这些是 Sysmon 模块特有的事件字段。
sysmon.dns.status
DNS 查询返回的 Windows 状态代码。
类型:keyword
sysmon.file.archived
指示已删除的文件是否已存档。
类型:boolean
sysmon.file.is_executable
指示已删除的文件是否为可执行文件。
最受欢迎
视频
Elasticsearch 入门
Kibana 简介
用于日志和指标的 ELK