这些是 Sysmon 模块特有的事件字段。
sysmon.dns.status
DNS 查询返回的 Windows 状态代码。
类型: keyword
sysmon.file.archived
指示已删除的文件是否已归档。
类型: boolean
sysmon.file.is_executable
指示已删除的文件是否为可执行文件。
最受欢迎
视频
Elasticsearch 入门
Kibana 简介
ELK 用于日志和指标