TLS 字段

tls.cipher

指示当前连接期间使用的加密算法的字符串。

类型：keyword

示例：TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

扩展

tls.client.certificate

客户端提供的 PEM 编码的独立证书。由于此值也存在于该列表中，因此通常与 client.certificate_chain 互斥。

类型：keyword

示例：MII...

扩展

tls.client.certificate_chain

构成客户端提供的证书链的 PEM 编码证书数组。由于该值应为链中的第一个证书，因此通常与 client.certificate 互斥。

类型：keyword

注意：此字段应包含一个值数组。

示例：["MII...", "MII..."]

扩展

tls.client.hash.md5

使用客户端提供的证书的 DER 编码版本的 MD5 摘要计算的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：keyword

示例：0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC

扩展

tls.client.hash.sha1

使用客户端提供的证书的 DER 编码版本的 SHA1 摘要计算的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：keyword

示例：9E393D93138888D288266C2D915214D1D1CCEB2A

扩展

tls.client.hash.sha256

使用客户端提供的证书的 DER 编码版本的 SHA256 摘要计算的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：keyword

示例：0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0

扩展

tls.client.issuer

客户端提供的 x.509 证书的发行者的主题的识别名称。

类型：keyword

示例：CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com

扩展

tls.client.ja3

基于客户端执行 SSL/TLS 握手的方式识别客户端的哈希值。

类型：keyword

示例：d4e5b18d6b55c71272893221c96ba240

扩展

tls.client.not_after

指示客户端证书不再被视为有效的时间/日期。

类型：date

示例：2021-01-01T00:00:00.000Z

扩展

tls.client.not_before

指示客户端证书首次被视为有效的时间/日期。

类型：date

示例：1970-01-01T00:00:00.000Z

扩展

tls.client.server_name

也称为 SNI，它告诉服务器客户端尝试连接到的主机名。当此值可用时，应将其复制到 destination.domain。

类型：keyword

示例：www.elastic.co

扩展

tls.client.subject

客户端提供的 x.509 证书的主题的识别名称。

类型：keyword

示例：CN=myclient, OU=Documentation Team, DC=example, DC=com

扩展

tls.client.supported_ciphers

客户端在客户端问候期间提供的加密算法数组。

类型：keyword

注意：此字段应包含一个值数组。

示例：["TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384", "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384", "..."]

扩展

tls.curve

指示在适用情况下，给定加密算法使用的曲线的字符串。

类型：keyword

示例：secp256r1

扩展

tls.established

布尔标志，指示 TLS 协商是否成功并过渡到加密隧道。

类型：boolean

扩展

tls.next_protocol

指示正在隧道传输的协议的字符串。根据 IANA 注册表中的值 (https://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml#alpn-protocol-ids)，此字符串应为小写。

类型：keyword

示例：http/1.1

扩展

tls.resumed

布尔标志，指示此 TLS 连接是否从现有的 TLS 协商中恢复。

类型：boolean

扩展

tls.server.certificate

服务器提供的 PEM 编码的独立证书。由于此值也存在于该列表中，因此通常与 server.certificate_chain 互斥。

类型：keyword

示例：MII...

扩展

tls.server.certificate_chain

构成服务器提供的证书链的 PEM 编码证书数组。由于该值应为链中的第一个证书，因此通常与 server.certificate 互斥。

类型：keyword

注意：此字段应包含一个值数组。

示例：["MII...", "MII..."]

扩展

tls.server.hash.md5

使用服务器提供的证书的 DER 编码版本的 MD5 摘要计算的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：keyword

示例：0F76C7F2C55BFD7D8E8B8F4BFBF0C9EC

扩展

tls.server.hash.sha1

使用服务器提供的证书的 DER 编码版本的 SHA1 摘要计算的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：keyword

示例：9E393D93138888D288266C2D915214D1D1CCEB2A

扩展

tls.server.hash.sha256

使用服务器提供的证书的 DER 编码版本的 SHA256 摘要计算的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

类型：keyword

示例：0687F666A054EF17A08E2F2162EAB4CBC0D265E1D7875BE74BF3C712CA92DAF0

扩展

tls.server.issuer

服务器提供的 x.509 证书的发行者的主题。

类型：keyword

示例：CN=Example Root CA, OU=Infrastructure Team, DC=example, DC=com

扩展

tls.server.ja3s

基于服务器执行 SSL/TLS 握手的方式识别服务器的哈希值。

类型：keyword

示例：394441ab65754e2207b1e1b457b3641d

扩展

tls.server.not_after

指示服务器证书不再被视为有效的时间戳。

类型：date

示例：2021-01-01T00:00:00.000Z

扩展

tls.server.not_before

指示服务器证书首次被视为有效的时间戳。

类型：date

示例：1970-01-01T00:00:00.000Z

扩展

tls.server.subject

服务器提供的 x.509 证书的主题。

类型：keyword

示例：CN=www.example.com, OU=Infrastructure Team, DC=example, DC=com

扩展

tls.version

从原始字符串解析的版本的数字部分。

类型：keyword

示例：1.2

扩展

tls.version_protocol

从原始字符串解析的规范化小写协议名称。

类型：keyword

示例：tls

扩展

tls.client.x509.*

x509

这些字段包含 x509 证书元数据。

tls.server.x509.*

x509

这些字段包含 x509 证书元数据。