这些是特定于安全日志模块的事件字段。
winlog.logon
与 Windows 登录相关的数据。
-
winlog.logon.type -
登录类型名称。这是
winlog.event_data.LogonType序数的描述性版本。这是安全模块添加的富集内容。类型:keyword
示例:RemoteInteractive
-
winlog.logon.id -
登录 ID,可用于将此登录与与同一登录会话相关的其他事件关联。
类型:keyword
-
winlog.logon.failure.reason -
登录失败的原因。
类型:keyword
-
winlog.logon.failure.status -
登录失败的原因。这是基于十六进制
Status字段值的文本描述。类型:keyword
-
winlog.logon.failure.sub_status -
有关登录失败的附加信息。这是基于十六进制
SubStatus字段值的文本描述。类型:keyword