组字段
编辑组字段
编辑组字段用于表示与事件相关的组。
组字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
组所属目录的名称。 例如,LDAP 或 Active Directory 域名。 类型:keyword |
扩展 |
|
|
系统/平台上组的唯一标识符。 类型:keyword |
扩展 |
|
|
组的名称。 类型:keyword |
扩展 |
字段重用
编辑预期group字段嵌套在以下位置:
-
process.attested_groups -
process.group -
process.real_group -
process.saved_group -
process.supplemental_groups -
user.group
另请注意,group字段可以直接用于事件的根级别。