- Elastic 通用架构 (ECS) 参考其他版本
- 概述
- 使用 ECS
- ECS 字段参考
- 基础字段
- 代理字段
- 自治系统字段
- 客户端字段
- 云字段
- 代码签名字段
- 容器字段
- 数据流字段
- 目标字段
- 设备字段
- DLL 字段
- DNS 字段
- ECS 字段
- ELF 头部字段
- 电子邮件字段
- 错误字段
- 事件字段
- FaaS 字段
- 文件字段
- 地理位置字段
- 组字段
- 哈希字段
- 主机字段
- HTTP 字段
- 接口字段
- 日志字段
- Mach-O 头部字段
- 网络字段
- 观察者字段
- 编排器字段
- 组织字段
- 操作系统字段
- 软件包字段
- PE 头部字段
- 进程字段
- 注册表字段
- 相关字段
- 风险信息字段
- 规则字段
- 服务器字段
- 服务字段
- 源字段
- 威胁字段
- TLS 字段
- 跟踪字段
- URL 字段
- 用户字段
- 用户代理字段
- VLAN 字段
- 卷字段
- 漏洞字段
- x509 证书字段
- ECS 分类字段
- 迁移到 ECS
- 其他信息
- 发行说明
VLAN 字段
编辑VLAN 字段
编辑VLAN 字段用于识别数据包的 802.1q 标签,以及观察者相对于特定数据包或连接的入口和出口 VLAN 关联。
Network.vlan 字段用于记录单个 VLAN 标签,或者在 q-in-q 封装情况下记录数据包或连接的外部标签,通常由网络传感器(例如 Zeek、Wireshark)被动报告流量提供。
Network.inner VLAN 字段用于报告观察到的内部 q-in-q 802.1q 标签(多个 802.1q 封装),通常由网络传感器(例如 Zeek、Wireshark)被动报告流量提供。Network.inner VLAN 字段应仅与 network.vlan 字段一起使用,以指示 q-in-q 打标。
Observer.ingress 和 observer.egress VLAN 值用于记录观察者特定信息,当观察者事件包含离散的入口和出口 VLAN 信息时,通常由防火墙、路由器或负载均衡器提供。
VLAN 字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
观察者报告的 VLAN ID。 类型:keyword 示例: |
扩展 |
|
|
观察者报告的可选 VLAN 名称。 类型:keyword 示例: |
扩展 |
字段重用
编辑vlan 字段预计嵌套在
-
network.inner.vlan -
network.vlan -
observer.egress.vlan -
observer.ingress.vlan
另请注意,vlan 字段预计不会直接在事件的根目录下使用。
Was this helpful?
Thank you for your feedback.