- Elastic 通用架构 (ECS) 参考其他版本
- 概述
- 使用 ECS
- ECS 字段参考
- 基础字段
- 代理字段
- 自治系统字段
- 客户端字段
- 云字段
- 代码签名字段
- 容器字段
- 数据流字段
- 目标字段
- 设备字段
- DLL 字段
- DNS 字段
- ECS 字段
- ELF 头部字段
- 电子邮件字段
- 错误字段
- 事件字段
- FaaS 字段
- 文件字段
- 地理位置字段
- 组字段
- 哈希字段
- 主机字段
- HTTP 字段
- 接口字段
- 日志字段
- Mach-O 头部字段
- 网络字段
- 观察者字段
- 编排器字段
- 组织字段
- 操作系统字段
- 软件包字段
- PE 头部字段
- 进程字段
- 注册表字段
- 相关字段
- 风险信息字段
- 规则字段
- 服务器字段
- 服务字段
- 源字段
- 威胁字段
- TLS 字段
- 跟踪字段
- URL 字段
- 用户字段
- 用户代理字段
- VLAN 字段
- 卷字段
- 漏洞字段
- x509 证书字段
- ECS 分类字段
- 迁移到 ECS
- 其他信息
- 发行说明
哈希字段
编辑哈希字段
编辑哈希字段表示不同的位运算哈希算法及其值。
常用哈希(例如 MD5、SHA1)的字段名称是预定义的。对于其他哈希,请使用哈希算法名称的小写形式,并根据需要使用下划线分隔符(蛇形命名法,例如 sha3_512)来添加字段。
请注意,此字段集用于可能针对一系列通用字节计算的常用哈希。特定实体的哈希,例如 ja3 或 imphash,则放置在其相关的字段集(分别为 tls 和 pe)中。
哈希字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
[测试版] 此字段为测试版,可能会发生更改。 代码目录哈希,用于唯一标识和验证可执行代码的完整性。 类型:keyword 示例: |
扩展 |
|
|
MD5 哈希。 类型:keyword |
扩展 |
|
|
SHA1 哈希。 类型:keyword |
扩展 |
|
|
SHA256 哈希。 类型:keyword |
扩展 |
|
|
SHA384 哈希。 类型:keyword |
扩展 |
|
|
SHA512 哈希。 类型:keyword |
扩展 |
|
|
SSDEEP 哈希。 类型:keyword |
扩展 |
|
|
TLSH 哈希。 类型:keyword |
扩展 |
字段重用
编辑hash 字段预期嵌套在
-
dll.hash -
email.attachments.file.hash -
file.hash -
process.hash
另请注意,hash 字段预期不会直接用于事件的根级别。
Was this helpful?
Thank you for your feedback.