网络字段
编辑网络字段
编辑网络定义为主机或网络事件发生的通信路径。
network.* 字段应填充与事件关联的网络活动的详细信息。
网络字段详细信息
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
当从网络连接详细信息(源/目标 IP、端口、证书或线格式)识别出特定的应用程序或服务时,此字段会捕获应用程序或服务的名称。 例如,原始事件识别网络连接来自 字段值必须规范化为小写以进行查询。 类型:keyword 示例: |
扩展 |
|
|
双向传输的总字节数。 如果已知 类型:long 示例: |
核心 |
|
|
源和目标 IP 和端口以及通信中使用的协议的哈希值。这是识别流的工具无关标准。 了解更多信息,请访问 https://github.com/corelight/community-id-spec。 类型:keyword 示例: |
扩展 |
|
|
网络流量的方向。 从主机监控上下文中映射事件时,请从主机的角度填充此字段,使用“ingress”或“egress”值。 从网络或外围监控上下文中映射事件时,请从网络外围的角度填充此字段,使用“inbound”、“outbound”、“internal”或“external”值。 请注意,“internal”不会跨越外围边界,旨在描述外围内两台主机之间的通信。另请注意,“external”旨在描述两台主机之间的流量,这两台主机位于外围之外。例如,这对于 ISP 或 VPN 服务提供商可能很有用。 此字段的预期值
类型:keyword 示例: |
核心 |
|
|
源 IP 地址为代理时,主机 IP 地址。 类型:ip 示例: |
核心 |
|
|
IANA 协议编号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议编号的 NetFlow 和 sFlow 相关日志非常吻合。 类型:keyword 示例: |
扩展 |
|
|
除了 network.vlan 字段外,还添加了 Network.inner 字段来描述存在 q-in-q VLAN 标记时的最内层 VLAN。允许的字段包括 vlan.id 和 vlan.name。当将具有多个 802.1q 封装的流量发送到网络传感器(例如 Zeek、Wireshark)时,通常会使用内部 vlan 字段。 类型:object |
扩展 |
|
|
运营商为其网络部分指定的名称。 类型:keyword 示例: |
扩展 |
|
|
双向传输的总数据包数。 如果已知 类型:long 示例: |
核心 |
|
|
在 OSI 模型中,这将是应用层协议。例如, 字段值必须规范化为小写以进行查询。 类型:keyword 示例: |
核心 |
|
|
与 network.iana_number 相同,但使用传输层的关键字名称(udp、tcp、ipv6-icmp 等)。 字段值必须规范化为小写以进行查询。 类型:keyword 示例: |
核心 |
|
|
在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等 字段值必须规范化为小写以进行查询。 类型:keyword 示例: |
核心 |