源字段
编辑源字段
编辑源字段捕获网络交换/数据包发送方的详细信息。这些字段是从网络事件、数据包或其他包含网络事务详细信息的事件中填充的。
源字段通常与目标字段一起填充。源字段和目标字段被认为是基线,如果事件包含网络事务的源和目标详细信息,则应始终填充它们。如果事件还包含客户端和服务器角色的标识,则还应填充客户端和服务器字段。
源字段详细信息
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
某些事件源地址定义不明确。事件有时会列出 IP 地址、域名或 Unix 套接字。您应始终将原始地址存储在 然后应根据实际情况将其复制到 类型:keyword |
扩展 |
|
|
从源发送到目标的字节数。 类型:long 示例: |
核心 |
|
|
源系统的域名。 此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件或从丰富信息中添加。 类型:keyword 示例: |
核心 |
|
|
源的 IP 地址 (IPv4 或 IPv6)。 类型:ip |
核心 |
|
|
源的 MAC 地址。 建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,表示该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 类型:keyword 示例: |
核心 |
|
|
基于 NAT 会话的源转换后的 IP 地址(例如,内部客户端到互联网)。 通常用于穿越负载均衡器、防火墙或路由器的连接。 类型:ip |
扩展 |
|
|
基于 NAT 会话的源转换后的端口。(例如,内部客户端到互联网)。 通常与负载均衡器、防火墙或路由器一起使用。 类型:long |
扩展 |
|
|
从源发送到目标的数据包数。 类型:long 示例: |
核心 |
|
|
源的端口。 类型:long |
核心 |
|
|
最高注册的源域名,已去除子域名。 例如,“foo.example.com”的注册域名是“example.com”。 可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确确定此值。仅仅通过获取最后两个标签来近似此值对于诸如“co.uk”之类的顶级域名不起作用。 类型:keyword 示例: |
扩展 |
|
|
完全限定域名中的子域名部分包括注册域名下除主机名之外的所有名称。在部分限定域名中,或者如果无法确定全名的限定级别,则子域名包含注册域名下方的所有名称。 例如,“www.east.mydomain.co.uk”的子域名部分是“east”。如果域名具有多个子域名级别,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,不带尾随句点。 类型:keyword 示例: |
扩展 |
|
|
有效的顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。例如,example.com 的顶级域名是“com”。 可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确确定此值。仅仅通过获取最后一个标签来近似此值对于诸如“co.uk”之类的有效顶级域名不起作用。 类型:keyword 示例: |
扩展 |
字段重用
编辑预期 source 字段嵌套在
-
process.entry_meta.source
另请注意,source 字段可以直接在事件的根目录中使用。