DNS 字段
编辑DNS 字段
编辑描述 DNS 查询和响应的字段。
DNS 事件应表示在获取响应之前的一次 DNS 查询 (dns.type:query),或者表示完整的交换,并包含查询详细信息以及为此查询提供的全部响应 (dns.type:answer)。
DNS 字段详细信息
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
包含一个数组,其中每个对象代表服务器返回的每个答案部分。 这些对象中应存在的关键字段由 ECS 定义。包含更多信息的记录可能包含比 ECS 定义更多的字段。 并非所有 DNS 数据源都提供 DNS 响应的全部详细信息。至少,答案对象必须包含 类型:对象 注意:此字段应包含一个值数组。 |
扩展 |
|
|
此资源记录中包含的 DNS 数据的类别。 类型:关键字 示例: |
扩展 |
|
|
描述资源的数据。 此数据的意思取决于资源记录的类型和类别。 类型:关键字 示例: |
扩展 |
|
|
此资源记录所涉及的域名。 如果正在解析 CNAME 链,则每个答案的 类型:关键字 示例: |
扩展 |
|
|
此资源记录可以在缓存之前被丢弃的时间间隔(以秒为单位)。零值表示数据不应被缓存。 类型:长整型 示例: |
扩展 |
|
|
此资源记录中包含的数据类型。 类型:关键字 示例: |
扩展 |
|
|
包含 2 个字母的 DNS 头部标志的数组。 此字段的预期值
类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
由生成查询的程序分配的 DNS 数据包标识符。该标识符会被复制到响应中。 类型:关键字 示例: |
扩展 |
|
|
DNS 操作代码,用于指定消息中查询的类型。此值由查询的发起者设置,并复制到响应中。 类型:关键字 示例: |
扩展 |
|
|
正在查询的记录的类别。 类型:关键字 示例: |
扩展 |
|
|
正在查询的名称。 如果名称字段包含不可打印字符(小于 32 或大于 126),则应将其表示为转义的基数 10 整数 (\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。 类型:关键字 示例: |
扩展 |
|
|
已注册的最高域名,已去除子域名。 例如,“foo.example.com”的已注册域名是“example.com”。 可以使用类似公共后缀列表 (http://publicsuffix.org) 的列表精确确定此值。仅仅通过获取最后两个标签来近似此值对于“co.uk”等 TLD 来说效果不佳。 类型:关键字 示例: |
扩展 |
|
|
子域名是已注册域名下方的所有标签。 如果域名有多个子域名级别,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,没有尾随句点。 类型:关键字 示例: |
扩展 |
|
|
有效顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。 可以使用类似公共后缀列表 (http://publicsuffix.org) 的列表精确确定此值。仅仅通过获取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不佳。 类型:关键字 示例: |
扩展 |
|
|
正在查询的记录类型。 类型:关键字 示例: |
扩展 |
|
|
包含 由于 类型:ip 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
DNS 响应代码。 类型:关键字 示例: |
扩展 |
|
|
捕获的 DNS 事件类型,查询或响应。 如果您的 DNS 事件源仅为您提供 DNS 查询,则您应该只创建类型为 如果您的 DNS 事件源也为您提供响应,则您应该为每个查询创建一个事件(可选地,在看到查询时立即创建)。并创建一个包含所有查询详细信息以及响应数组的第二个事件。 类型:关键字 示例: |
扩展 |