« Sysmon 模块字段 监控 Winlogbeat »
Elastic 文档 Winlogbeat 参考 [8.14] 导出字段

Winlogbeat 字段

Winlogbeat 字段

来自 Windows 事件日志的字段。

event.original

从 Windows 获取的事件的原始 XML 表示形式。此字段仅在支持 Windows 事件日志 API(Microsoft Windows Vista 及更高版本)的操作系统上可用。默认情况下不包含此字段,必须通过为单个事件日志设置配置选项 include_xml: true 来启用。事件的 XML 表示形式对于故障排除很有用。可以将 Winlogbeat 报告的字段中的数据与 XML 中的数据进行比较,以诊断问题。

winlog

此处定义了特定于 Windows 事件日志的所有字段。

winlog.api

用于读取记录的事件日志 API 类型。可能的值为 "wineventlog"(表示 Windows 事件日志 API)或 "wineventlog-experimental"(表示其实验性实现)。

必填:是

winlog.activity_id

标识当前活动的全局唯一标识符。使用此标识符发布的事件属于同一活动。

类型:关键字

必填:否

winlog.computer_name

生成记录的计算机的名称。使用 Windows 事件转发时,此名称可能与 agent.hostname 不同。

类型:关键字

必填:是

winlog.computerObject.domain

在事件中添加、修改或删除的帐户的域。

类型:关键字

必填:否

winlog.computerObject.id

标识目标设备的全局唯一标识符。

类型:关键字

必填:否

winlog.computerObject.name

在事件中添加、修改或删除的帐户名称。

类型:关键字

必填:否

winlog.event_data

特定于事件的数据。此字段与 user_data 互斥。如果要在 Windows Vista 之前的版本上捕获事件数据,则 event_data 中的参数将命名为 param1param2,依此类推,因为在早期版本的 Windows 中,事件日志参数未命名。

类型:对象

必填:否

event_data

这是 Windows 事件中使用的参数的不完整列表。通过在模板中定义这些字段,可以在仪表板和机器学习作业中使用它们。

winlog.event_data.AuthenticationPackageName

类型:关键字

winlog.event_data.Binary

类型:关键字

winlog.event_data.BitlockerUserInputTime

类型:关键字

winlog.event_data.BootMode

类型:关键字

winlog.event_data.BootType

类型:关键字

winlog.event_data.BuildVersion

类型:关键字

winlog.event_data.CallTrace

类型:关键字

winlog.event_data.ClientInfo

类型:关键字

winlog.event_data.Company

类型:关键字

winlog.event_data.Configuration

类型:关键字

winlog.event_data.CorruptionActionState

类型:关键字

winlog.event_data.CreationUtcTime

类型:关键字

winlog.event_data.Description

类型:关键字

winlog.event_data.Detail

类型:关键字

winlog.event_data.DeviceName

类型:关键字

winlog.event_data.DeviceNameLength

类型:关键字

winlog.event_data.DeviceTime

类型:关键字

winlog.event_data.DeviceVersionMajor

类型:关键字

winlog.event_data.DeviceVersionMinor

类型:关键字

winlog.event_data.DriveName

类型:关键字

winlog.event_data.DriverName

类型:关键字

winlog.event_data.DriverNameLength

类型:关键字

winlog.event_data.DwordVal

类型:关键字

winlog.event_data.EntryCount

类型:关键字

winlog.event_data.EventType

类型:关键字

winlog.event_data.EventNamespace

类型:关键字

winlog.event_data.ExtraInfo

类型:关键字

winlog.event_data.FailureName

类型:关键字

winlog.event_data.FailureNameLength

类型:关键字

winlog.event_data.FileVersion

类型:关键字

winlog.event_data.FinalStatus

类型:关键字

winlog.event_data.GrantedAccess

类型:关键字

winlog.event_data.Group

类型:关键字

winlog.event_data.IdleImplementation

类型:关键字

winlog.event_data.IdleStateCount

类型:关键字

winlog.event_data.ImpersonationLevel

类型:关键字

winlog.event_data.IntegrityLevel

类型:关键字

winlog.event_data.IpAddress

类型:关键字

winlog.event_data.IpPort

类型:关键字

winlog.event_data.KeyLength

类型:关键字

winlog.event_data.LastBootGood

类型:关键字

winlog.event_data.LastShutdownGood

类型:关键字

winlog.event_data.LmPackageName

类型:关键字

winlog.event_data.LogonGuid

类型:关键字

winlog.event_data.LogonId

类型:关键字

winlog.event_data.LogonProcessName

类型:关键字

winlog.event_data.LogonType

类型:关键字

winlog.event_data.MajorVersion

类型:关键字

winlog.event_data.MaximumPerformancePercent

类型:关键字

winlog.event_data.MemberName

类型:关键字

winlog.event_data.MemberSid

类型:关键字

winlog.event_data.MinimumPerformancePercent

类型:关键字

winlog.event_data.MinimumThrottlePercent

类型:关键字

winlog.event_data.MinorVersion

类型:关键字

winlog.event_data.Name

类型:关键字

winlog.event_data.NewProcessId

类型:关键字

winlog.event_data.NewProcessName

类型:关键字

winlog.event_data.NewSchemeGuid

类型:关键字

winlog.event_data.NewThreadId

类型:关键字

winlog.event_data.NewTime

类型:关键字

winlog.event_data.NominalFrequency

类型:关键字

winlog.event_data.Number

类型:关键字

winlog.event_data.OldSchemeGuid

类型:关键字

winlog.event_data.OldTime

类型:关键字

winlog.event_data.Operation

类型:关键字

winlog.event_data.OriginalFileName

类型:关键字

winlog.event_data.Path

类型:关键字

winlog.event_data.PerformanceImplementation

类型:关键字

winlog.event_data.PreviousCreationUtcTime

类型:关键字

winlog.event_data.PreviousTime

类型:关键字

winlog.event_data.PrivilegeList

类型:关键字

winlog.event_data.ProcessId

类型:关键字

winlog.event_data.ProcessName

类型:关键字

winlog.event_data.ProcessPath

类型:关键字

winlog.event_data.ProcessPid

类型:关键字

winlog.event_data.Product

类型:关键字

winlog.event_data.PuaCount

类型:关键字

winlog.event_data.PuaPolicyId

类型:关键字

winlog.event_data.QfeVersion

类型:关键字

winlog.event_data.Query

类型:关键字

winlog.event_data.Reason

类型:关键字

winlog.event_data.SchemaVersion

类型:关键字

winlog.event_data.ScriptBlockText

类型:关键字

winlog.event_data.ServiceName

类型:关键字

winlog.event_data.ServiceVersion

类型:关键字

winlog.event_data.Session

类型:关键字

winlog.event_data.ShutdownActionType

类型:关键字

winlog.event_data.ShutdownEventCode

类型:关键字

winlog.event_data.ShutdownReason

类型:关键字

winlog.event_data.Signature

类型:关键字

winlog.event_data.SignatureStatus

类型:关键字

winlog.event_data.Signed

类型:关键字

winlog.event_data.StartAddress

类型:关键字

winlog.event_data.StartFunction

类型:关键字

winlog.event_data.StartModule

类型:关键字

winlog.event_data.StartTime

类型:关键字

winlog.event_data.State

类型:关键字

winlog.event_data.Status

类型:关键字

winlog.event_data.StopTime

类型:关键字

winlog.event_data.SubjectDomainName

类型:关键字

winlog.event_data.SubjectLogonId

类型:关键字

winlog.event_data.SubjectUserName

类型:关键字

winlog.event_data.SubjectUserSid

类型:关键字

winlog.event_data.TSId

类型:关键字

winlog.event_data.TargetDomainName

类型:关键字

winlog.event_data.TargetImage

类型:关键字

winlog.event_data.TargetInfo

类型:关键字

winlog.event_data.TargetLogonGuid

类型:关键字

winlog.event_data.TargetLogonId

类型:关键字

winlog.event_data.TargetProcessGUID

类型:关键字

winlog.event_data.TargetProcessId

类型:关键字

winlog.event_data.TargetServerName

类型:关键字

winlog.event_data.TargetUserName

类型:关键字

winlog.event_data.TargetUserSid

类型:关键字

winlog.event_data.TerminalSessionId

类型:关键字

winlog.event_data.TokenElevationType

类型:关键字

winlog.event_data.TransmittedServices

类型:关键字

winlog.event_data.Type

类型:关键字

winlog.event_data.UserSid

类型:关键字

winlog.event_data.Version

类型:关键字

winlog.event_data.Workstation

类型:关键字

winlog.event_data.param1

类型:关键字

winlog.event_data.param2

类型:关键字

winlog.event_data.param3

类型:关键字

winlog.event_data.param4

类型:关键字

winlog.event_data.param5

类型:关键字

winlog.event_data.param6

类型:关键字

winlog.event_data.param7

类型:关键字

winlog.event_data.param8

类型:关键字

winlog.event_id

事件标识符。该值特定于事件的来源。

类型:关键字

必填:是

winlog.keywords

关键字用于对事件进行分类。

类型:关键字

必填:否

winlog.channel

从中读取此记录的通道的名称。此值为配置中 event_logs 集合中的一个名称。

类型:关键字

必填:是

winlog.record_id

事件日志记录的记录 ID。写入事件日志的第一条记录的记录号为 1,其他记录按顺序编号。如果记录号达到最大值(事件日志记录 API 为 232,Windows 事件日志 API 为 264),则下一个记录号将为 0。

类型:关键字

必填:是

winlog.related_activity_id

标识已将控件转移到的活动的全局唯一标识符。然后,相关事件会将此标识符作为其 activity_id 标识符。

类型:关键字

必填:否

winlog.opcode

事件中定义的操作码。任务和操作码通常用于标识记录事件的应用程序中的位置。

类型:关键字

必填:否

winlog.provider_guid

标识记录事件的提供程序的全局唯一标识符。

类型:关键字

必填:否

winlog.process.pid

客户端服务器运行时进程的 process_id。

类型:长整型

必填:否

winlog.provider_name

事件日志记录的来源(记录记录的应用程序或服务)。

类型:关键字

必填:是

winlog.task

事件中定义的任务。任务和操作码通常用于标识记录事件的应用程序中的位置。事件日志记录 API(在 Windows Vista 之前的操作系统上)使用的类别将写入此字段。

类型:关键字

必填:否

winlog.time_created

事件创建时间。

类型:日期

必填:否

winlog.trustAttribute

为创建到域的新信任创建的属性的十进制值。

类型:关键字

必填:否

winlog.trustDirection

为域创建的新信任的方向。可能的值为 TRUST_DIRECTION_DISABLEDTRUST_DIRECTION_INBOUNDTRUST_DIRECTION_OUTBOUNDTRUST_DIRECTION_BIDIRECTIONAL

类型:关键字

必填:否

winlog.trustType

在事件中添加、修改或删除的帐户名称。可能的值为 TRUST_TYPE_DOWNLEVELTRUST_TYPE_UPLEVELTRUST_TYPE_MITTRUST_TYPE_DCE

类型:关键字

必填:否

winlog.process.thread.id

类型:长整型

必填:否

winlog.user_data

特定于事件的数据。此字段与 event_data 互斥。

类型:对象

必填:否

winlog.user.identifier

与此事件关联的帐户的 Windows 安全标识符 (SID)。如果 Winlogbeat 无法将 SID 解析为名称,则事件中将省略 user.nameuser.domainuser.type 字段。如果您发现 Winlogbeat 未解析 SID,请查看日志以查找有关问题原因的线索。

类型:关键字

示例:S-1-5-21-3541430928-2051711210-1391384369-1001

必填:否

winlog.user.name

与此事件关联的用户的名称。

类型:关键字

winlog.user.domain

与此事件关联的帐户所属的域。

类型:关键字

必填:否

winlog.user.type

与此事件关联的帐户的类型。

类型:关键字

必填:否

winlog.version

事件定义的版本号。

类型:长整型

必填:否

« Sysmon 模块字段 监控 Winlogbeat »