Elastic 通用架构 (ECS) 参考其他版本
概述
使用 ECS
ECS 字段参考
ECS 分类字段
迁移到 ECS
- 支持 ECS 的产品和解决方案
- 将自定义数据映射到 ECS
其他信息
发行说明
- 8.16.0
- 8.11.0
- 8.10.0
- 8.9.0
- 8.8.0
- 8.7.0
- 8.6.1
- 8.6.0
- 8.5.2
- 8.5.1
- 8.5.0
- 8.4.0
- 8.3.1
- 8.3.0
- 8.2.1
- 8.2.0
- 8.1.0
- 8.0.1
- 8.0.0

› ›

ELF 头字段

编辑

ELF 头字段

编辑

这些字段包含 Linux 可执行链接格式 (ELF) 元数据。

这些字段处于测试阶段，可能会发生更改。

ELF 头字段详情

编辑

字段	描述	级别
elf.architecture	ELF 文件的机器架构。类型: keyword 示例: `x86-64`	扩展
elf.byte_order	ELF 文件的字节序。类型: keyword 示例: `小端序`	扩展
elf.cpu_type	ELF 文件的 CPU 类型。类型: keyword 示例: `Intel`	扩展
elf.creation_date	尽可能从文件元数据中提取。指示其构建或编译时间。恶意软件创建者也可以伪造它。类型: date	扩展
elf.exports	导出的元素名称和类型的列表。类型: flattened 注意: 此字段应包含一个值数组。	扩展
elf.go_import_hash	ELF 文件中 Go 语言导入的哈希值，不包括标准库导入。即使在重新编译或发生其他代码级转换后（这会更改更传统的哈希值），导入哈希也可用于识别二进制文件。用于计算 Go 符号哈希的算法和参考实现可在[此处](https://github.com/elastic/toutoumomoma)找到。类型: keyword 示例: `10bddcb4cee42080f76c88d9ff964491`	扩展
elf.go_imports	导入的 Go 语言元素名称和类型的列表。类型: flattened	扩展
elf.go_imports_names_entropy	来自 Go 导入列表的香农熵计算。类型: long	扩展
elf.go_imports_names_var_entropy	来自 Go 导入列表的香农熵计算的方差。类型: long	扩展
elf.go_stripped	如果文件是其符号已被剥离或混淆的 Go 可执行文件，则设置为 true；如果是非混淆的 Go 可执行文件，则设置为 false。类型: boolean	扩展
elf.header.abi_version	ELF 应用二进制接口 (ABI) 的版本。类型: keyword	扩展
elf.header.class	ELF 文件的头类。类型: keyword	扩展
elf.header.data	ELF 头的数据表。类型: keyword	扩展
elf.header.entrypoint	ELF 文件的头入口点。类型: long	扩展
elf.header.object_version	原始 ELF 文件为“0x1”。类型: keyword	扩展
elf.header.os_abi	Linux 操作系统的应用二进制接口 (ABI)。类型: keyword	扩展
elf.header.type	ELF 文件的头类型。类型: keyword	扩展
elf.header.version	ELF 头的版本。类型: keyword	扩展
elf.import_hash	ELF 文件中导入的哈希值。即使在重新编译或发生其他代码级转换后（这会更改更传统的哈希值），导入哈希也可用于识别二进制文件。这是 Windows PE imphash 的 ELF 实现。类型: keyword 示例: `d41d8cd98f00b204e9800998ecf8427e`	扩展
elf.imports	导入的元素名称和类型的列表。类型: flattened 注意: 此字段应包含一个值数组。	扩展
elf.imports_names_entropy	来自导入的元素名称和类型列表的香农熵计算。类型: long	扩展
elf.imports_names_var_entropy	来自导入的元素名称和类型列表的香农熵计算的方差。类型: long	扩展
elf.sections	一个数组，包含 ELF 文件每个节的对象。这些对象中应存在的键由`elf.sections.*`下的子字段定义。类型: nested 注意: 此字段应包含一个值数组。	扩展
elf.sections.chi2	节的卡方概率分布。类型: long	扩展
elf.sections.entropy	来自节的香农熵计算。类型: long	扩展
elf.sections.flags	ELF 节列表标志。类型: keyword	扩展
elf.sections.name	ELF 节列表名称。类型: keyword	扩展
elf.sections.physical_offset	ELF 节列表偏移量。类型: keyword	扩展
elf.sections.physical_size	ELF 节列表物理大小。类型: long	扩展
elf.sections.type	ELF 节列表类型。类型: keyword	扩展
elf.sections.var_entropy	来自节的香农熵计算的方差。类型: long	扩展
elf.sections.virtual_address	ELF 节列表虚拟地址。类型: long	扩展
elf.sections.virtual_size	ELF 节列表虚拟大小。类型: long	扩展
elf.segments	一个数组，包含 ELF 文件每个段的对象。这些对象中应存在的键由`elf.segments.*`下的子字段定义。类型: nested 注意: 此字段应包含一个值数组。	扩展
elf.segments.sections	ELF 对象段节。类型: keyword	扩展
elf.segments.type	ELF 对象段类型。类型: keyword	扩展
elf.shared_libraries	此 ELF 对象使用的共享库列表。类型: keyword 注意: 此字段应包含一个值数组。	扩展
elf.telfhash	ELF 文件的 telfhash 符号哈希。类型: keyword	扩展

字段重用

编辑

elf 字段应嵌套在

file.elf
process.elf

另请注意，elf 字段不应直接在事件的根目录下使用。

« ECS 字段电子邮件字段 »

On this page

ELF 头字段详情
字段重用

Was this helpful?

Feedback

The Search AI Company

ELK Stack

Elastic Cloud

Generative AI

Search

Security

Observability

By solution

Industries

Customer spotlight

Research

Build

Learn

Connect

ELF 头字段

ELF 头字段

ELF 头字段详情

字段重用

Follow us

About us

Join us

Partners

Trust & Security

Investor relations

Excellence Awards

About us

Join us

Partners

Trust & Security

Investor relations

Excellence Awards