C2D915214D1D1CCEB2A

TLS.服务器.哈希.SHA256

使用服务器提供的证书的 DER 编码版本的 SHA256 散列值计算的证书指纹。为与其他散列值保持一致，此值应格式化为大写散列。

类型: keyword

示例：0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0

tls.server.issuer

服务器提供的 x.509 证书的发行者的主题。

类型: keyword

示例：CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com

tls.server.ja3s

一个基于服务器执行 SSL/TLS 握手方式来识别服务器的散列值。

类型: keyword

示例：394441ab65754e2207b1e1b457b3641d

tls.server.not_after

指示服务器证书何时不再被视为有效的的时间戳。

类型: date

示例：2021-01-01T00:00:00.000Z

tls.server.not_before

指示服务器证书何时首次被视为有效的时间戳。

类型: date

示例：1970-01-01T00:00:00.000Z

tls.server.subject

服务器提供的 x.509 证书的主题。

类型: keyword

示例：CN=www.example.com, OU=Infrastructure Team, DC=example, DC=com

tls.server.x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型: keyword

示例：*.elastic.co

tls.server.x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型: keyword

示例：Example SHA2 High Assurance Server CA

tls.server.x509.issuer.country

国家/地区代码列表 ©

类型: keyword

示例：US

tls.server.x509.issuer.distinguished_name

颁发证书颁发机构的识别名称 (DN)。

类型: keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

tls.server.x509.issuer.locality

地区名称列表 (L)

类型: keyword

示例：Mountain View

tls.server.x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型: keyword

示例：Example Inc

tls.server.x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型: keyword

示例：www.example.com

tls.server.x509.issuer.state_or_province

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

tls.server.x509.not_after

证书不再被视为有效的时间。

类型: date

示例：2020-07-16 03:15:39+00:00

tls.server.x509.not_before

证书首次被视为有效的时间。

类型: date

示例：2019-08-16 01:40:25+00:00

tls.server.x509.public_key_algorithm

用于生成公钥的算法。

类型: keyword

示例：RSA

tls.server.x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型: keyword

示例：nistp521

tls.server.x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型: long

示例：65537

字段未被索引。

tls.server.x509.public_key_size

公钥空间的大小（以位为单位）。

类型: long

示例：2048

tls.server.x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应格式化为不带冒号且为大写字符。

类型: keyword

示例：55FBB9C7DEBF09809D12CCAA

tls.server.x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型: keyword

示例：SHA256-RSA

tls.server.x509.subject.common_name

主题的通用名称 (CN) 列表。

类型: keyword

示例：shared.global.example.net

tls.server.x509.subject.country

国家/地区代码列表 ©

类型: keyword

示例：US

tls.server.x509.subject.distinguished_name

证书主题实体的识别名称 (DN)。

类型: keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

tls.server.x509.subject.locality

地区名称列表 (L)

类型: keyword

示例：San Francisco

tls.server.x509.subject.organization

主题的组织 (O) 列表。

类型: keyword

示例：Example, Inc.

tls.server.x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型: keyword

tls.server.x509.subject.state_or_province

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

tls.server.x509.version_number

x509 格式的版本。

类型: keyword

示例：3

tls.version

从原始字符串中解析的版本的数字部分。

类型: keyword

示例：1.2

tls.version_protocol

从原始字符串中解析的规范化的小写协议名称。

类型: keyword

示例：tls

span.id

跨度在其跟踪范围内的唯一标识符。跨度表示事务中的一个操作，例如对另一个服务的请求或数据库查询。

类型: keyword

示例：3ff9a8981b7ccd5a

trace.id

跟踪的唯一标识符。跟踪对属于一起的多个事件（如事务）进行分组。例如，由多个相互连接的服务处理的用户请求。

类型: keyword

示例：4bf92f3577b34da6a3ce929d0e0e4736

transaction.id

事务在其跟踪范围内的唯一标识符。事务是在服务中测量的最高级别的工作，例如对服务器的请求。

类型: keyword

示例：00f067aa0ba902b7

url

URL 字段支持完整或部分 URL，并支持将其分解为方案、域名、路径等。

url.domain

类型: keyword

示例：www.elastic.co

url.extension

类型: keyword

示例：png

url.fragment

URL 中 # 之后的片段，例如“top”。# 不是片段的一部分。

类型: keyword

url.full

如果完整 URL 对您的用例很重要，则应将其存储在 url.full 中，无论此字段是重建的还是存在于事件源中。

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top

url.full.text

类型: match_only_text

url.original

类型：通配符

示例：https://elastic.ac.cn:443/search?q=elasticsearch#top 或 /search?q=elasticsearch

url.original.text

类型: match_only_text

url.password

请求的密码。

类型: keyword

url.path

请求的路径，例如“/search”。

类型：通配符

url.port

请求的端口，例如 443。

类型: long

示例：443

格式: string

url.query

类型: keyword

url.registered_domain

类型: keyword

示例: example.com

url.scheme

请求的方案，例如“https”。注意：: 不是方案的一部分。

类型: keyword

示例：https

url.subdomain

类型: keyword

示例: east

url.top_level_domain

类型: keyword

示例: co.uk

url.username

请求的用户名。

类型: keyword

user

用户字段描述与事件相关的信息。字段可以有一个条目或多个条目。如果用户有多个 ID，则提供包含所有 ID 的数组。

user.changes.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

user.changes.email

用户电子邮件地址。

类型: keyword

user.changes.full_name

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

user.changes.full_name.text

类型: match_only_text

user.changes.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

user.changes.group.id

系统/平台上组的唯一标识符。

类型: keyword

user.changes.group.name

组的名称。

类型: keyword

user.changes.hash

唯一的用户哈希，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型: keyword

user.changes.id

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

user.changes.name

用户的简称或登录名。

类型: keyword

示例: a.einstein

user.changes.name.text

类型: match_only_text

user.changes.roles

事件发生时用户角色的数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

user.effective.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

user.effective.email

用户电子邮件地址。

类型: keyword

user.effective.full_name

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

user.effective.full_name.text

类型: match_only_text

user.effective.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

user.effective.group.id

系统/平台上组的唯一标识符。

类型: keyword

user.effective.group.name

组的名称。

类型: keyword

user.effective.hash

唯一的用户哈希，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型: keyword

user.effective.id

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

user.effective.name

用户的简称或登录名。

类型: keyword

示例: a.einstein

user.effective.name.text

类型: match_only_text

user.effective.roles

事件发生时用户角色的数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

user.email

用户电子邮件地址。

类型: keyword

user.full_name

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

user.full_name.text

类型: match_only_text

user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

user.group.id

系统/平台上组的唯一标识符。

类型: keyword

user.group.name

组的名称。

类型: keyword

user.hash

唯一的用户哈希，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型: keyword

user.id

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

user.name

用户的简称或登录名。

类型: keyword

示例: a.einstein

user.name.text

类型: match_only_text

user.roles

事件发生时用户角色的数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

user.target.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

user.target.email

用户电子邮件地址。

类型: keyword

user.target.full_name

用户的全名（如果可用）。

类型: keyword

示例: Albert Einstein

user.target.full_name.text

类型: match_only_text

user.target.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型: keyword

user.target.group.id

系统/平台上组的唯一标识符。

类型: keyword

user.target.group.name

组的名称。

类型: keyword

user.target.hash

唯一的用户哈希，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则很有用。

类型: keyword

user.target.id

用户的唯一标识符。

类型: keyword

示例: S-1-5-21-202424912787-2692429404-2351956786-1000

user.target.name

用户的简称或登录名。

类型: keyword

示例: a.einstein

user.target.name.text

类型: match_only_text

user.target.roles

事件发生时用户角色的数组。

类型: keyword

示例: ["kibana_admin", "reporting_user"]

user_agent

user_agent 字段通常来自浏览器请求。它们通常出现在来自已解析的用户代理字符串的 Web 服务日志中。

user_agent.device.name

设备的名称。

类型: keyword

示例：iPhone

user_agent.name

用户代理的名称。

类型: keyword

示例：Safari

user_agent.original

未解析的用户代理字符串。

类型: keyword

示例：Mozilla/5.0 (iPhone; CPU iPhone OS 12_1 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0 Mobile/15E148 Safari/604.1

user_agent.original.text

类型: match_only_text

user_agent.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型: keyword

示例：debian

user_agent.os.full

操作系统名称，包括版本或代号。

类型: keyword

示例：Mac OS Mojave

user_agent.os.full.text

类型: match_only_text

user_agent.os.kernel

作为原始字符串的操作系统内核版本。

类型: keyword

示例：4.4.0-112-generic

user_agent.os.name

操作系统名称，不包括版本。

类型: keyword

示例：Mac OS X

user_agent.os.name.text

类型: match_only_text

user_agent.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

类型: keyword

示例：darwin

user_agent.os.type

类型: keyword

示例：macos

user_agent.os.version

作为原始字符串的操作系统版本。

类型: keyword

示例：10.14.1

user_agent.version

用户代理的版本。

类型: keyword

示例：12.0

vlan

VLAN 字段用于识别数据包的 802.1q 标记，以及观察者相对于特定数据包或连接的入口和出口 VLAN 关联。Network.vlan 字段用于记录观察到的数据包或连接的单个 VLAN 标记，或者在 q-in-q 封装情况下记录外部标记，通常由被动报告流量的网络传感器（例如 Zeek、Wireshark）提供。Network.inner VLAN 字段用于报告观察到的内部 q-in-q 802.1q 标记（多个 802.1q 封装），通常由被动报告流量的网络传感器（例如 Zeek、Wireshark）提供。Network.inner VLAN 字段应仅与 network.vlan 字段一起使用，以指示 q-in-q 标记。Observer.ingress 和 observer.egress VLAN 值用于记录观察者特定信息，当观察者事件包含离散的入口和出口 VLAN 信息时，通常由防火墙、路由器或负载均衡器提供。

vlan.id

观察者报告的 VLAN ID。

类型: keyword

示例：10

vlan.name

观察者报告的可选 VLAN 名称。

类型: keyword

示例：outside

vulnerability

漏洞字段描述与事件相关的漏洞信息。

vulnerability.category

漏洞影响的系统或架构类型。这些可能是特定于平台的（例如，Debian 或 SUSE）或通用的（例如，数据库或防火墙）。例如（Qualys 漏洞类别）此字段必须是数组。

类型: keyword

示例：["Firewall"]

vulnerability.classification

漏洞评分系统的分类。例如（https://www.first.org/cvss/）

类型: keyword

示例：CVSS

vulnerability.description

漏洞的描述，提供漏洞的附加上下文。例如（常见漏洞和暴露 CVE 描述）

类型: keyword

示例：在 2.12.6 之前的 macOS 中，RPC 中存在漏洞…

vulnerability.description.text

类型: match_only_text

vulnerability.enumeration

用于此漏洞的标识符类型。例如（https://cve.mitre.org/about/）

类型: keyword

示例：CVE

vulnerability.id

标识（ID）是漏洞条目的数字部分。它包含漏洞的唯一标识号。例如（常见漏洞和暴露 CVE ID

类型: keyword

示例：CVE-2019-00001

vulnerability.reference

提供已识别漏洞的附加信息、上下文和缓解措施的资源。

类型: keyword

示例：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6111

vulnerability.report_id

报告或扫描标识号。

类型: keyword

示例：20191018.0001

vulnerability.scanner.vendor

漏洞扫描器供应商的名称。

类型: keyword

示例：Tenable

vulnerability.score.base

分数范围从 0.0 到 10.0，其中 10.0 表示最严重。基本分数涵盖对可利用性指标（攻击载体、复杂性、特权和用户交互）、影响指标（机密性、完整性和可用性）以及范围的评估。例如（https://www.first.org/cvss/specification-document）

类型：float

示例：5.5

vulnerability.score.environmental

分数范围从 0.0 到 10.0，其中 10.0 表示最严重。环境分数涵盖对任何修改后的基本指标、机密性、完整性和可用性要求的评估。例如（https://www.first.org/cvss/specification-document）

类型：float

示例：5.5

vulnerability.score.temporal

分数范围从 0.0 到 10.0，其中 10.0 表示最严重。时间分数涵盖对代码成熟度、修复级别和置信度的评估。例如（https://www.first.org/cvss/specification-document）

类型：float

vulnerability.score.version

国家漏洞数据库 (NVD) 除了根据 CVSS v3.0 规范中定义的 CVSS v3.0 严重性评级之外，还为 CVSS v2.0 基本分数范围提供“低”、“中”和“高”的定性严重性评级。CVSS 由 FIRST.Org, Inc. (FIRST) 拥有和管理，FIRST 是一家总部位于美国的非营利组织，其使命是帮助全球的计算机安全事件响应团队。例如（https://nvd.nist.gov/vuln-metrics/cvss）

类型: keyword

示例：2.0

vulnerability.severity

漏洞的严重性可以帮助度量和内部优先级确定修复事项。例如（https://nvd.nist.gov/vuln-metrics/cvss）

类型: keyword

示例：严重

x509

这实现了 x509 证书的通用核心字段。此信息可能与 TLS 会话、可执行二进制文件中发现的数字签名、电子邮件正文中的 S/MIME 信息或磁盘上文件的分析一起记录。当证书与文件相关时，请使用 file.x509 下的字段。当 DER 编码证书的散列值可用时，也应填充 hash 数据集（例如 file.hash.sha256）。包含有关网络连接的证书信息的事件应在相关的 TLS 字段下使用 x509 字段：tls.server.x509 和/或 tls.client.x509。

x509.alternative_names

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型: keyword

示例：*.elastic.co

x509.issuer.common_name

颁发证书颁发机构的通用名称 (CN) 列表。

类型: keyword

示例：Example SHA2 High Assurance Server CA

x509.issuer.country

国家/地区代码列表 ©

类型: keyword

示例：US

x509.issuer.distinguished_name

颁发证书颁发机构的识别名称 (DN)。

类型: keyword

示例：C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

x509.issuer.locality

地区名称列表 (L)

类型: keyword

示例：Mountain View

x509.issuer.organization

颁发证书颁发机构的组织 (O) 列表。

类型: keyword

示例：Example Inc

x509.issuer.organizational_unit

颁发证书颁发机构的组织单位 (OU) 列表。

类型: keyword

示例：www.example.com

x509.issuer.state_or_province

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

x509.not_after

证书不再被视为有效的时间。

类型: date

示例：2020-07-16 03:15:39+00:00

x509.not_before

证书首次被视为有效的时间。

类型: date

示例：2019-08-16 01:40:25+00:00

x509.public_key_algorithm

用于生成公钥的算法。

类型: keyword

示例：RSA

x509.public_key_curve

椭圆曲线公钥算法使用的曲线。这是特定于算法的。

类型: keyword

示例：nistp521

x509.public_key_exponent

用于导出公钥的指数。这是特定于算法的。

类型: long

示例：65537

字段未被索引。

x509.public_key_size

公钥空间的大小（以位为单位）。

类型: long

示例：2048

x509.serial_number

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应格式化为不带冒号且为大写字符。

类型: keyword

示例：55FBB9C7DEBF09809D12CCAA

x509.signature_algorithm

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型: keyword

示例：SHA256-RSA

x509.subject.common_name

主题的通用名称 (CN) 列表。

类型: keyword

示例：shared.global.example.net

x509.subject.country

国家/地区代码列表 ©

类型: keyword

示例：US

x509.subject.distinguished_name

证书主题实体的识别名称 (DN)。

类型: keyword

示例：C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

x509.subject.locality

地区名称列表 (L)

类型: keyword

示例：San Francisco

x509.subject.organization

主题的组织 (O) 列表。

类型: keyword

示例：Example, Inc.

x509.subject.organizational_unit

主题的组织单位 (OU) 列表。

类型: keyword

x509.subject.state_or_province

州或省名称列表 (ST、S 或 P)

类型: keyword

示例：California

x509.version_number

x509 格式的版本。

类型: keyword

示例：3

« Docker 字段旧版 Winlogbeat 别名字段 »