VLAN 字段
编辑VLAN 字段
编辑VLAN 字段用于识别数据包的 802.1q 标签,以及观察者相对于特定数据包或连接的入口和出口 VLAN 关联。
Network.vlan 字段用于记录单个 VLAN 标签,或者在 q-in-q 封装情况下记录数据包或连接的外部标签,通常由网络传感器(例如 Zeek、Wireshark)被动报告流量提供。
Network.inner VLAN 字段用于报告观察到的内部 q-in-q 802.1q 标签(多个 802.1q 封装),通常由网络传感器(例如 Zeek、Wireshark)被动报告流量提供。Network.inner VLAN 字段应仅与 network.vlan 字段一起使用,以指示 q-in-q 打标。
Observer.ingress 和 observer.egress VLAN 值用于记录观察者特定信息,当观察者事件包含离散的入口和出口 VLAN 信息时,通常由防火墙、路由器或负载均衡器提供。
VLAN 字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
观察者报告的 VLAN ID。 类型:keyword 示例: |
扩展 |
|
|
观察者报告的可选 VLAN 名称。 类型:keyword 示例: |
扩展 |
字段重用
编辑vlan 字段预计嵌套在
-
network.inner.vlan -
network.vlan -
observer.egress.vlan -
observer.ingress.vlan
另请注意,vlan 字段预计不会直接在事件的根目录下使用。