事件字段
编辑事件字段
编辑事件字段用于提供关于日志或指标事件本身的上下文信息。
日志定义为包含事件细节的事件。日志事件必须包含事件发生的时间。日志事件的示例包括主机上启动进程、从源到目标发送网络数据包或客户端和服务器之间的网络连接启动或关闭。指标定义为包含一个或多个数值测量值及其测量时间的事件。指标事件的示例包括主机上测量的内存压力和设备温度。有关指标和状态事件的更多详细信息,请参阅本节中的event.kind定义。
事件字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
事件捕获的动作。 这描述了事件中的信息。它比 类型:keyword 示例: |
核心 |
|
|
代理通常负责填充 例如,如果代理的连接使用 mTLS 进行身份验证,并且客户端证书包含颁发给该证书的代理的 ID,则可以针对证书检查事件中的 如果未执行验证,则应省略此字段。 允许的值为:
类型:keyword 示例: |
扩展 |
|
|
这是四个 ECS 分类字段之一,表示 ECS 分类层次结构中的第二级。
此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。 类型:keyword 注意:此字段应包含一个值数组。 重要:字段值必须是以下值之一: api, authentication, configuration, database, driver, email, file, host, iam, intrusion_detection, library, malware, network, package, process, registry, session, threat, vulnerability, web 要了解何时使用哪个值,请访问页面event.category 的允许值 |
核心 |
|
|
此事件的标识代码(如果存在)。 一些事件源使用事件代码来明确标识消息,而不管消息语言或措辞随时间的调整如何。Windows 事件 ID 就是一个示例。 类型:keyword 示例: |
扩展 |
|
|
此字段与 在大多数情况下,这两个时间戳略有不同。差异可用于计算事件源生成事件与代理首次处理事件之间的时间延迟。这可用于监控代理或管道的跟上事件源的能力。 如果这两个时间戳相同,则应使用 类型:date 示例: |
核心 |
|
|
数据集的名称。 如果事件源发布多种类型的日志或事件(例如访问日志、错误日志),则数据集用于指定事件来自哪个源。 建议但不强制要求数据集名称以模块名称开头,后跟一个点,然后是数据集名称。 类型:keyword 示例: |
核心 |
|
|
事件持续时间(以纳秒为单位)。 如果已知 类型:long |
核心 |
|
|
类型:date |
扩展 |
|
|
原始字段的哈希值(可能是 logstash 指纹),用于证明日志完整性。 类型:keyword 示例: |
扩展 |
|
|
用于描述事件的唯一 ID。 类型:keyword 示例: |
核心 |
|
|
事件到达中央数据存储的时间戳。 这与 在正常情况下,假设没有篡改,时间戳的顺序应如下所示: 类型:date 示例: |
核心 |
|
|
这是四个 ECS 分类字段之一,表示 ECS 分类层次结构中的最高级别。
此字段的值可用于告知如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制,它还有助于理解数据是否以规则的间隔进入。 类型:keyword 重要:字段值必须是以下值之一: alert, asset, enrichment, event, metric, state, pipeline_error, signal 要了解何时使用哪个值,请访问页面event.kind 的允许值 |
核心 |
|
|
此数据来源的模块名称。 如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如 Apache 日志),则 类型:keyword 示例: |
核心 |
|
|
整个事件的原始文本消息。用于证明日志完整性或在需要完整日志消息(在将其分成多个部分之前)的地方,例如用于重新索引。 此字段未编入索引,并且禁用了 doc_values。它无法搜索,但可以从 类型:keyword 示例: |
核心 |
|
|
这是四个 ECS 分类字段之一,表示 ECS 分类层次结构中的最低级别。
请注意,当单个事务在多个事件中描述时,每个事件可能会填充 另请注意,对于复合事件(包含多个逻辑事件的单个事件),此字段应填充最能捕获事件生成者视角的整体成功或失败的值。 此外,并非所有事件都具有相关的结果。例如,此字段通常不填充指标事件、 类型:keyword 重要:字段值必须是以下值之一: failure, success, unknown 要了解何时使用哪个值,请访问页面event.outcome 的允许值 |
核心 |
|
|
事件的来源。 Syslog 或 Windows 事件日志等事件传输通常会提及事件的来源。它可以是生成事件的软件的名称(例如 Sysmon、httpd),也可以是操作系统的子系统的名称(内核、Microsoft-Windows-Security-Auditing)。 类型:keyword 示例: |
扩展 |
|
|
根据来源,此事件发生的原因。 这描述了事件中捕获的特定操作或结果的原因。其中 类型:keyword 示例: |
扩展 |
|
|
指向此事件的附加信息的参考 URL。 此 URL 链接到此事件的静态定义。 类型:keyword 示例: |
扩展 |
|
|
事件的风险评分或优先级(例如,安全解决方案)。请在此处使用您系统中的原始值。 类型:浮点数 |
核心 |
|
|
事件的标准化风险评分或优先级,范围为 0 到 100。 如果您使用多个分配风险评分的系统,并且希望查看所有系统的标准化值,这将非常有用。 类型:浮点数 |
扩展 |
|
|
事件的序列号。 序列号是由某些事件源发布的值,用于明确事件的精确顺序,而不管时间戳的精度如何。 类型:long |
扩展 |
|
|
根据您的事件源,事件的数值严重性。 不同的严重性值含义可能因来源和用例而异。实现者有责任确保来自同一来源的事件的严重性保持一致。 Syslog 严重性属于 类型:long 示例: |
核心 |
|
|
类型:date |
扩展 |
|
|
当事件的时间戳未包含时区信息时(例如,默认的 Syslog 时间戳),应填充此字段。否则为可选。 可接受的时区格式为:规范 ID(例如,“Europe/Amsterdam”)、缩写(例如,“EST”)或 HH:mm 差值(例如,“-05:00”)。 类型:keyword |
扩展 |
|
|
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。
此字段是一个数组。这允许对属于多个事件类型的某些事件进行正确的分类。 类型:keyword 注意:此字段应包含一个值数组。 重要:字段值必须是以下值之一: 访问、管理、允许、更改、连接、创建、删除、拒绝、结束、错误、组、指标、信息、安装、协议、开始、用户 要了解何时使用哪个值,请访问页面 event.type 的允许值 |
核心 |
|
|
链接到外部系统以继续调查此事件的 URL。 此 URL 链接到另一个系统,可以在该系统中对该事件的特定发生情况进行深入调查。由 类型:keyword 示例: |
扩展 |