地理字段
编辑地理字段
编辑地理字段可以携带与事件相关的特定位置的数据。
此地理位置信息可以源自诸如 Geo IP 之类的技术,也可以由用户提供。
地理字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
城市名称。 类型:keyword 示例: |
核心 |
|
|
代表洲名称的两位字母代码。 类型:keyword 示例: |
核心 |
|
|
洲的名称。 类型:keyword 示例: |
核心 |
|
|
国家 ISO 代码。 类型:keyword 示例: |
核心 |
|
|
国家名称。 类型:keyword 示例: |
核心 |
|
|
经度和纬度。 类型:geo_point 示例: |
核心 |
|
|
用户定义的位置描述,粒度级别取决于用户关注的程度。 如果描述的是本地物理实体,则可以是其数据中心的名称、楼层编号或城市名称。 通常不用于自动地理定位。 类型:keyword 示例: |
扩展 |
|
|
与位置相关的邮政编码。 此字段的适当值也可能被称为邮政编码或邮编,并且在不同国家/地区差异很大。 类型:keyword 示例: |
核心 |
|
|
地区 ISO 代码。 类型:keyword 示例: |
核心 |
|
|
地区名称。 类型:keyword 示例: |
核心 |
|
|
位置的时区,例如 IANA 时区名称。 类型:keyword 示例: |
核心 |
字段重用
编辑预期geo字段嵌套在
-
client.geo -
destination.geo -
host.geo -
observer.geo -
server.geo -
source.geo -
threat.enrichments.indicator.geo -
threat.indicator.geo
另请注意,geo字段不应直接用于事件的根目录。