观察者字段
编辑观察者字段
编辑观察者被定义为一种特殊的网络、安全或应用程序设备,用于检测、观察或创建网络、安全或应用程序相关的事件和指标。
这可能是一个自定义硬件设备或已配置为运行特殊网络、安全或应用程序软件的服务器。例如,防火墙、Web 代理、入侵检测/防御系统、网络监控传感器、Web 应用程序防火墙、数据丢失预防系统和 APM 服务器。如果存在任何检测、观察和/或创建网络、安全或应用程序事件或指标的系统,则应使用 observer.* 字段填充其详细信息。ECS 中不将用于处理事件或指标的消息队列和 ETL 组件视为观察者。
观察者字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
Observer.egress 包含诸如接口编号和名称、VLAN 和区域信息等信息,用于对出站流量进行分类。单臂监控(例如跨端口上的网络传感器)应仅使用 observer.ingress 对流量进行分类。 类型:对象 |
扩展 |
|
|
观察者报告的出站流量的网络区域,用于对出站流量的目标区域进行分类,例如 Internal、External、DMZ、HR、Legal 等。 类型:关键字 示例: |
扩展 |
|
|
观察者的主机名。 类型:关键字 |
核心 |
|
|
Observer.ingress 包含诸如接口编号和名称、VLAN 和区域信息等信息,用于对入站流量进行分类。单臂监控(例如跨端口上的网络传感器)应仅使用 observer.ingress 对流量进行分类。 类型:对象 |
扩展 |
|
|
观察者报告的入站流量的网络区域,用于对入站流量的源区域进行分类。例如 internal、External、DMZ、HR、Legal 等。 类型:关键字 示例: |
扩展 |
|
|
观察者的 IP 地址。 类型:ip 注意:此字段应包含一个值数组。 |
核心 |
|
|
观察者的 MAC 地址。 建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,表示该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 类型:关键字 注意:此字段应包含一个值数组。 示例: |
核心 |
|
|
观察者的自定义名称。 这是可以赋予观察者的名称。例如,如果组织中使用了多个相同型号的防火墙,这将很有帮助。 如果不需要自定义名称,则可以将该字段留空。 类型:关键字 示例: |
扩展 |
|
|
观察者的产品名称。 类型:关键字 示例: |
扩展 |
|
|
观察者序列号。 类型:关键字 |
扩展 |
|
|
数据来源的观察者类型。 没有预定义的观察者类型列表。一些示例包括 类型:关键字 示例: |
核心 |
|
|
观察者的供应商名称。 类型:关键字 示例: |
核心 |
|
|
观察者版本。 类型:关键字 |
核心 |