目标字段
编辑目标字段编辑
目标字段捕获有关网络交换/数据包接收者的详细信息。这些字段从网络事件、数据包或其他包含网络事务详细信息的事件中填充。
目标字段通常与源字段一起填充。源字段和目标字段被认为是基线,如果事件包含来自网络事务的源和目标详细信息,则应始终填充。如果事件还包含对客户端和服务器角色的识别,那么还应填充客户端和服务器字段。
目标字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
某些事件目标地址的定义模棱两可。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 然后,它应根据具体情况复制到 类型: keyword |
扩展 |
|
|
从目标发送到源的字节数。 类型: long 示例: |
核心 |
|
|
目标系统的域名。 此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从丰富中添加。 类型: keyword 示例: |
核心 |
|
|
目标的 IP 地址(IPv4 或 IPv6)。 类型: ip |
核心 |
|
|
目标的 MAC 地址。 建议使用 RFC 7042 中的符号格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,表示八位字节作为无符号整数的值。连续的八位字节由连字符分隔。 类型: keyword 示例: |
核心 |
|
|
基于 NAT 会话的目的地翻译 IP(例如,互联网到私有 DMZ) 通常与负载均衡器、防火墙或路由器一起使用。 类型: ip |
扩展 |
|
|
源会话被 NAT 设备翻译到的端口。 通常与负载均衡器、防火墙或路由器一起使用。 类型: long |
扩展 |
|
|
从目标发送到源的数据包数。 类型: long 示例: |
核心 |
|
|
目标的端口。 类型: long |
核心 |
|
|
最高注册的目标域名,剥离子域名。 例如,"foo.example.com" 的注册域名为 "example.com"。 此值可以使用公共后缀列表(http://publicsuffix.org)来精确确定。尝试通过简单地获取最后两个标签来近似此值,对于“co.uk”等 TLD 来说将无法正常工作。 类型: keyword 示例: |
扩展 |
|
|
完全限定域名中的子域名部分包含除注册域名下的主机名以外的所有名称。在部分限定域名中,或者如果无法确定完整名称的限定级别,则子域名包含注册域名下方所有名称。 例如,“www.east.mydomain.co.uk” 的子域名部分是“east”。如果域有多级子域名,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,不包含尾随句点。 类型: keyword 示例: |
扩展 |
|
|
有效顶级域名 (eTLD),也称为域名后缀,是域名最后的部分。例如,example.com 的顶级域名是“com”。 此值可以使用公共后缀列表(http://publicsuffix.org)来精确确定。尝试通过简单地获取最后一个标签来近似此值,对于“co.uk”等有效 TLD 来说将无法正常工作。 类型: keyword 示例: |
扩展 |