ECS 字段

事件发生时的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

类型：date

示例：2016-05-23T08:05:34.853Z

必填：True

自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例：docker 和 k8s 标签。

类型：object

示例：{"application": "foo-bar", "env": "production"}

对于日志事件，message 字段包含日志消息，针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志，可以将其他字段连接起来，形成事件的人工可读摘要。如果存在多条消息，可以将它们组合成一条消息。

类型：match_only_text

示例：Hello World

用于标记每个事件的关键字列表。

类型：keyword

示例：["production", "env2"]

代理的扩展构建信息。此字段旨在包含数据源可能提供的任何构建信息，无需特定的格式。

类型：keyword

示例：metricbeat version 7.6.0 (amd64), libbeat 7.6.0 [6a23e8f8f30f5001ba344e4e54d8d9cb82cb107c built 2020-02-05 23:10:10 +0000 UTC]

此代理的临时标识符（如果存在）。此 ID 通常会在重启时更改，但 agent.id 不会。

类型：keyword

示例：8a4f500f

此代理的唯一标识符（如果存在）。示例：对于 Beats，这将是 beat.id。

类型：keyword

示例：8a4f500d

代理的自定义名称。这是一个可以赋予代理的名称。例如，如果两个 Filebeat 实例在同一主机上运行，但需要人工可读的分隔来区分数据来自哪个 Filebeat 实例，则这可能会很有帮助。如果未给出名称，则名称通常为空。

类型：keyword

示例：foo

代理的类型。代理类型始终保持不变，应由使用的代理给出。对于 Filebeat，即使两个 Filebeat 实例在同一台机器上运行，代理也将始终是 Filebeat。

类型：keyword

示例：filebeat

代理的版本。

类型：keyword

示例：6.0.0-rc2

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

组织名称。

类型：keyword

示例：Google LLC

类型：match_only_text

某些事件客户端地址的定义不明确。事件有时会列出 IP、域或 unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后应将其复制到 .ip 或 .domain，具体取决于它是哪个。

类型：keyword

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

组织名称。

类型：keyword

示例：Google LLC

类型：match_only_text

从客户端发送到服务器的字节数。

类型：long

示例：184

格式：bytes

客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件，也可能从富化添加。

类型：keyword

示例：foo.example.com

城市名称。

类型：keyword

示例：Montreal

表示大陆名称的两位字母代码。

类型：keyword

示例：NA

大陆的名称。

类型：keyword

示例：北美洲

国家 ISO 代码。

类型：keyword

示例：CA

国家名称。

类型：keyword

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在其关心的粒度级别。可以是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动化地理定位。

类型：keyword

示例：boston-dc

与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区差异很大。

类型：keyword

示例：94040

地区 ISO 代码。

类型：keyword

示例：CA-QC

地区名称。

类型：keyword

示例：Quebec

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

客户端的 IP 地址（IPv4 或 IPv6）。

类型：ip

客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即，8 位字节）都用两个 [大写] 十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

类型：keyword

示例：00-00-5E-00-53-23

基于 NAT 会话的源的转换 IP（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

类型：ip

基于 NAT 会话的源的转换端口（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

类型：long

格式：string

从客户端发送到服务器的数据包。

类型：long

示例：12

客户端的端口。

类型：long

格式：string

最高的已注册客户端域，去掉了子域。例如，“foo.example.com”的已注册域是“example.com”。可以使用诸如公共后缀列表之类的列表精确地确定此值 (http://publicsuffix.org)。尝试仅取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将不起作用。

类型：keyword

示例：example.com

完全限定域名的子域部分包括已注册域下所有名称，但不包括主机名。在部分限定的域中，或者如果无法确定全名的限定级别，则子域包含已注册域下的所有名称。例如，“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，不带尾随句点。

类型：keyword

示例：east

有效的顶级域名 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域名是“com”。可以使用诸如公共后缀列表之类的列表精确地确定此值 (http://publicsuffix.org)。尝试仅取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。

类型：keyword

示例：co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

用户电子邮件地址。

类型：keyword

用户的全名（如果可用）。

类型：keyword

示例：Albert Einstein

类型：match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

系统/平台上组的唯一标识符。

类型：keyword

组的名称。

类型：keyword

唯一的用户哈希，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则此方法很有用。

类型：keyword

用户的唯一标识符。

类型：keyword

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

用户的简称或登录名。

类型：keyword

示例：a.einstein

类型：match_only_text

事件发生时用户的角色数组。

类型：keyword

示例：["kibana_admin", "reporting_user"]

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：keyword

示例：666777888999

用于在多租户环境中标识不同实体的云帐户名称或别名。示例：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：keyword

示例：elastic-dev

此主机、资源或服务所在的可用区。

类型：keyword

示例：us-east-1c

主机机器的实例 ID。

类型：keyword

示例：i-1234567890abcdef0

主机机器的实例名称。

类型：keyword

主机机器的机器类型。

类型：keyword

示例：t2.medium

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：keyword

示例：666777888999

用于在多租户环境中标识不同实体的云帐户名称或别名。示例：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：keyword

示例：elastic-dev

此主机、资源或服务所在的可用区。

类型：keyword

示例：us-east-1c

主机机器的实例 ID。

类型：keyword

示例：i-1234567890abcdef0

主机机器的实例名称。

类型：keyword

主机机器的机器类型。

类型：keyword

示例：t2.medium

云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

类型：keyword

示例：my-project

云项目名称。示例：Google Cloud 项目名称、Azure 项目名称。

类型：keyword

示例：my project

云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。

类型：keyword

示例：aws

此主机、资源或服务所在的区域。

类型：keyword

示例：us-east-1

云服务名称旨在区分同一提供商内不同平台上运行的服务，例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。示例：app engine、app service、cloud run、fargate、lambda。

类型：keyword

示例：lambda

云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

类型：keyword

示例：my-project

云项目名称。示例：Google Cloud 项目名称、Azure 项目名称。

类型：keyword

示例：my project

云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。

类型：keyword

示例：aws

此主机、资源或服务所在的区域。

类型：keyword

示例：us-east-1

云服务名称旨在区分同一提供商内不同平台上运行的服务，例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。示例：app engine、app service、cloud run、fargate、lambda。

类型：keyword

示例：lambda

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

类型：keyword

示例：666777888999

用于在多租户环境中标识不同实体的云帐户名称或别名。示例：AWS 帐户名称、Google Cloud ORG 显示名称。

类型：keyword

示例：elastic-dev

此主机、资源或服务所在的可用区。

类型：keyword

示例：us-east-1c

主机机器的实例 ID。

类型：keyword

示例：i-1234567890abcdef0

主机机器的实例名称。

类型：keyword

主机机器的机器类型。

类型：keyword

示例：t2.medium

云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

类型：keyword

示例：my-project

云项目名称。示例：Google Cloud 项目名称、Azure 项目名称。

类型：keyword

示例：my project

云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。

类型：keyword

示例：aws

此主机、资源或服务所在的区域。

类型：keyword

示例：us-east-1

云服务名称旨在区分同一提供商内不同平台上运行的服务，例如 AWS EC2 与 Lambda、GCP GCE 与 App Engine、Azure VM 与 App Server。示例：app engine、app service、cloud run、fargate、lambda。

类型：keyword

示例：lambda

用于对进程进行签名的哈希算法。当文件被同一签名者多次签名，但使用不同的摘要算法时，此值可以区分签名。

类型：keyword

示例：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

用于对进程进行签名的标识符。这用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：keyword

示例：com.apple.xpc.proxy

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误很有用。如果证书的有效性或信任度未检查，则保持未填充状态。

类型：keyword

示例：ERROR_UNTRUSTED_ROOT

代码签名者的主题名称

类型：keyword

示例：Microsoft Corporation

用于对进程进行签名的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：keyword

示例：EQHXZ8M8AV

生成和签署代码签名时的日期和时间。

类型：date

示例：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则保持未填充状态。

类型：布尔值

示例：true

CPU 使用百分比，通过 CPU 核心数进行标准化，范围为 0 到 1。缩放因子：1000。

类型：scaled_float

自上次指标收集以来，成功读取的字节总数（计量）（从所有磁盘聚合）。

类型：long

自上次指标收集以来，成功写入的字节总数（计量）（从所有磁盘聚合）。

类型：long

唯一的容器 ID。

类型：keyword

容器构建所基于的映像的名称。

类型：keyword

容器映像标签。

类型：keyword

映像标签。

类型：object

内存使用率百分比，范围为 0 到 1。缩放因子：1000。

类型：scaled_float

容器名称。

类型：keyword

自上次指标收集以来，容器在所有网络接口上发出的字节数（计量）。

类型：long

自上次指标收集以来，容器在所有网络接口上接收的字节数（计量）。

类型：long

管理此容器的运行时。

类型：keyword

示例：docker

该字段可以包含任何对表示数据源有意义的内容。示例包括 nginx.access、 prometheus、 endpoint 等。对于其他方面适合，但未设置数据集的数据流，我们对数据集值使用值“generic”。event.dataset 应与 data_stream.dataset 具有相同的值。除了上面提到的 Elasticsearch 数据流命名标准之外，dataset 值还有其他限制：* 不得包含 - * 不得超过 100 个字符

类型：constant_keyword

示例：nginx.access

用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织其索引，而数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 default 填充此字段。如果未使用任何值，则会回退到 default。除了上面提到的 Elasticsearch 索引命名标准之外，namespace 值还有其他限制：* 不得包含 - * 不得超过 100 个字符

类型：constant_keyword

示例：production

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们希望在不久的将来也添加“traces”和“synthetics”。

类型：constant_keyword

示例：logs

某些事件目标地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后，应将其复制到 .ip 或 .domain，具体取决于它是哪个。

类型：keyword

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

组织名称。

类型：keyword

示例：Google LLC

类型：match_only_text

从目标发送到源的字节数。

类型：long

示例：184

格式：bytes

目标系统的域名。此值可以是主机名、完全限定的域名或其他主机命名格式。该值可能来自原始事件，也可能是从扩充中添加的。

类型：keyword

示例：foo.example.com

城市名称。

类型：keyword

示例：Montreal

表示大陆名称的两位字母代码。

类型：keyword

示例：NA

大陆的名称。

类型：keyword

示例：北美洲

国家 ISO 代码。

类型：keyword

示例：CA

国家名称。

类型：keyword

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在其关心的粒度级别。可以是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动化地理定位。

类型：keyword

示例：boston-dc

与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区差异很大。

类型：keyword

示例：94040

地区 ISO 代码。

类型：keyword

示例：CA-QC

地区名称。

类型：keyword

示例：Quebec

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

目标 IP 地址（IPv4 或 IPv6）。

类型：ip

目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

类型：keyword

示例：00-00-5E-00-53-23

基于 NAT 会话转换的目标 IP（例如，互联网到专用 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

类型：ip

源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。

类型：long

格式：string

从目标发送到源的数据包。

类型：long

示例：12

目标端口。

类型：long

格式：string

最高的已注册目标域，去除子域。例如，“foo.example.com”的已注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。尝试简单地取最后两个标签来近似此值，对于诸如“co.uk”之类的 TLD 来说效果不佳。

类型：keyword

示例：example.com

完全限定域名的子域部分包括已注册域下所有名称，但不包括主机名。在部分限定的域中，或者如果无法确定全名的限定级别，则子域包含已注册域下的所有名称。例如，“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，不带尾随句点。

类型：keyword

示例：east

有效的顶级域名 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域名是“com”。可以使用诸如公共后缀列表之类的列表精确地确定此值 (http://publicsuffix.org)。尝试仅取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。

类型：keyword

示例：co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

用户电子邮件地址。

类型：keyword

用户的全名（如果可用）。

类型：keyword

示例：Albert Einstein

类型：match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

系统/平台上组的唯一标识符。

类型：keyword

组的名称。

类型：keyword

唯一的用户哈希，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则此方法很有用。

类型：keyword

用户的唯一标识符。

类型：keyword

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

用户的简称或登录名。

类型：keyword

示例：a.einstein

类型：match_only_text

事件发生时用户的角色数组。

类型：keyword

示例：["kibana_admin", "reporting_user"]

用于对进程进行签名的哈希算法。当文件被同一签名者多次签名，但使用不同的摘要算法时，此值可以区分签名。

类型：keyword

示例：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

用于对进程进行签名的标识符。这用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：keyword

示例：com.apple.xpc.proxy

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误很有用。如果证书的有效性或信任度未检查，则保持未填充状态。

类型：keyword

示例：ERROR_UNTRUSTED_ROOT

代码签名者的主题名称

类型：keyword

示例：Microsoft Corporation

用于对进程进行签名的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：keyword

示例：EQHXZ8M8AV

生成和签署代码签名时的日期和时间。

类型：date

示例：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则保持未填充状态。

类型：布尔值

示例：true

MD5 哈希值。

类型：keyword

SHA1 哈希值。

类型：keyword

SHA256 哈希值。

类型：keyword

SHA512 哈希值。

类型：keyword

SSDEEP 哈希值。

类型：keyword

库的名称。这通常映射到磁盘上的文件名。

类型：keyword

示例：kernel32.dll

库的完整文件路径。

类型：keyword

示例：C:\Windows\System32\kernel32.dll

该文件的目标 CPU 架构。

类型：keyword

示例：x64

该文件的内部公司名称，在编译时提供。

类型：keyword

示例：Microsoft Corporation

该文件的内部描述，在编译时提供。

类型：keyword

示例：Paint

该文件的内部版本号，在编译时提供。

类型：keyword

示例：6.3.9600.17415

PE 文件中导入的哈希值。imphash（或导入哈希值）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后也是如此，这些转换会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型：keyword

示例：0c6803c4e922103c4dca5963aad36ddf

该文件的内部名称，在编译时提供。

类型：keyword

示例：MSPAINT.EXE

该文件的内部产品名称，在编译时提供。

类型：keyword

示例：Microsoft® Windows® Operating System

一个数组，其中包含服务器返回的每个答案部分的对象。这些对象中应存在的主要键由 ECS 定义。具有更多信息的记录可能包含比 ECS 定义的更多的键。并非所有 DNS 数据源都提供有关 DNS 答案的所有详细信息。至少，答案对象必须包含 data 键。如果有更多信息可用，请尽可能将其映射到 ECS，并将任何其他字段作为自定义字段添加到答案对象中。

类型：object

此资源记录中包含的 DNS 数据的类。

类型：keyword

示例：IN

描述资源的数据。此数据的含义取决于资源记录的类型和类。

类型：keyword

示例：10.10.10.10

此资源记录所属的域名。如果要解析 CNAME 链，则每个答案的 name 都应是与答案的 data 相对应的那个。它不应只是重复原始的 question.name。

类型：keyword

示例：www.example.com

此资源记录在被丢弃之前可以缓存的时间间隔（以秒为单位）。零值表示不应缓存数据。

类型：long

示例：180

此资源记录中包含的数据类型。

类型：keyword

示例：CNAME

2 个字母的 DNS 标头标志数组。预期值为：AA、TC、RD、RA、AD、CD、DO。

类型：keyword

示例：["RD", "RA"]

生成查询的程序分配的 DNS 数据包标识符。该标识符将复制到响应中。

类型：keyword

示例：62111

指定消息中查询类型的 DNS 操作代码。此值由查询的发起者设置，并复制到响应中。

类型：keyword

示例：QUERY

正在查询的记录的类。

类型：keyword

示例：IN

正在查询的名称。如果 name 字段包含不可打印字符（低于 32 或高于 126），则这些字符应表示为转义的十进制整数 (\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

类型：keyword

示例：www.example.com

最高的已注册域，去除子域。例如，“foo.example.com”的已注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。尝试简单地取最后两个标签来近似此值，对于诸如“co.uk”之类的 TLD 来说效果不佳。

类型：keyword

示例：example.com

子域是 registered_domain 下的所有标签。如果域具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，没有尾随句点。

类型：keyword

示例：www

有效的顶级域名 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域名是“com”。可以使用诸如公共后缀列表之类的列表精确地确定此值 (http://publicsuffix.org)。尝试仅取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。

类型：keyword

示例：co.uk

正在查询的记录类型。

类型：keyword

示例：AAAA

包含在 answers.data 中看到的所有 IP 的数组。answers 数组可能难以使用，因为它可能包含各种数据格式。将其中看到的所有 IP 地址提取到 dns.resolved_ip 中，可以将其索引为 IP 地址，并且更容易可视化和查询它们。

类型：ip

示例：["10.10.10.10", "10.10.10.11"]

DNS 响应代码。

类型：keyword

示例：NOERROR

捕获的 DNS 事件类型，查询或答案。如果您的 DNS 事件来源仅提供 DNS 查询，则您应仅创建类型为 dns.type:query 的 dns 事件。如果您的 DNS 事件来源也提供答案，则您应为每个查询创建一个事件（可以选择在看到查询时立即创建）。第二个事件包含所有查询详细信息以及答案数组。

类型：keyword

示例：answer

此事件符合的 ECS 版本。ecs.version 是必需字段，并且必须存在于所有事件中。在跨多个索引（可能符合略有不同的 ECS 版本）进行查询时，此字段允许集成适应事件的架构版本。

类型：keyword

示例：1.0.0

必填：True

ELF 文件的机器架构。

类型：keyword

示例：x86-64

ELF 文件的字节序。

类型：keyword

示例：Little Endian

ELF 文件的 CPU 类型。

类型：keyword

示例：Intel

尽可能从文件的元数据中提取。指示何时构建或编译它。它也可能被恶意软件创建者伪造。

类型：date

导出的元素名称和类型列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型：keyword

ELF 文件的标头类。

类型：keyword

ELF 标头的数据表。

类型：keyword

ELF 文件的标头入口点。

类型：long

格式：string

原始 ELF 文件的“0x1”。

类型：keyword

Linux OS 的应用程序二进制接口 (ABI)。

类型：keyword

ELF 文件的标头类型。

类型：keyword

ELF 标头的版本。

类型：keyword

导入的元素名称和类型列表。

类型：扁平化

一个数组，其中包含 ELF 文件的每个部分的对象。这些对象中应存在的键由 elf.sections.* 下方的子字段定义。

类型：嵌套

该部分的卡方概率分布。

类型：long

格式：数字

来自该部分的香农熵计算。

类型：long

格式：数字

ELF 部分列表标志。

类型：keyword

ELF 部分列表名称。

类型：keyword

ELF 部分列表偏移量。

类型：keyword

ELF 部分列表物理大小。

类型：long

格式：bytes

ELF 部分列表类型。

类型：keyword

ELF 部分列表虚拟地址。

类型：long

格式：string

ELF 部分列表虚拟大小。

类型：long

格式：string

一个数组，其中包含 ELF 文件的每个段的对象。这些对象中应存在的键由 elf.segments.* 下方的子字段定义。

类型：嵌套

ELF 对象段部分。

类型：keyword

ELF 对象段类型。

类型：keyword

此 ELF 对象使用的共享库列表。

类型：keyword

ELF 文件的 telfhash 符号哈希值。

类型：keyword

描述错误的代码。

类型：keyword

错误的唯一标识符。

类型：keyword

错误消息。

类型：match_only_text

此错误的堆栈跟踪，以纯文本形式表示。

type: wildcard

类型：match_only_text

错误的类型，例如异常的类名。

类型：keyword

示例: java.lang.NullPointerException

事件捕获的操作。它描述事件中的信息。它比 event.category 更具体。例如：group-add、process-started、file-created。该值通常由实现者定义。

类型：keyword

示例: user-password-change

代理通常负责填充 agent.id 字段值。如果接收事件的系统能够根据客户端的身份验证信息验证该值，则可以使用此字段来反映验证结果。例如，如果代理的连接使用 mTLS 进行身份验证，并且客户端证书包含颁发证书的代理 ID，则可以根据证书检查事件中的 agent.id 值。如果值匹配，则将 event.agent_id_status: verified 添加到事件，否则应使用其他允许的值之一。如果未执行验证，则应省略该字段。允许的值为：verified - agent.id 字段值与从身份验证元数据获得的预期值匹配。mismatch - agent.id 字段值与从身份验证元数据获得的预期值不匹配。missing - 事件中没有 agent.id 字段要验证。auth_metadata_missing - 没有身份验证元数据，或者缺少有关代理 ID 的信息。

类型：keyword

示例: verified

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第二层。event.category 表示 ECS 类别的“大类”。例如，筛选 event.category:process 将生成所有与进程活动相关的事件。此字段与作为子类别的 event.type 密切相关。此字段是一个数组。这将允许正确分类属于多个类别的某些事件。

类型：keyword

示例: authentication

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确标识消息，而不考虑消息语言或随着时间的推移进行的措辞调整。例如 Windows 事件 ID。

类型：keyword

示例: 4648

event.created 包含代理或管道首次读取事件的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。可以使用此差异来计算源生成事件与代理首次处理该事件之间的时间延迟。这可以用于监视代理或管道跟上事件源的能力。如果两个时间戳相同，则应使用 @timestamp。

类型：date

示例: 2016-05-23T08:05:34.857Z

数据集的名称。如果事件源发布多种类型的日志或事件（例如，访问日志、错误日志），则数据集用于指定事件来自哪个日志或事件。建议但不强制要求数据集名称以模块名称开头，后跟一个点，然后是数据集名称。

类型：keyword

示例: apache.access

事件的持续时间，以纳秒为单位。如果知道 event.start 和 event.end，则此值应为结束时间和开始时间之间的差值。

类型：long

格式: duration

event.end 包含事件结束的日期或上次观察到活动的时间。

类型：date

原始字段的哈希值（可能是 logstash 指纹），以便能够演示日志的完整性。

类型：keyword

示例: 123456789012345678901234567890ABCD

用于描述事件的唯一 ID。

类型：keyword

示例：8a4f500d

事件到达中央数据存储的时间戳。这与 @timestamp 不同，后者是事件最初发生的时间。它也与 event.created 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳在时间顺序上应如下所示：@timestamp < event.created < event.ingested。

类型：date

示例: 2016-05-23T08:05:35.101Z

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最高级别。event.kind 提供有关事件包含的信息类型的高级信息，而无需具体说明事件的内容。例如，此字段的值将警报事件与指标事件区分开来。此字段的值可用于通知应如何处理这些类型的事件。它们可能需要不同的保留期、不同的访问控制，它还有助于了解传入的数据是否按常规间隔传入。

类型：keyword

示例: alert

此数据来自的模块名称。如果您的监视代理支持模块或插件的概念来处理给定来源的事件（例如，Apache 日志），则 event.module 应包含此模块的名称。

类型：keyword

示例: apache

整个事件的原始文本消息。用于演示日志完整性，或者在可能需要完整日志消息（在将其拆分为多个部分之前）的情况下，例如，对于重新索引。此字段未编入索引，并且 doc_values 已禁用。它无法搜索，但可以从 _source 中检索。如果用户希望覆盖此设置并为此字段编制索引，请参阅 Elasticsearch Reference 中的 字段数据类型。

类型：keyword

示例: Sep 19 08:26:10 host CEF:0|Security| threatmanager|1.0|100| worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2spt=1232

字段未编制索引。

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最低级别。event.outcome 仅表示从生成事件的实体的角度来看，该事件是成功还是失败。请注意，当在多个事件中描述单个事务时，每个事件可能会根据其角度填充不同的 event.outcome 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，应使用最能从事件生成者的角度捕获整体成功或失败的值填充此字段。此外，并非所有事件都将具有关联的结果。例如，此字段通常不为指标事件、具有 event.type:info 的事件或任何结果不符合逻辑的事件填充。

类型：keyword

示例: success

事件的来源。事件传输（例如 Syslog 或 Windows 事件日志）通常会提及事件的来源。它可以是生成事件的软件名称（例如，Sysmon、httpd）或操作系统的子系统名称（内核、Microsoft-Windows-Security-Auditing）。

类型：keyword

示例: kernel

根据来源，此事件发生的原因。它描述了事件中捕获的特定操作或结果的原因。当 event.action 捕获事件中的操作时，event.reason 描述了采取该操作的原因。例如，具有 event.action 的 Web 代理拒绝请求，也可能会使用原因（例如 blocked site）填充 event.reason。

类型：keyword

示例: Terminated an unexpected process

指向有关此事件的其他信息的参考 URL。此 URL 链接到此事件的静态定义。由 event.kind:alert 指示的警报事件是此字段的常见用例。

类型：keyword

示例: https://system.example.com/event/#0001234

事件的风险评分或优先级（例如，安全解决方案）。在此处使用系统的原始值。

类型: float

事件的标准化风险评分或优先级，范围为 0 到 100。如果您使用多个分配风险评分的系统，并且希望查看所有系统的标准化值，则此值非常有用。

类型: float

事件的序列号。序列号是某些事件源发布的值，用于使事件的精确顺序明确，而不考虑时间戳精度。

类型：long

格式：string

根据事件源，事件的数值严重性。不同的严重性值含义可能因来源和用例而异。由实施者负责确保同一来源的事件的严重性一致。Syslog 严重性属于 log.syslog.severity.code。event.severity 旨在表示根据事件源（例如，防火墙、IDS）的严重性。如果事件源未发布其自己的严重性，您可以选择将 log.syslog.severity.code 复制到 event.severity。

类型：long

示例: 7

格式：string

event.start 包含事件开始的日期或首次观察到活动的时间。

类型：date

当事件的时间戳不包含时区信息时（例如，默认 Syslog 时间戳），应填充此字段。否则，它是可选的。可接受的时区格式为：规范 ID（例如，“Europe/Amsterdam”）、缩写（例如，“EST”）或 HH:mm 差值（例如，“-05:00”）。

类型：keyword

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第三层。event.type 表示分类的“子类别”，与 event.category 字段值一起使用时，可以将事件筛选到适合单个可视化的级别。此字段是一个数组。这将允许正确分类属于多个事件类型的某些事件。

类型：keyword

链接到外部系统以继续调查此事件的 URL。此 URL 链接到另一个系统，可以在该系统中对该事件的特定发生情况进行深入调查。由 event.kind:alert 指示的警报事件是此字段的常见用例。

类型：keyword

示例: https://mysystem.example.com/alert/5271dedb-f5b0-4218-87f0-4ac4870a38fe

布尔值，指示函数的冷启动。

类型：布尔值

当前函数执行的执行 ID。

类型：keyword

示例: af9d5aa4-a685-4c5f-a22b-444f80b3cc28

有关函数触发器的详细信息。

类型：嵌套

触发器请求、消息、事件等的 ID。

类型：keyword

示例: 123456789

函数执行的触发器。预期值为：* http * pubsub * datasource * timer * other

类型：keyword

示例: http

上次访问文件的时间。请注意，并非所有文件系统都会跟踪访问时间。

类型：date

文件属性数组。属性名称会因平台而异。以下是此字段中预期值的不完全列表：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型：keyword

示例: ["readonly", "system"]

用于对进程进行签名的哈希算法。当文件被同一签名者多次签名，但使用不同的摘要算法时，此值可以区分签名。

类型：keyword

示例：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

用于对进程进行签名的标识符。这用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：keyword

示例：com.apple.xpc.proxy

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误很有用。如果证书的有效性或信任度未检查，则保持未填充状态。

类型：keyword

示例：ERROR_UNTRUSTED_ROOT

代码签名者的主题名称

类型：keyword

示例：Microsoft Corporation

用于对进程进行签名的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：keyword

示例：EQHXZ8M8AV

生成和签署代码签名时的日期和时间。

类型：date

示例：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则保持未填充状态。

类型：布尔值

示例：true

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型：date

上次更改文件属性或元数据的时间。请注意，更改文件内容将更新 mtime。这意味着 ctime 将同时调整，因为 mtime 是文件的属性。

类型：date

作为文件来源的设备。

类型：keyword

示例: sda

文件所在的目录。如果适用，应包括驱动器盘符。

类型：keyword

示例: /home/alice

文件所在的驱动器盘符。此字段仅在 Windows 上相关。该值应为大写，且不包含冒号。

类型：keyword

示例: C

ELF 文件的机器架构。

类型：keyword

示例：x86-64

ELF 文件的字节序。

类型：keyword

示例：Little Endian

ELF 文件的 CPU 类型。

类型：keyword

示例：Intel

尽可能从文件的元数据中提取。指示何时构建或编译它。它也可能被恶意软件创建者伪造。

类型：date

导出的元素名称和类型列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型：keyword

ELF 文件的标头类。

类型：keyword

ELF 标头的数据表。

类型：keyword

ELF 文件的标头入口点。

类型：long

格式：string

原始 ELF 文件的“0x1”。

类型：keyword

Linux OS 的应用程序二进制接口 (ABI)。

类型：keyword

ELF 文件的标头类型。

类型：keyword

ELF 标头的版本。

类型：keyword

导入的元素名称和类型列表。

类型：扁平化

一个数组，其中包含 ELF 文件的每个部分的对象。这些对象中应存在的键由 elf.sections.* 下方的子字段定义。

类型：嵌套

该部分的卡方概率分布。

类型：long

格式：数字

来自该部分的香农熵计算。

类型：long

格式：数字

ELF 部分列表标志。

类型：keyword

ELF 部分列表名称。

类型：keyword

ELF 部分列表偏移量。

类型：keyword

ELF 部分列表物理大小。

类型：long

格式：bytes

ELF 部分列表类型。

类型：keyword

ELF 部分列表虚拟地址。

类型：long

格式：string

ELF 部分列表虚拟大小。

类型：long

格式：string

一个数组，其中包含 ELF 文件的每个段的对象。这些对象中应存在的键由 elf.segments.* 下方的子字段定义。

类型：嵌套

ELF 对象段部分。

类型：keyword

ELF 对象段类型。

类型：keyword

此 ELF 对象使用的共享库列表。

类型：keyword

ELF 文件的 telfhash 符号哈希值。

类型：keyword

文件扩展名，不包括前导点。请注意，当文件名有多个扩展名 (example.tar.gz) 时，应仅捕获最后一个扩展名 ("gz"，而不是 "tar.gz")。

类型：keyword

示例: png

分支是与文件系统对象关联的附加数据。在 Linux 上，资源分支用于存储与文件系统对象相关的附加数据。文件始终具有至少一个用于数据部分的分支，并且可能存在其他分支。在 NTFS 上，这类似于备用数据流 (ADS)，并且文件的默认数据流仅称为 $DATA。Windows 通常使用 Zone.Identifier 来跟踪从 Internet 下载的内容。ADS 通常采用以下格式：C:\path\to\filename.extension:some_fork_name，并且 some_fork_name 是应该填充 fork_name 的值。filename.extension 应填充 file.name，并且 extension 应填充 file.extension。完整路径 file.path 将包括分支名称。

类型：keyword

示例: Zone.Identifer

文件的主要组 ID (GID)。

类型：keyword

示例: 1001

文件的主要组名称。

类型：keyword

示例: alice

MD5 哈希值。

类型：keyword

SHA1 哈希值。

类型：keyword

SHA256 哈希值。

类型：keyword

SHA512 哈希值。

类型：keyword

SSDEEP 哈希值。

类型：keyword

表示文件系统中文件的 Inode。

类型：keyword

示例: 256383

MIME 类型应尽可能使用 IANA 官方类型来标识文件或字节流的格式。当有多个类型适用时，应使用最具体的类型。

类型：keyword

文件模式的八进制表示形式。

类型：keyword

示例: 0640

上次修改文件内容的时间。

类型：date

文件名（包括扩展名），不带目录。

类型：keyword

示例: example.png

文件所有者的用户名。

类型：keyword

示例: alice

文件的完整路径，包括文件名。如果适用，应包括驱动器盘符。

类型：keyword

示例: /home/alice/example.png

类型：match_only_text

该文件的目标 CPU 架构。

类型：keyword

示例：x64

该文件的内部公司名称，在编译时提供。

类型：keyword

示例：Microsoft Corporation

该文件的内部描述，在编译时提供。

类型：keyword

示例：Paint

该文件的内部版本号，在编译时提供。

类型：keyword

示例：6.3.9600.17415

PE 文件中导入的哈希值。imphash（或导入哈希值）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后也是如此，这些转换会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型：keyword

示例：0c6803c4e922103c4dca5963aad36ddf

该文件的内部名称，在编译时提供。

类型：keyword

示例：MSPAINT.EXE

该文件的内部产品名称，在编译时提供。

类型：keyword

示例：Microsoft® Windows® Operating System

文件大小（以字节为单位）。仅当 file.type 为“file”时相关。

类型：long

示例: 16384

符号链接的目标路径。

类型：keyword

类型：match_only_text

文件类型（文件、目录或符号链接）。

类型：keyword

示例: file

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

类型：keyword

示例: 1001

主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。

类型：keyword

示例: *.elastic.co

颁发证书机构的公用名 (CN) 列表。

类型：keyword

示例: Example SHA2 High Assurance Server CA

国家/地区 (C) 代码列表

类型：keyword

示例: US

颁发证书机构的可分辨名称 (DN)。

类型：keyword

示例: C=US, O=Example Inc, OU=www.example.com, CN=Example SHA2 High Assurance Server CA

地名 (L) 列表

类型：keyword

示例: Mountain View

颁发证书机构的组织 (O) 列表。

类型：keyword

示例: Example Inc

颁发证书机构的组织单位 (OU) 列表。

类型：keyword

示例：www.example.com

州或省名称（ST、S 或 P）列表

类型：keyword

示例: California

证书不再被视为有效的时间。

类型：date

示例: 2020-07-16 03:15:39+00:00

首次被视为证书有效的时间。

类型：date

示例: 2019-08-16 01:40:25+00:00

用于生成公钥的算法。

类型：keyword

示例: RSA

椭圆曲线公钥算法使用的曲线。这取决于具体算法。

类型：keyword

示例: nistp521

用于派生公钥的指数。这取决于具体算法。

类型：long

示例: 65537

字段未编制索引。

公钥空间的大小（以位为单位）。

类型：long

示例: 2048

证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应格式化为不带冒号和大写字符。

类型：keyword

示例: 55FBB9C7DEBF09809D12CCAA

证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。

类型：keyword

示例: SHA256-RSA

主题的公用名 (CN) 列表。

类型：keyword

示例: shared.global.example.net

国家/地区 (C) 代码列表

类型：keyword

示例: US

证书主题实体的可分辨名称 (DN)。

类型：keyword

示例: C=US, ST=California, L=San Francisco, O=Example, Inc., CN=shared.global.example.net

地名 (L) 列表

类型：keyword

示例: San Francisco

主题的组织 (O) 列表。

类型：keyword

示例: Example, Inc.

主题的组织单位 (OU) 列表。

类型：keyword

州或省名称（ST、S 或 P）列表

类型：keyword

示例: California

x509 格式的版本。

类型：keyword

示例: 3

城市名称。

类型：keyword

示例：Montreal

表示大陆名称的两位字母代码。

类型：keyword

示例：NA

大陆的名称。

类型：keyword

示例：北美洲

国家 ISO 代码。

类型：keyword

示例：CA

国家名称。

类型：keyword

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在其关心的粒度级别。可以是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动化地理定位。

类型：keyword

示例：boston-dc

与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区差异很大。

类型：keyword

示例：94040

地区 ISO 代码。

类型：keyword

示例：CA-QC

地区名称。

类型：keyword

示例：Quebec

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

系统/平台上组的唯一标识符。

类型：keyword

组的名称。

类型：keyword

MD5 哈希值。

类型：keyword

SHA1 哈希值。

类型：keyword

SHA256 哈希值。

类型：keyword

SHA512 哈希值。

类型：keyword

SSDEEP 哈希值。

类型：keyword

操作系统架构。

类型：keyword

示例: x86_64

已使用 CPU 百分比，该百分比按 CPU 核心数进行归一化，范围为 0 到 1。缩放因子：1000。例如：对于双核主机，此值应为两个核心的平均值，介于 0 和 1 之间。

类型：scaled_float

自上次指标收集以来，成功读取的字节总数（计量）（从所有磁盘聚合）。

类型：long

自上次指标收集以来，成功写入的字节总数（计量）（从所有磁盘聚合）。

类型：long

主机所属域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供商的域。

类型：keyword

示例: CONTOSO

城市名称。

类型：keyword

示例：Montreal

表示大陆名称的两位字母代码。

类型：keyword

示例：NA

大陆的名称。

类型：keyword

示例：北美洲

国家 ISO 代码。

类型：keyword

示例：CA

国家名称。

类型：keyword

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在其关心的粒度级别。可以是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动化地理定位。

类型：keyword

示例：boston-dc

与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区差异很大。

类型：keyword

示例：94040

地区 ISO 代码。

类型：keyword

示例：CA-QC

地区名称。

类型：keyword

示例：Quebec

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

主机的hostname。它通常包含主机上 hostname 命令返回的内容。

类型：keyword

唯一主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。示例：beat.name 的当前使用情况。

类型：keyword

主机 IP 地址。

类型：ip

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个[大写]十六进制数字表示，给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。

类型：keyword

示例: ["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定的域名或用户指定的名称。发送方决定使用哪个值。

类型：keyword

自上次指标收集以来，主机在所有网络接口上发送的字节数（计量）。

类型：long

自上次指标收集以来，主机在所有网络接口上发送的数据包（计数器）数量。

类型：long

自上次指标收集以来，主机在所有网络接口上接收的字节数（计数器）。

类型：long

自上次指标收集以来，主机在所有网络接口上接收的数据包（计数器）数量。

类型：long

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：keyword

示例：debian

操作系统名称，包括版本或代码名称。

类型：keyword

示例：Mac OS Mojave

类型：match_only_text

操作系统内核版本，以原始字符串形式表示。

类型：keyword

示例：4.4.0-112-generic

操作系统名称，不包括版本。

类型：keyword

示例：Mac OS X

类型：match_only_text

操作系统平台（例如 centos、ubuntu、windows）。

类型：keyword

示例：darwin

使用 os.type 字段将操作系统分类为广泛的商业系列之一。 应使用以下值之一（小写）：linux、macos、unix、windows。 如果您正在处理的操作系统不在列表中，则不应填充该字段。 请通过向 ECS 提出问题来告知我们，以便建议添加它。

类型：keyword

示例：macos

操作系统版本，以原始字符串形式表示。

类型：keyword

示例：10.14.1

主机类型。 对于云提供商，这可以是机器类型，如 t2.medium。 如果是虚拟机，这可以是容器，例如，或者其他在您的环境中具有意义的信息。

类型：keyword

主机已运行的秒数。

类型：long

示例：1325

请求正文的大小（以字节为单位）。

类型：long

示例：887

格式：bytes

完整的 HTTP 请求正文。

type: wildcard

示例：Hello world

类型：match_only_text

请求的总大小（以字节为单位）（正文和标头）。

类型：long

示例：1437

格式：bytes

每个 HTTP 请求的唯一标识符，用于关联客户端和服务器之间事务的日志。 该 ID 可能包含在非标准的 HTTP 标头中，例如 X-Request-ID 或 X-Correlation-ID。

类型：keyword

示例：123e4567-e89b-12d3-a456-426614174000

HTTP 请求方法。 该值应保留其原始事件中的大小写。 例如，GET、get 和 GeT 都被视为此字段的有效值。

类型：keyword

示例：POST

请求正文的 MIME 类型。 此值必须仅根据请求正文的内容填充，而不是根据 Content-Type 标头填充。 将请求的 MIME 类型与请求的 Content-Type 标头进行比较有助于检测威胁或配置错误的客户端。

类型：keyword

示例：image/gif

此 HTTP 请求的引用者。

类型：keyword

示例：https://blog.example.com/

响应正文的大小（以字节为单位）。

类型：long

示例：887

格式：bytes

完整的 HTTP 响应正文。

type: wildcard

示例：Hello world

类型：match_only_text

响应的总大小（以字节为单位）（正文和标头）。

类型：long

示例：1437

格式：bytes

响应正文的 MIME 类型。 此值必须仅根据响应正文的内容填充，而不是根据 Content-Type 标头填充。 将响应的 MIME 类型与响应的 Content-Type 标头进行比较有助于检测配置错误的服务器。

类型：keyword

示例：image/gif

HTTP 响应状态代码。

类型：long

示例：404

格式：string

HTTP 版本。

类型：keyword

示例：1.1

系统报告的接口别名，通常在防火墙实现中使用，例如内部、外部或 dmz 逻辑接口命名。

类型：keyword

示例：外部

观察者报告的接口 ID（通常为 SNMP 接口 ID）。

类型：keyword

示例：10

系统报告的接口名称。

类型：keyword

示例：eth0

此事件来源的日志文件的完整路径，包括文件名。 它应包括驱动器号（如果适用）。 如果该事件不是从日志文件中读取的，请不要填充此字段。

类型：keyword

示例：/var/log/fun-times.log

日志事件的原始日志级别。 如果事件源提供了日志级别或文本严重性，则这是放入 log.level 中的内容。 如果您的源未指定一个，则可以将您的事件传输的严重性放在此处（例如，Syslog 严重性）。 一些示例是 warn、err、i、informational。

类型：keyword

示例：error

应用程序内部记录器的名称。 这通常是初始化记录器的类的名称，或者可以是自定义名称。

类型：keyword

示例：org.elasticsearch.bootstrap.Bootstrap

包含源自日志事件的源代码的文件的行号。

类型：long

示例：42

包含源自日志事件的源代码的文件的名称。 请注意，此字段并非旨在捕获日志文件。 捕获日志文件的正确字段是 log.file.path。

类型：keyword

示例：Bootstrap.java

源自日志事件的函数或方法的名称。

类型：keyword

示例：init

如果事件是通过 Syslog 传输的，则为事件的 Syslog 元数据。 请参阅 RFC 5424 或 3164。

类型：object

如果可用，则为日志事件的 Syslog 数字工具。 根据 RFC 5424 和 3164，此值应为 0 到 23 之间的整数。

类型：long

示例：23

格式：string

如果可用，则为日志事件的基于文本的 Syslog 工具。

类型：keyword

示例：local7

如果可用，则为事件的 Syslog 数字优先级。 根据 RFC 5424 和 3164，优先级为 8 * 工具 + 严重性。 因此，该数字预计包含 0 到 191 之间的值。

类型：long

示例：135

格式：string

如果可用，则为日志事件的 Syslog 数字严重性。 如果通过 Syslog 发布事件的事件源提供了不同的数字严重性值（例如，防火墙、IDS），则源的数字严重性应转到 event.severity。 如果事件源未指定不同的严重性，您可以选择将 Syslog 严重性复制到 event.severity。

类型：long

示例: 3

如果可用，则为日志事件的 Syslog 数字严重性。 如果通过 Syslog 发布事件的事件源提供了不同的严重性值（例如，防火墙、IDS），则源的文本严重性应转到 log.level。 如果事件源未指定不同的严重性，您可以选择将 Syslog 严重性复制到 log.level。

类型：keyword

示例：Error

当从网络连接详细信息（源/目标 IP、端口、证书或线路格式）中识别出特定的应用程序或服务时，此字段会捕获应用程序或服务的名称。 例如，原始事件识别网络连接来自 https 网络连接中的特定 Web 服务，如 facebook 或 twitter。 字段值必须规范化为小写以进行查询。

类型：keyword

示例：aim

两个方向传输的总字节数。 如果 source.bytes 和 destination.bytes 已知，则 network.bytes 是它们的总和。

类型：long

示例：368

格式：bytes

源 IP 和目标 IP 以及端口的哈希值，以及通信中使用的协议。 这是一种与工具无关的标准，用于标识流。 在 https://github.com/corelight/community-id-spec 了解更多信息。

类型：keyword

示例：1:hO+sN4H+MG5MY/8hIrXPqc4ZQz0=

网络流量的方向。 推荐值为：* ingress * egress * inbound * outbound * internal * external * unknown

从基于主机的监控上下文中映射事件时，请从主机的角度使用值“ingress”或“egress”填充此字段。 从基于网络或外围的监控上下文中映射事件时，请从网络外围的角度使用值“inbound”、“outbound”、“internal”或“external”填充此字段。 请注意，“internal”不是跨越外围边界，而是用于描述外围内两个主机之间的通信。 另请注意，“external”是指描述外围外部的两个主机之间的流量。 例如，这对于 ISP 或 VPN 服务提供商可能很有用。

类型：keyword

示例：inbound

当源 IP 地址是代理时的主机 IP 地址。

类型：ip

示例：192.1.1.2

IANA 协议号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。 协议的标准化列表。 这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常一致。

类型：keyword

示例：6

除了 network.vlan 字段之外，还添加了 Network.inner 字段，用于在存在 q-in-q VLAN 标记时描述最内层的 VLAN。允许的字段包括 vlan.id 和 vlan.name。内部 VLAN 字段通常用于在将具有多个 802.1q 封装的流量发送到网络传感器（例如 Zeek、Wireshark）时。

类型：object

观察者报告的 VLAN ID。

类型：keyword

示例：10

观察者报告的可选 VLAN 名称。

类型：keyword

示例：外部

操作员为其网络部分指定的名称。

类型：keyword

示例：访客 Wifi

在两个方向上传输的总数据包数。如果知道 source.packets 和 destination.packets，则 network.packets 是它们的总和。

类型：long

示例：24

在 OSI 模型中，这将是应用层协议。例如，http、dns 或 ssh。为了进行查询，字段值必须规范化为小写。

类型：keyword

示例: http

与 network.iana_number 相同，但改为使用传输层的关键字名称（udp、tcp、ipv6-icmp 等）。为了进行查询，字段值必须规范化为小写。

类型：keyword

示例：tcp

在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。为了进行查询，字段值必须规范化为小写。

类型：keyword

示例：ipv4

观察者报告的 VLAN ID。

类型：keyword

示例：10

观察者报告的可选 VLAN 名称。

类型：keyword

示例：外部

Observer.egress 包含诸如接口编号和名称、VLAN 和区域信息之类的信息，用于对出口流量进行分类。诸如跨接端口上的网络传感器之类的单臂监控应仅使用 observer.ingress 对流量进行分类。

类型：object

系统报告的接口别名，通常在防火墙实现中使用，例如内部、外部或 dmz 逻辑接口命名。

类型：keyword

示例：外部

观察者报告的接口 ID（通常为 SNMP 接口 ID）。

类型：keyword

示例：10

系统报告的接口名称。

类型：keyword

示例：eth0

观察者报告的 VLAN ID。

类型：keyword

示例：10

观察者报告的可选 VLAN 名称。

类型：keyword

示例：外部

观察者报告的出站流量的网络区域，用于对出口流量的目的地区域进行分类，例如内部、外部、DMZ、HR、Legal 等。

类型：keyword

示例：公共互联网

城市名称。

类型：keyword

示例：Montreal

表示大陆名称的两位字母代码。

类型：keyword

示例：NA

大陆的名称。

类型：keyword

示例：北美洲

国家 ISO 代码。

类型：keyword

示例：CA

国家名称。

类型：keyword

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在其关心的粒度级别。可以是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动化地理定位。

类型：keyword

示例：boston-dc

与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区差异很大。

类型：keyword

示例：94040

地区 ISO 代码。

类型：keyword

示例：CA-QC

地区名称。

类型：keyword

示例：Quebec

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

观察者的主机名。

类型：keyword

Observer.ingress 包含诸如接口编号和名称、VLAN 和区域信息之类的信息，用于对入口流量进行分类。诸如跨接端口上的网络传感器之类的单臂监控应仅使用 observer.ingress 对流量进行分类。

类型：object

系统报告的接口别名，通常在防火墙实现中使用，例如内部、外部或 dmz 逻辑接口命名。

类型：keyword

示例：外部

观察者报告的接口 ID（通常为 SNMP 接口 ID）。

类型：keyword

示例：10

系统报告的接口名称。

类型：keyword

示例：eth0

观察者报告的 VLAN ID。

类型：keyword

示例：10

观察者报告的可选 VLAN 名称。

类型：keyword

示例：外部

观察者报告的入站流量的网络区域，用于对入口流量的来源区域进行分类。例如，内部、外部、DMZ、HR、Legal 等。

类型：keyword

示例：DMZ

观察者的 IP 地址。

类型：ip

观察者的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

类型：keyword

示例: ["00-00-5E-00-53-23", "00-00-5E-00-53-24"]

观察者的自定义名称。这是可以指定给观察者的名称。例如，如果组织中使用多个相同型号的防火墙，则这可能会有所帮助。如果不需要自定义名称，则该字段可以留空。

类型：keyword

示例：1_proxySG

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：keyword

示例：debian

操作系统名称，包括版本或代码名称。

类型：keyword

示例：Mac OS Mojave

类型：match_only_text

操作系统内核版本，以原始字符串形式表示。

类型：keyword

示例：4.4.0-112-generic

操作系统名称，不包括版本。

类型：keyword

示例：Mac OS X

类型：match_only_text

操作系统平台（例如 centos、ubuntu、windows）。

类型：keyword

示例：darwin

使用 os.type 字段将操作系统分类为广泛的商业系列之一。 应使用以下值之一（小写）：linux、macos、unix、windows。 如果您正在处理的操作系统不在列表中，则不应填充该字段。 请通过向 ECS 提出问题来告知我们，以便建议添加它。

类型：keyword

示例：macos

操作系统版本，以原始字符串形式表示。

类型：keyword

示例：10.14.1

观察者的产品名称。

类型：keyword

示例：s200

观察者序列号。

类型：keyword

数据来源的观察者类型。没有预定义的观察者类型列表。一些示例包括 forwarder、firewall、ids、ips、proxy、poller、sensor、APM server。

类型：keyword

示例：防火墙

观察者的供应商名称。

类型：keyword

示例：赛门铁克

观察者版本。

类型：keyword

用于执行操作的 API 版本

类型：keyword

示例：v1beta1

集群的名称。

类型：keyword

用于管理集群的 API 的 URL。

类型：keyword

集群的版本。

类型：keyword

发生操作的命名空间。

类型：keyword

示例：kube-system

受事件影响的组织（对于多租户编排器设置）。

类型：keyword

示例：elastic

正在对其执行操作的资源的名称。

类型：keyword

示例：test-pod-cdcws

正在对其执行操作的资源的类型。

类型：keyword

示例：service

编排器集群类型（例如 kubernetes、nomad 或 cloudfoundry）。

类型：keyword

示例：kubernetes

组织的唯一标识符。

类型：keyword

组织名称。

类型：keyword

类型：match_only_text

操作系统系列（例如 redhat、debian、freebsd、windows）。

类型：keyword

示例：debian

操作系统名称，包括版本或代码名称。

类型：keyword

示例：Mac OS Mojave

类型：match_only_text

操作系统内核版本，以原始字符串形式表示。

类型：keyword

示例：4.4.0-112-generic

操作系统名称，不包括版本。

类型：keyword

示例：Mac OS X

类型：match_only_text

操作系统平台（例如 centos、ubuntu、windows）。

类型：keyword

示例：darwin

使用 os.type 字段将操作系统分类为广泛的商业系列之一。 应使用以下值之一（小写）：linux、macos、unix、windows。 如果您正在处理的操作系统不在列表中，则不应填充该字段。 请通过向 ECS 提出问题来告知我们，以便建议添加它。

类型：keyword

示例：macos

操作系统版本，以原始字符串形式表示。

类型：keyword

示例：10.14.1

软件包体系结构。

类型：keyword

示例: x86_64

有关已安装软件包的构建版本的其他信息。例如，使用未发布的软件包的提交 SHA。

类型：keyword

示例：36f4f7e89dd61b0988b12ee000b98966867710cd

已安装软件包的校验和，用于验证。

类型：keyword

示例：68b329da9893e34099c7d8ad5cb9c940

软件包的描述。

类型：keyword

示例：用于构建简单/可靠/高效软件的开源编程语言。

指示软件包的安装方式，例如用户本地、全局。

类型：keyword

示例：global

软件包的安装时间。

类型：date

发布软件包所依据的许可。尽可能使用短名称，例如来自 SPDX 许可列表的许可标识符（https://spdx.org/licenses/）。

类型：keyword

示例：Apache License 2.0

软件包名称

类型：keyword

示例：go

软件包的安装路径。

类型：keyword

示例：/usr/local/Cellar/go/1.12.9/

如果可用，此软件包中软件的主页或参考 URL。

类型：keyword

示例：https://golang.ac.cn

软件包大小（以字节为单位）。

类型：long

示例：62231

格式：string

软件包的类型。这应包含软件包文件类型，而不是软件包管理器名称。示例：rpm、dpkg、brew、npm、gem、nupkg、jar。

类型：keyword

示例：rpm

软件包版本

类型：keyword

示例：1.12.9

该文件的目标 CPU 架构。

类型：keyword

示例：x64

该文件的内部公司名称，在编译时提供。

类型：keyword

示例：Microsoft Corporation

该文件的内部描述，在编译时提供。

类型：keyword

示例：Paint

该文件的内部版本号，在编译时提供。

类型：keyword

示例：6.3.9600.17415

PE 文件中导入的哈希值。imphash（或导入哈希值）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后也是如此，这些转换会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型：keyword

示例：0c6803c4e922103c4dca5963aad36ddf

该文件的内部名称，在编译时提供。

类型：keyword

示例：MSPAINT.EXE

该文件的内部产品名称，在编译时提供。

类型：keyword

示例：Microsoft® Windows® Operating System

进程参数数组，从可执行文件的绝对路径开始。可以筛选以保护敏感信息。

类型：keyword

示例：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行桶分析。更多的参数可能表明存在可疑活动。

类型：long

示例：4

用于对进程进行签名的哈希算法。当文件被同一签名者多次签名，但使用不同的摘要算法时，此值可以区分签名。

类型：keyword

示例：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

用于对进程进行签名的标识符。这用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：keyword

示例：com.apple.xpc.proxy

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误很有用。如果证书的有效性或信任度未检查，则保持未填充状态。

类型：keyword

示例：ERROR_UNTRUSTED_ROOT

代码签名者的主题名称

类型：keyword

示例：Microsoft Corporation

用于对进程进行签名的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：keyword

示例：EQHXZ8M8AV

生成和签署代码签名时的日期和时间。

类型：date

示例：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则保持未填充状态。

类型：布尔值

示例：true

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。可以筛选某些参数以保护敏感信息。

type: wildcard

示例：/usr/bin/ssh -l user 10.0.0.16

类型：match_only_text

ELF 文件的机器架构。

类型：keyword

示例：x86-64

ELF 文件的字节序。

类型：keyword

示例：Little Endian

ELF 文件的 CPU 类型。

类型：keyword

示例：Intel

尽可能从文件的元数据中提取。指示何时构建或编译它。它也可能被恶意软件创建者伪造。

类型：date

导出的元素名称和类型列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型：keyword

ELF 文件的标头类。

类型：keyword

ELF 标头的数据表。

类型：keyword

ELF 文件的标头入口点。

类型：long

格式：string

原始 ELF 文件的“0x1”。

类型：keyword

Linux OS 的应用程序二进制接口 (ABI)。

类型：keyword

ELF 文件的标头类型。

类型：keyword

ELF 标头的版本。

类型：keyword

导入的元素名称和类型列表。

类型：扁平化

一个数组，其中包含 ELF 文件的每个部分的对象。这些对象中应存在的键由 elf.sections.* 下方的子字段定义。

类型：嵌套

该部分的卡方概率分布。

类型：long

格式：数字

来自该部分的香农熵计算。

类型：long

格式：数字

ELF 部分列表标志。

类型：keyword

ELF 部分列表名称。

类型：keyword

ELF 部分列表偏移量。

类型：keyword

ELF 部分列表物理大小。

类型：long

格式：bytes

ELF 部分列表类型。

类型：keyword

ELF 部分列表虚拟地址。

类型：long

格式：string

ELF 部分列表虚拟大小。

类型：long

格式：string

一个数组，其中包含 ELF 文件的每个段的对象。这些对象中应存在的键由 elf.segments.* 下方的子字段定义。

类型：嵌套

ELF 对象段部分。

类型：keyword

ELF 对象段类型。

类型：keyword

此 ELF 对象使用的共享库列表。

类型：keyword

ELF 文件的 telfhash 符号哈希值。

类型：keyword

进程结束的时间。

类型：date

示例：2016-05-23T08:05:34.853Z

进程的唯一标识符。此实现由数据源指定，但此处可以使用的示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程的某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见做法，可以缓解 PID 重用，并随着时间的推移在多个受监视主机上标识特定的进程。

类型：keyword

示例：c2c455d9f99375d

进程可执行文件的绝对路径。

类型：keyword

示例：/usr/bin/ssh

类型：match_only_text

进程的退出代码，如果这是一个终止事件。如果事件没有退出代码（例如，进程启动），则该字段应不存在。

类型：long

示例：137

MD5 哈希值。

类型：keyword

SHA1 哈希值。

类型：keyword

SHA256 哈希值。

类型：keyword

SHA512 哈希值。

类型：keyword

SSDEEP 哈希值。

类型：keyword

进程名称。有时也称为程序名称或类似名称。

类型：keyword

示例：ssh

类型：match_only_text

进程参数数组，从可执行文件的绝对路径开始。可以筛选以保护敏感信息。

类型：keyword

示例：["/usr/bin/ssh", "-l", "user", "10.0.0.16"]

process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行桶分析。更多的参数可能表明存在可疑活动。

类型：long

示例：4

用于对进程进行签名的哈希算法。当文件被同一签名者多次签名，但使用不同的摘要算法时，此值可以区分签名。

类型：keyword

示例：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

用于对进程进行签名的标识符。这用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：keyword

示例：com.apple.xpc.proxy

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误很有用。如果证书的有效性或信任度未检查，则保持未填充状态。

类型：keyword

示例：ERROR_UNTRUSTED_ROOT

代码签名者的主题名称

类型：keyword

示例：Microsoft Corporation

用于对进程进行签名的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：keyword

示例：EQHXZ8M8AV

生成和签署代码签名时的日期和时间。

类型：date

示例：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则保持未填充状态。

类型：布尔值

示例：true

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。可以筛选某些参数以保护敏感信息。

type: wildcard

示例：/usr/bin/ssh -l user 10.0.0.16

类型：match_only_text

ELF 文件的机器架构。

类型：keyword

示例：x86-64

ELF 文件的字节序。

类型：keyword

示例：Little Endian

ELF 文件的 CPU 类型。

类型：keyword

示例：Intel

尽可能从文件的元数据中提取。指示何时构建或编译它。它也可能被恶意软件创建者伪造。

类型：date

导出的元素名称和类型列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型：keyword

ELF 文件的标头类。

类型：keyword

ELF 标头的数据表。

类型：keyword

ELF 文件的标头入口点。

类型：long

格式：string

原始 ELF 文件的“0x1”。

类型：keyword

Linux OS 的应用程序二进制接口 (ABI)。

类型：keyword

ELF 文件的标头类型。

类型：keyword

ELF 标头的版本。

类型：keyword

导入的元素名称和类型列表。

类型：扁平化

一个数组，其中包含 ELF 文件的每个部分的对象。这些对象中应存在的键由 elf.sections.* 下方的子字段定义。

类型：嵌套

该部分的卡方概率分布。

类型：long

格式：数字

来自该部分的香农熵计算。

类型：long

格式：数字

ELF 部分列表标志。

类型：keyword

ELF 部分列表名称。

类型：keyword

ELF 部分列表偏移量。

类型：keyword

ELF 部分列表物理大小。

类型：long

格式：bytes

ELF 部分列表类型。

类型：keyword

ELF 部分列表虚拟地址。

类型：long

格式：string

ELF 部分列表虚拟大小。

类型：long

格式：string

一个数组，其中包含 ELF 文件的每个段的对象。这些对象中应存在的键由 elf.segments.* 下方的子字段定义。

类型：嵌套

ELF 对象段部分。

类型：keyword

ELF 对象段类型。

类型：keyword

此 ELF 对象使用的共享库列表。

类型：keyword

ELF 文件的 telfhash 符号哈希值。

类型：keyword

进程结束的时间。

类型：date

示例：2016-05-23T08:05:34.853Z

进程的唯一标识符。此实现由数据源指定，但此处可以使用的示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程的某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见做法，可以缓解 PID 重用，并随着时间的推移在多个受监视主机上标识特定的进程。

类型：keyword

示例：c2c455d9f99375d

进程可执行文件的绝对路径。

类型：keyword

示例：/usr/bin/ssh

类型：match_only_text

进程的退出代码，如果这是一个终止事件。如果事件没有退出代码（例如，进程启动），则该字段应不存在。

类型：long

示例：137

MD5 哈希值。

类型：keyword

SHA1 哈希值。

类型：keyword

SHA256 哈希值。

类型：keyword

SHA512 哈希值。

类型：keyword

SSDEEP 哈希值。

类型：keyword

进程名称。有时也称为程序名称或类似名称。

类型：keyword

示例：ssh

类型：match_only_text

该文件的目标 CPU 架构。

类型：keyword

示例：x64

该文件的内部公司名称，在编译时提供。

类型：keyword

示例：Microsoft Corporation

该文件的内部描述，在编译时提供。

类型：keyword

示例：Paint

该文件的内部版本号，在编译时提供。

类型：keyword

示例：6.3.9600.17415

PE 文件中导入的哈希值。imphash（或导入哈希值）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后也是如此，这些转换会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型：keyword

示例：0c6803c4e922103c4dca5963aad36ddf

该文件的内部名称，在编译时提供。

类型：keyword

示例：MSPAINT.EXE

该文件的内部产品名称，在编译时提供。

类型：keyword

示例：Microsoft® Windows® Operating System

进程所属的进程组的标识符。

类型：long

格式：string

进程 ID。

类型：long

示例：4242

格式：string

进程启动的时间。

类型：date

示例：2016-05-23T08:05:34.853Z

线程 ID。

类型：long

示例：4242

格式：string

线程名称。

类型：keyword

示例：thread-0

进程标题。进程标题，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

类型：keyword

类型：match_only_text

进程已运行的秒数。

类型：long

示例：1325

进程的工作目录。

类型：keyword

示例: /home/alice

类型：match_only_text

该文件的目标 CPU 架构。

类型：keyword

示例：x64

该文件的内部公司名称，在编译时提供。

类型：keyword

示例：Microsoft Corporation

该文件的内部描述，在编译时提供。

类型：keyword

示例：Paint

该文件的内部版本号，在编译时提供。

类型：keyword

示例：6.3.9600.17415

PE 文件中导入的哈希值。imphash（或导入哈希值）可用于对二进制文件进行指纹识别，即使在重新编译或其他代码级转换发生后也是如此，这些转换会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

类型：keyword

示例：0c6803c4e922103c4dca5963aad36ddf

该文件的内部名称，在编译时提供。

类型：keyword

示例：MSPAINT.EXE

该文件的内部产品名称，在编译时提供。

类型：keyword

示例：Microsoft® Windows® Operating System

进程所属的进程组的标识符。

类型：long

格式：string

进程 ID。

类型：long

示例：4242

格式：string

进程启动的时间。

类型：date

示例：2016-05-23T08:05:34.853Z

线程 ID。

类型：long

示例：4242

格式：string

线程名称。

类型：keyword

示例：thread-0

进程标题。进程标题，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

类型：keyword

类型：match_only_text

进程已运行的秒数。

类型：long

示例：1325

进程的工作目录。

类型：keyword

示例: /home/alice

类型：match_only_text

使用 base64 编码写入的原始字节。对于 Windows 注册表操作，例如 SetValueEx 和 RegQueryValueEx，这对应于 lp_data 指向的数据。这是可选的，但提供了更好的可恢复性，应为 REG_BINARY 编码的值填充。

类型：keyword

示例：ZQBuAC0AVQBTAAAAZQBuAAAAAAA=

写入字符串类型时的内容。当将字符串数据写入注册表时，填充为数组。对于单字符串注册表类型（REG_SZ、REG_EXPAND_SZ），这应是包含一个字符串的数组。对于具有 REG_MULTI_SZ 的字符串序列，此数组的长度将是可变的。对于数值数据（例如 REG_DWORD 和 REG_QWORD），这应填充为十进制表示形式（例如 "1"）。

type: wildcard

示例：["C:\rta\red_ttp\bin\myapp.exe"]

用于编码内容的标准注册表类型

类型：keyword

示例：REG_SZ

注册表单元的缩写名称。

类型：keyword

示例：HKLM

相对于注册表单元的键路径。

类型：keyword

示例：SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe

完整路径，包括注册表单元、键和值

类型：keyword

示例：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\winword.exe\Debugger

写入的值的名称。

类型：keyword

示例：Debugger

在您的事件中看到的所有哈希值。填充此字段，然后使用它来搜索哈希值可以帮助您在不确定哈希算法是什么（因此要搜索哪个键名）的情况下。

类型：keyword

在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。

类型：keyword

在您的事件中看到的所有 IP。

类型：ip

在事件中看到的所有用户名或其他用户标识符。

类型：keyword

创建用于生成此事件的规则的作者的姓名、组织或笔名。

类型：keyword

示例：["星爵"]

实体使用该规则检测此事件时使用的分类值关键字。

类型：keyword

示例：尝试信息泄露

生成事件的规则的描述。

类型：keyword

示例：阻止通过 HTTPS/TLS 协议向公共 DNS 发出的请求

在代理、观察者或其他实体使用该规则检测此事件的范围内唯一的规则 ID。

类型：keyword

示例：101

用于生成此事件的规则的许可名称。

类型：keyword

示例：Apache 2.0

生成事件的规则或签名的名称。

类型：keyword

示例：BLOCK_DNS_over_TLS

指向有关用于生成此事件的规则的更多信息的参考 URL。该 URL 可以指向供应商关于该规则的文档。如果该文档不可用，它也可以是指向描述此类警报的更通用页面的链接。

类型：keyword

示例：https://en.wikipedia.org/wiki/DNS_over_TLS

规则集、策略、组或父类别的名称，用于生成此事件的规则是其中的成员。

类型：keyword

示例：Standard_Protocol_Filters

在代理、观察者或其他实体使用该规则检测此事件的集合或组的范围内唯一的规则 ID。

类型：keyword

示例：1100110011

用于分析的规则的版本/修订。

类型：keyword

示例：1.1

某些事件服务器地址的定义是模糊的。该事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 .address 字段中。然后应将其复制到 .ip 或 .domain，具体取决于它是哪一个。

类型：keyword

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

组织名称。

类型：keyword

示例：Google LLC

类型：match_only_text

从服务器发送到客户端的字节数。

类型：long

示例：184

格式：bytes

服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件或从丰富添加。

类型：keyword

示例：foo.example.com

城市名称。

类型：keyword

示例：Montreal

表示大陆名称的两位字母代码。

类型：keyword

示例：NA

大陆的名称。

类型：keyword

示例：北美洲

国家 ISO 代码。

类型：keyword

示例：CA

国家名称。

类型：keyword

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在其关心的粒度级别。可以是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动化地理定位。

类型：keyword

示例：boston-dc

与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区差异很大。

类型：keyword

示例：94040

地区 ISO 代码。

类型：keyword

示例：CA-QC

地区名称。

类型：keyword

示例：Quebec

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

服务器的 IP 地址（IPv4 或 IPv6）。

类型：ip

服务器的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个 [大写] 十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节之间用连字符分隔。

类型：keyword

示例：00-00-5E-00-53-23

基于 NAT 会话转换的目标 IP（例如，互联网到专用 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

类型：ip

已转换的目标端口 NAT 会话（例如，从互联网到私有 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

类型：long

格式：string

从服务器发送到客户端的数据包。

类型：long

示例：12

服务器的端口。

类型：long

格式：string

服务器的最高注册域，已去除子域。例如，“foo.example.com”的注册域为“example.com”。此值可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定。如果仅简单地取最后两个标签来近似，则对于像“co.uk”这样的顶级域效果不佳。

类型：keyword

示例：example.com

完全限定域名的子域部分包括已注册域下所有名称，但不包括主机名。在部分限定的域中，或者如果无法确定全名的限定级别，则子域包含已注册域下的所有名称。例如，“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，不带尾随句点。

类型：keyword

示例：east

有效的顶级域名 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域名是“com”。可以使用诸如公共后缀列表之类的列表精确地确定此值 (http://publicsuffix.org)。尝试仅取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。

类型：keyword

示例：co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

用户电子邮件地址。

类型：keyword

用户的全名（如果可用）。

类型：keyword

示例：Albert Einstein

类型：match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

系统/平台上组的唯一标识符。

类型：keyword

组的名称。

类型：keyword

唯一的用户哈希，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则此方法很有用。

类型：keyword

用户的唯一标识符。

类型：keyword

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

用户的简称或登录名。

类型：keyword

示例：a.einstein

类型：match_only_text

事件发生时用户的角色数组。

类型：keyword

示例：["kibana_admin", "reporting_user"]

从中收集此服务数据的地址。这应该是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径（套接字）。

类型：keyword

示例：172.26.0.2:5432

标识服务运行的环境。如果同一服务在不同的环境中（生产、暂存、QA、开发等）运行，则环境可以标识同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。

类型：keyword

示例：production

此服务的临时标识符（如果存在）。此 ID 通常在重启后会更改，但 service.id 不会更改。

类型：keyword

示例：8a4f500f

正在运行的服务的唯一标识符。如果服务由多个节点组成，则所有节点的 service.id 应该相同。此 ID 应该唯一标识该服务。这使得关联特定服务的日志和指标成为可能，无论哪个特定节点发出了该事件。请注意，如果需要查看来自服务的一个特定主机的事件，则应改为按该 host.name 或 host.id 进行筛选。

类型：keyword

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

从中收集数据的服务名称。服务名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，如果未指定名称，则 service.name 默认是 service.type 字段的副本。

类型：keyword

示例：elasticsearch-metrics

服务节点的名称。这允许区分同一主机上运行的同一服务的两个节点。因此，service.node.name 通常在给定服务的节点之间应该是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群内的唯一节点名称。如果服务没有节点名称的概念，则可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些无法提供唯一性（例如，同一主机上运行的服务的多个实例），则可以手动设置节点名称。

类型：keyword

示例：instance-0000000016

从中收集此服务数据的地址。这应该是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径（套接字）。

类型：keyword

示例：172.26.0.2:5432

标识服务运行的环境。如果同一服务在不同的环境中（生产、暂存、QA、开发等）运行，则环境可以标识同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。

类型：keyword

示例：production

此服务的临时标识符（如果存在）。此 ID 通常在重启后会更改，但 service.id 不会更改。

类型：keyword

示例：8a4f500f

正在运行的服务的唯一标识符。如果服务由多个节点组成，则所有节点的 service.id 应该相同。此 ID 应该唯一标识该服务。这使得关联特定服务的日志和指标成为可能，无论哪个特定节点发出了该事件。请注意，如果需要查看来自服务的一个特定主机的事件，则应改为按该 host.name 或 host.id 进行筛选。

类型：keyword

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

从中收集数据的服务名称。服务名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，如果未指定名称，则 service.name 默认是 service.type 字段的副本。

类型：keyword

示例：elasticsearch-metrics

服务节点的名称。这允许区分同一主机上运行的同一服务的两个节点。因此，service.node.name 通常在给定服务的节点之间应该是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群内的唯一节点名称。如果服务没有节点名称的概念，则可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些无法提供唯一性（例如，同一主机上运行的服务的多个实例），则可以手动设置节点名称。

类型：keyword

示例：instance-0000000016

服务的当前状态。

类型：keyword

从中收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。例如：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型：keyword

示例：elasticsearch

从中收集数据的服务版本。这允许仅查看特定服务版本的数据集。

类型：keyword

示例：3.2.4

服务的当前状态。

类型：keyword

从中收集此服务数据的地址。这应该是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径（套接字）。

类型：keyword

示例：172.26.0.2:5432

标识服务运行的环境。如果同一服务在不同的环境中（生产、暂存、QA、开发等）运行，则环境可以标识同一服务的其他实例。还可以对来自同一环境的服务和应用程序进行分组。

类型：keyword

示例：production

此服务的临时标识符（如果存在）。此 ID 通常在重启后会更改，但 service.id 不会更改。

类型：keyword

示例：8a4f500f

正在运行的服务的唯一标识符。如果服务由多个节点组成，则所有节点的 service.id 应该相同。此 ID 应该唯一标识该服务。这使得关联特定服务的日志和指标成为可能，无论哪个特定节点发出了该事件。请注意，如果需要查看来自服务的一个特定主机的事件，则应改为按该 host.name 或 host.id 进行筛选。

类型：keyword

示例：d37e5ebfe0ae6c4972dbe9f0174a1637bb8247f6

从中收集数据的服务名称。服务名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，如果未指定名称，则 service.name 默认是 service.type 字段的副本。

类型：keyword

示例：elasticsearch-metrics

服务节点的名称。这允许区分同一主机上运行的同一服务的两个节点。因此，service.node.name 通常在给定服务的节点之间应该是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群内的唯一节点名称。如果服务没有节点名称的概念，则可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些无法提供唯一性（例如，同一主机上运行的服务的多个实例），则可以手动设置节点名称。

类型：keyword

示例：instance-0000000016

服务的当前状态。

类型：keyword

从中收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。例如：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型：keyword

示例：elasticsearch

从中收集数据的服务版本。这允许仅查看特定服务版本的数据集。

类型：keyword

示例：3.2.4

从中收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。例如：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

类型：keyword

示例：elasticsearch

从中收集数据的服务版本。这允许仅查看特定服务版本的数据集。

类型：keyword

示例：3.2.4

某些事件源地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后，应将其复制到 .ip 或 .domain，具体取决于它是哪个。

类型：keyword

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

组织名称。

类型：keyword

示例：Google LLC

类型：match_only_text

从源发送到目标的字节数。

类型：long

示例：184

格式：bytes

源系统的域名。此值可以是主机名、完全限定的域名或其他主机命名格式。该值可能来自原始事件，或者从富化中添加。

类型：keyword

示例：foo.example.com

城市名称。

类型：keyword

示例：Montreal

表示大陆名称的两位字母代码。

类型：keyword

示例：NA

大陆的名称。

类型：keyword

示例：北美洲

国家 ISO 代码。

类型：keyword

示例：CA

国家名称。

类型：keyword

示例：加拿大

经度和纬度。

类型：geo_point

示例：{ "lon": -73.614830, "lat": 45.505918 }

用户定义的位置描述，在其关心的粒度级别。可以是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动化地理定位。

类型：keyword

示例：boston-dc

与位置关联的邮政编码。适合此字段的值也可能称为邮政编码或 ZIP 代码，并且在不同国家/地区差异很大。

类型：keyword

示例：94040

地区 ISO 代码。

类型：keyword

示例：CA-QC

地区名称。

类型：keyword

示例：Quebec

位置的时区，例如 IANA 时区名称。

类型：keyword

示例：America/Argentina/Buenos_Aires

源的 IP 地址（IPv4 或 IPv6）。

类型：ip

源的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

类型：keyword

示例：00-00-5E-00-53-23

基于源的 NAT 会话的转换 IP（例如，内部客户端到互联网）。通常，连接会穿过负载均衡器、防火墙或路由器。

类型：ip

基于源的 NAT 会话的转换端口。（例如，内部客户端到互联网）通常与负载均衡器、防火墙或路由器一起使用。

类型：long

格式：string

从源发送到目标的数据包。

类型：long

示例：12

源的端口。

类型：long

格式：string

源的最高注册域，已去除子域。例如，“foo.example.com”的注册域为“example.com”。此值可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定。如果仅简单地取最后两个标签来近似，则对于像“co.uk”这样的顶级域效果不佳。

类型：keyword

示例：example.com

完全限定域名的子域部分包括已注册域下所有名称，但不包括主机名。在部分限定的域中，或者如果无法确定全名的限定级别，则子域包含已注册域下的所有名称。例如，“www.east.mydomain.co.uk”的子域部分是“east”。如果域具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，不带尾随句点。

类型：keyword

示例：east

有效的顶级域名 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域名是“com”。可以使用诸如公共后缀列表之类的列表精确地确定此值 (http://publicsuffix.org)。尝试仅取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。

类型：keyword

示例：co.uk

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

用户电子邮件地址。

类型：keyword

用户的全名（如果可用）。

类型：keyword

示例：Albert Einstein

类型：match_only_text

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

类型：keyword

系统/平台上组的唯一标识符。

类型：keyword

组的名称。

类型：keyword

唯一的用户哈希，用于以匿名形式关联用户信息。如果 user.id 或 user.name 包含机密信息且无法使用，则此方法很有用。

类型：keyword

用户的唯一标识符。

类型：keyword

示例：S-1-5-21-202424912787-2692429404-2351956786-1000

用户的简称或登录名。

类型：keyword

示例：a.einstein

类型：match_only_text

事件发生时用户的角色数组。

类型：keyword

示例：["kibana_admin", "reporting_user"]

富化事件的相关指标对象列表，以及该关联/富化的上下文。

类型：嵌套

包含富化事件的相关指标的对象。

类型：object

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识互联网上的每个网络。

类型：long

示例：15169

组织名称。

类型：keyword

示例：Google LLC

类型：match_only_text

使用 STIX 2.1 框架附录 A 中定义的“无/低/中/高”等级来标识与供应商无关的置信度评级。特定于供应商的置信度等级可以添加为自定义字段。预期值包括：* 未指定 * 无 * 低 * 中 * 高

类型：keyword

示例：中

描述威胁执行的操作类型。

类型：keyword

示例：观察到 IP x.x.x.x 正在传递 Angler EK。

将威胁指标标识为电子邮件地址（与方向无关）。

类型：keyword

示例：[email protected]

上次访问文件的时间。请注意，并非所有文件系统都会跟踪访问时间。

类型：date

文件属性数组。属性名称会因平台而异。以下是此字段中预期值的不完全列表：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

类型：keyword

示例: ["readonly", "system"]

用于对进程进行签名的哈希算法。当文件被同一签名者多次签名，但使用不同的摘要算法时，此值可以区分签名。

类型：keyword

示例：sha256

布尔值，用于捕获是否存在签名。

类型：布尔值

示例：true

用于对进程进行签名的标识符。这用于标识软件供应商制造的应用程序。该字段仅与 Apple *OS 相关。

类型：keyword

示例：com.apple.xpc.proxy

有关证书状态的其他信息。这对于记录证书有效性或信任状态的加密错误很有用。如果证书的有效性或信任度未检查，则保持未填充状态。

类型：keyword

示例：ERROR_UNTRUSTED_ROOT

代码签名者的主题名称

类型：keyword

示例：Microsoft Corporation

用于对进程进行签名的团队标识符。这用于标识软件产品的团队或供应商。该字段仅与 Apple *OS 相关。

类型：keyword

示例：EQHXZ8M8AV

生成和签署代码签名时的日期和时间。

类型：date

示例：2021-01-01T12:10:30Z

存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。

类型：布尔值

示例：true

布尔值，用于捕获数字签名是否针对二进制内容进行验证。如果未检查证书，则保持未填充状态。

类型：布尔值

示例：true

文件创建时间。请注意，并非所有文件系统都存储创建时间。

类型：date

上次更改文件属性或元数据的时间。请注意，更改文件内容将更新 mtime。这意味着 ctime 将同时调整，因为 mtime 是文件的属性。

类型：date

作为文件来源的设备。

类型：keyword

示例: sda

文件所在的目录。如果适用，应包括驱动器盘符。

类型：keyword

示例: /home/alice

文件所在的驱动器盘符。此字段仅在 Windows 上相关。该值应为大写，且不包含冒号。

类型：keyword

示例: C

ELF 文件的机器架构。

类型：keyword

示例：x86-64

ELF 文件的字节序。

类型：keyword

示例：Little Endian

ELF 文件的 CPU 类型。

类型：keyword

示例：Intel

尽可能从文件的元数据中提取。指示何时构建或编译它。它也可能被恶意软件创建者伪造。

类型：date

导出的元素名称和类型列表。

类型：扁平化

ELF 应用程序二进制接口 (ABI) 的版本。

类型：keyword

ELF 文件的标头类。

类型：keyword

ELF 标头的数据表。

类型：keyword

ELF 文件的标头入口点。

类型：long

格式：string

原始 ELF 文件的“0x1”。

类型：keyword

Linux OS 的应用程序二进制接口 (ABI)。

类型：keyword

ELF 文件的标头类型。

类型：keyword

ELF 标头的版本。

类型：keyword

导入的元素名称和类型列表。

类型：扁平化

一个数组，其中包含 ELF 文件的每个部分的对象。这些对象中应存在的键由 elf.sections.* 下方的子字段定义。

类型：嵌套

该部分的卡方概率分布。

类型：long

格式：数字

来自该部分的香农熵计算。

类型：long

格式：数字

ELF 部分列表标志。

类型：keyword

ELF 部分列表名称。

类型：keyword

ELF 部分列表偏移量。

类型：keyword

ELF 部分列表物理大小。

类型：long

格式：bytes

ELF 部分列表类型。

类型：keyword

ELF 部分列表虚拟地址。

类型：long

格式：string

ELF 部分列表虚拟大小。

类型：long

格式：string

一个数组，其中包含 ELF 文件的每个段的对象。这些对象中应存在的键由 elf.segments.* 下方的子字段定义。

类型：嵌套

ELF 对象段部分。

类型：keyword

ELF 对象段类型。

类型：keyword

此 ELF 对象使用的共享库列表。

类型：keyword

ELF 文件的 telfhash 符号哈希值。

类型：keyword

文件扩展名，不包括前导点。请注意，当文件名有多个扩展名 (example.tar.gz) 时，应仅捕获最后一个扩展名 ("gz"，而不是 "tar.gz")。

类型：keyword

示例: png

分支是与文件系统对象关联的附加数据。在 Linux 上，资源分支用于存储与文件系统对象相关的附加数据。文件始终具有至少一个用于数据部分的分支，并且可能存在其他分支。在 NTFS 上，这类似于备用数据流 (ADS)，并且文件的默认数据流仅称为 $DATA。Windows 通常使用 Zone.Identifier 来跟踪从 Internet 下载的内容。ADS 通常采用以下格式：C:\path\to\filename.extension:some_fork_name，并且 some_fork_name 是应该填充 fork_name 的值。filename.extension 应填充 file.name，并且 extension 应填充 file.extension。完整路径 file.path 将包括分支名称。

类型：keyword

示例: Zone.Identifer

文件的主要组 ID (GID)。

类型：keyword

示例: 1001

文件的主要组名称。

类型：keyword

示例: alice

MD5 哈希值。

类型：keyword

SHA1 哈希值。

类型：keyword