日志字段
编辑日志字段
编辑关于事件日志机制或日志传输的详细信息。
log.* 字段通常填充创建和/或传输事件所使用的日志机制的详细信息。例如,syslog 详细信息位于 log.syslog.* 下。
事件源特有的详细信息通常不会记录在 log.* 下,而是记录在 event.* 或其他 ECS 字段中。
日志字段详细信息
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
此事件来源的日志文件的完整路径,包括文件名。在适当情况下,应包含驱动器号。 如果事件不是从日志文件读取的,请不要填充此字段。 类型:keyword 示例: |
扩展 |
|
|
日志事件的原始日志级别。 如果事件源提供了日志级别或文本严重性,则这是进入 一些示例包括 类型:keyword 示例: |
核心 |
|
|
应用程序内部记录器的名称。这通常是初始化记录器的类的名称,也可以是自定义名称。 类型:keyword 示例: |
核心 |
|
|
包含生成日志事件的源代码的文件的行号。 类型:long 示例: |
扩展 |
|
|
包含生成日志事件的源代码的文件的名称。 请注意,此字段并非用于捕获日志文件。捕获日志文件的正确字段是 类型:keyword 示例: |
扩展 |
|
|
生成日志事件的函数或方法的名称。 类型:keyword 示例: |
扩展 |
|
|
事件的 Syslog 元数据,如果事件是通过 Syslog 传输的。请参阅 RFC 5424 或 3164。 类型:object |
扩展 |
|
|
如果可用,则为生成 Syslog 消息的设备或应用程序。 类型:keyword 示例: |
扩展 |
|
|
如果可用,则为日志事件的 Syslog 数字设备。 根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。 类型:long 示例: |
扩展 |
|
|
如果可用,则为日志事件的 Syslog 基于文本的设备。 类型:keyword 示例: |
扩展 |
|
|
最初发送 Syslog 消息的机器的主机名、FQDN 或 IP。这来自 syslog 标头的 hostname 字段。根据环境的不同,此值可能与处理事件的主机不同,尤其是在处理事件的主机充当收集器的情况下。 类型:keyword 示例: |
扩展 |
|
|
如果可用,则为 Syslog 消息类型的标识符。仅适用于 RFC 5424 消息。 类型:keyword 示例: |
扩展 |
|
|
如果可用,则为事件的 Syslog 数字优先级。 根据 RFC 5424 和 3164,优先级为 8 * 设备 + 严重性。因此,此数字预计包含 0 到 191 之间的值。 类型:long 示例: |
扩展 |
|
|
如果可用,则为生成 Syslog 消息的进程名称或 ID。 类型:keyword 示例: |
扩展 |
|
|
如果可用,则为日志事件的 Syslog 数字严重性。 如果通过 Syslog 发布的事件源提供了不同的数字严重性值(例如,防火墙、IDS),则源的数字严重性应转到 类型:long 示例: |
扩展 |
|
|
如果可用,则为日志事件的 Syslog 数字严重性。 如果通过 Syslog 发布的事件源提供了不同的严重性值(例如,防火墙、IDS),则源的文本严重性应转到 类型:keyword 示例: |
扩展 |
|
|
如果可用,则以 RFC 5424 消息表示的结构化数据。这些是根据 RFC 5424 第 6.3 节中定义的 syslog 消息的结构化数据部分形成的键值对。 类型:flattened |
扩展 |
|
|
Syslog 协议规范的版本。仅适用于 RFC 5424 消息。 类型:keyword 示例: |
扩展 |