客户端字段
编辑客户端字段编辑
客户端被定义为与有关会话、连接或双向流量记录的事件相关的网络连接的启动者。
对于 TCP 事件,客户端是发送 SYN 数据包的 TCP 连接的启动者。对于其他协议,客户端通常是网络事务中的启动者或请求者。某些系统使用术语“发起者”来指代 TCP 连接中的客户端。客户端字段描述了在网络事件中充当客户端的系统的详细信息。客户端字段通常与服务器字段一起填充。对于包级事件,通常不会填充客户端字段。
客户端/服务器表示可以为交换添加语义上下文,这有助于在某些情况下可视化数据。如果您的上下文属于该类别,您仍然应该确保源和目标已正确填充。
客户端字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
某些事件客户端地址定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 然后,应根据其是 IP 还是域,将其复制到 类型: keyword |
扩展 |
|
|
从客户端发送到服务器的字节数。 类型: long 示例: |
核心 |
|
|
客户端系统的域名。 此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从丰富中添加。 类型: keyword 示例: |
核心 |
|
|
客户端的 IP 地址 (IPv4 或 IPv6)。 类型: ip |
核心 |
|
|
客户端的 MAC 地址。 建议使用 RFC 7042 中的符号格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,表示八位字节的无符号整数。连续的八位字节用连字符隔开。 类型: keyword 示例: |
核心 |
|
|
基于源的 NAT 会话的翻译 IP(例如,内部客户端到互联网)。 通常是穿越负载均衡器、防火墙或路由器的连接。 类型: ip |
扩展 |
|
|
基于源的 NAT 会话的翻译端口(例如,内部客户端到互联网)。 通常是穿越负载均衡器、防火墙或路由器的连接。 类型: long |
扩展 |
|
|
从客户端发送到服务器的数据包。 类型: long 示例: |
核心 |
|
|
客户端的端口。 类型: long |
核心 |
|
|
最高注册的客户端域,剥离了子域。 例如,"foo.example.com" 的注册域是 "example.com"。 此值可以使用公共后缀列表等列表精确确定(http://publicsuffix.org)。尝试通过简单地获取最后两个标签来近似此值,对于诸如 "co.uk" 之类的 TLD 来说效果不佳。 类型: keyword 示例: |
扩展 |
|
|
完全限定域名中的子域部分包含除注册域下方的主机名之外的所有名称。在部分限定域名中,或者如果无法确定全名的限定级别,则子域包含注册域下方的所有名称。 例如,"www.east.mydomain.co.uk" 的子域部分是 "east"。如果域有多级子域,例如 "sub2.sub1.example.com",则子域字段应包含 "sub2.sub1",没有尾随句点。 类型: keyword 示例: |
扩展 |
|
|
有效顶级域 (eTLD) 也称为域后缀,是域名最后部分。例如,example.com 的顶级域是 "com"。 此值可以使用公共后缀列表等列表精确确定(http://publicsuffix.org)。尝试通过简单地获取最后一个标签来近似此值,对于诸如 "co.uk" 之类的有效 TLD 来说效果不佳。 类型: keyword 示例: |
扩展 |