DNS 字段
编辑DNS 字段编辑
描述 DNS 查询和应答的字段。
DNS 事件应代表单个 DNS 查询,在获得应答之前(dns.type:query),或者应代表完整的交换,包含查询详情以及为此查询提供的全部应答(dns.type:answer)。
DNS 字段详情编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
包含服务器返回的每个应答部分对象的数组。 这些对象中应该存在的关键键由 ECS 定义。包含更多信息的记录可能包含比 ECS 定义的更多键。 并非所有 DNS 数据源都提供关于 DNS 应答的全部详情。至少,应答对象必须包含 类型:对象 注意:此字段应包含一个值数组。 |
扩展 |
|
|
此资源记录中包含的 DNS 数据的类别。 类型:关键字 示例: |
扩展 |
|
|
描述资源的数据。 此数据的含义取决于资源记录的类型和类别。 类型:关键字 示例: |
扩展 |
|
|
此资源记录所针对的域名。 如果正在解析 CNAME 链,则每个应答的 类型:关键字 示例: |
扩展 |
|
|
此资源记录在被丢弃之前可以在缓存中保留的时间间隔(以秒为单位)。值为零表示不应该缓存数据。 类型:长整型 示例: |
扩展 |
|
|
此资源记录中包含的数据类型。 类型:关键字 示例: |
扩展 |
|
|
包含 2 个字母的 DNS 头部标志数组。 此字段的预期值
类型:关键字 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
由生成查询的程序分配的 DNS 数据包标识符。该标识符会复制到响应中。 类型:关键字 示例: |
扩展 |
|
|
指定消息中查询类型的 DNS 操作代码。此值由查询的发起者设置,并复制到响应中。 类型:关键字 示例: |
扩展 |
|
|
正在查询的记录的类别。 类型:关键字 示例: |
扩展 |
|
|
正在查询的名称。 如果名称字段包含不可打印字符(小于 32 或大于 126),则应将其表示为转义的基数 10 整数(\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。 类型:关键字 示例: |
扩展 |
|
|
剥离了子域的最高注册域。 例如,“foo.example.com” 的注册域是“example.com”。 可以使用公共后缀列表(http://publicsuffix.org)之类的列表准确地确定此值。尝试简单地使用最后两个标签来近似此值对于“co.uk”之类的 TLD 并不起作用。 类型:关键字 示例: |
扩展 |
|
|
子域是在 registered_domain 下的所有标签。 如果域有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾部的句点。 类型:关键字 示例: |
扩展 |
|
|
有效顶级域 (eTLD),也称为域后缀,是域名中的最后一部分。例如,“example.com” 的顶级域是“com”。 可以使用公共后缀列表(http://publicsuffix.org)之类的列表准确地确定此值。尝试简单地使用最后一个标签来近似此值对于“co.uk”之类的有效 TLD 并不起作用。 类型:关键字 示例: |
扩展 |
|
|
正在查询的记录类型。 类型:关键字 示例: |
扩展 |
|
|
包含在
类型:IP 注意:此字段应包含一个值数组。 示例: |
扩展 |
|
|
DNS 响应代码。 类型:关键字 示例: |
扩展 |
|
|
捕获的 DNS 事件类型,查询或应答。 如果您的 DNS 事件来源只提供 DNS 查询,则应只创建 如果您的 DNS 事件来源也提供应答,则应为每个查询创建一个事件(可以选择在看到查询时立即创建)。以及包含所有查询详情和应答数组的第二个事件。 类型:关键字 示例: |
扩展 |