客户端字段
编辑客户端字段
编辑客户端被定义为网络连接的发起方,用于与会话、连接或双向流量记录相关的事件。
对于 TCP 事件,客户端是发送 SYN 数据包的 TCP 连接的发起方。对于其他协议,客户端通常是网络事务中的发起方或请求方。某些系统使用术语“发起者”来指代 TCP 连接中的客户端。客户端字段描述了在网络事件中充当客户端的系统的详细信息。客户端字段通常与服务器字段一起填充。对于数据包级事件,通常不会填充客户端字段。
客户端/服务器表示可以为交换添加语义上下文,这有助于在某些情况下可视化数据。如果您的上下文属于此类别,您仍应确保源和目标已正确填充。
客户端字段详细信息
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
某些事件客户端地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 然后应将其复制到 类型:keyword |
扩展 |
|
|
从客户端发送到服务器的字节数。 类型:long 示例: |
核心 |
|
|
客户端系统的域名。 此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从丰富中添加。 类型:keyword 示例: |
核心 |
|
|
客户端的 IP 地址(IPv4 或 IPv6)。 类型:ip |
核心 |
|
|
客户端的 MAC 地址。 建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都由两个 [大写] 十六进制数字表示,表示八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 类型:keyword 示例: |
核心 |
|
|
基于源 NAT 会话的转换后的 IP(例如,内部客户端到互联网)。 通常是穿过负载均衡器、防火墙或路由器的连接。 类型:ip |
扩展 |
|
|
基于源 NAT 会话的转换后的端口(例如,内部客户端到互联网)。 通常是穿过负载均衡器、防火墙或路由器的连接。 类型:long |
扩展 |
|
|
从客户端发送到服务器的数据包数。 类型:long 示例: |
核心 |
|
|
客户端的端口。 类型:long |
核心 |
|
|
去除子域后,最高的注册客户端域名。 例如,“foo.example.com”的注册域名是“example.com”。 可以使用像公共后缀列表这样的列表精确确定此值 (http://publicsuffix.org)。简单地取最后两个标签来近似此值对于像“co.uk”这样的 TLD 来说效果不佳。 类型:keyword 示例: |
扩展 |
|
|
完全限定域名中的子域部分包括除注册域下主机名之外的所有名称。在部分限定域名中,或者如果无法确定完整名称的限定级别,则子域包含注册域下方的所有名称。 例如,“www.east.mydomain.co.uk”的子域部分是“east”。如果域名有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 类型:keyword 示例: |
扩展 |
|
|
有效顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。 可以使用像公共后缀列表这样的列表精确确定此值 (http://publicsuffix.org)。简单地取最后一个标签来近似此值对于像“co.uk”这样的有效 TLD 来说效果不佳。 类型:keyword 示例: |
扩展 |