相关字段
编辑相关字段
编辑此字段集旨在方便围绕数据片段进行枢轴分析。
某些信息可以在 ECS 事件的许多地方看到。为了方便搜索它们,请将所有已查看的值的数组存储到 related. 中的相应字段。
一个具体的例子是 IP 地址,它可以位于 host、observer、source、destination、client、server 和 network.forwarded_ip 下。如果将所有 IP 附加到 related.ip,则可以通过查询 related.ip:192.0.2.15 来轻松搜索给定的 IP,无论它出现在哪里。
相关字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
事件中看到的所有哈希值。填充此字段,然后使用它来搜索哈希值,这可以帮助您在不确定哈希算法(因此不确定要搜索哪个键名)的情况下。 类型:keyword 注意:此字段应包含一个值数组。 |
扩展 |
|
|
事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 类型:keyword 注意:此字段应包含一个值数组。 |
扩展 |
|
|
事件中看到的所有 IP。 类型:ip 注意:此字段应包含一个值数组。 |
扩展 |
|
|
事件中看到的所有用户名或其他用户标识符。 类型:keyword 注意:此字段应包含一个值数组。 |
扩展 |