ECS 字段参考
编辑ECS 字段参考
编辑这是 ECS 8.16.0 版本的文档。
ECS 定义了多个相关的字段组。它们被称为“字段集”。基础字段集是唯一一个字段定义在事件根目录下的字段集。
所有其他字段集都在 Elasticsearch 中定义为对象,所有字段都在其下定义。
要查看所有字段的单页表示形式,请参阅生成的字段 CSV 文件。
字段集
编辑| 字段集 | 描述 |
|---|---|
直接在事件根目录下定义的所有字段。 |
|
关于监控代理的字段。 |
|
描述自治系统(互联网路由前缀)的字段。 |
|
关于网络连接客户端的字段,与服务器一起使用。 |
|
关于云资源的字段。 |
|
这些字段包含有关二进制代码签名的信息。 |
|
描述生成此事件的容器的字段。 |
|
data_stream 字段参与定义新的数据流命名方案。 |
|
关于网络连接目标端的字段,与源一起使用。 |
|
描述进程或应用程序运行在其上的(移动)设备的字段。 |
|
这些字段包含有关动态加载到进程中的代码库的信息。 |
|
描述 DNS 查询和应答的字段。 |
|
特定于 ECS 的元信息。 |
|
这些字段包含 Linux 可执行链接格式 (ELF) 元数据。 |
|
描述电子邮件事务。 |
|
关于任何类型错误的字段。 |
|
细分事件详细信息的字段。 |
|
描述函数即服务的字段。 |
|
描述文件的字段。 |
|
描述位置的字段。 |
|
与事件相关的用户组。 |
|
哈希值,通常是文件哈希值。 |
|
描述相关计算实例的字段。 |
|
描述 HTTP 请求的字段。 |
|
描述观察者接口信息的字段。 |
|
关于事件日志记录机制的详细信息。 |
|
这些字段包含 Mac OS Mach 对象文件格式 (Mach-O) 元数据。 |
|
描述事件发生时通信路径的字段。 |
|
描述从主机外部观察事件的实体的字段。 |
|
与容器编排器相关的字段。 |
|
描述事件相关的组织或公司的字段。 |
|
操作系统字段包含有关操作系统的的信息。 |
|
这些字段包含有关已安装软件包的信息。 |
|
这些字段包含 Windows 可移植执行体 (PE) 元数据。 |
|
这些字段包含有关进程的信息。 |
|
与 Windows 注册表操作相关的字段。 |
|
旨在方便围绕数据片段进行枢轴的字段。 |
|
用于描述风险评分和级别的字段。 |
|
用于捕获用于生成警报或其他重要事件的规则的详细信息的字段。 |
|
关于网络连接服务器端的字段,与客户端一起使用。 |
|
描述收集数据的服务或来源的字段。 |
|
关于网络连接源端的字段,与目标一起使用。 |
|
根据威胁分类对事件和警报进行分类的字段。 |
|
描述 TLS 连接的字段。 |
|
与分布式追踪相关的字段。 |
|
允许您以各种形式存储 URL 的字段。 |
|
描述与事件相关的用户的字段。 |
|
用于描述浏览器 user_agent 字符串的字段。 |
|
用于描述观察到的 VLAN 信息的字段。 |
|
与存储卷详细信息相关的字段。 |
|
用于描述与事件相关的漏洞的字段。 |
|
这些字段包含 x509 证书元数据。 |