这些是 Sysmon 模块特定的事件字段。
sysmon.dns.status
DNS 查询返回的 Windows 状态代码。
type: keyword
sysmon.file.archived
指示已删除的文件是否已归档。
type: boolean
sysmon.file.is_executable
指示已删除的文件是否为可执行文件。
最受欢迎
视频
Elasticsearch 入门
Kibana 简介
用于日志和指标的 ELK