ECS 字段参考
编辑ECS 字段参考编辑
这是 ECS 版本 8.11.0 的文档。
ECS 定义了多个相关的字段组。它们被称为“字段集”。“基础” 字段集是唯一一个在事件根目录下定义字段的字段集。
所有其他字段集在 Elasticsearch 中都定义为对象,所有字段都在其下定义。
有关所有字段的单页表示形式,请参阅生成的字段 CSV 文件。
字段集编辑
| 字段集 | 说明 |
|---|---|
所有字段都直接定义在事件的根目录下。 |
|
有关监控代理的字段。 |
|
描述自治系统(互联网路由前缀)的字段。 |
|
有关网络连接客户端的字段,与服务器一起使用。 |
|
有关云资源的字段。 |
|
这些字段包含有关二进制代码签名的信息。 |
|
描述生成此事件的容器的字段。 |
|
data_stream 字段参与定义新的数据流命名方案。 |
|
有关网络连接目标端的字段,与源一起使用。 |
|
表征运行进程或应用程序的(移动)设备的字段。 |
|
这些字段包含有关动态加载到进程中的代码库的信息。 |
|
描述 DNS 查询和答案的字段。 |
|
特定于 ECS 的元信息。 |
|
这些字段包含 Linux 可执行链接格式 (ELF) 元数据。 |
|
描述电子邮件事务。 |
|
有关任何类型错误的字段。 |
|
分解事件详细信息的字段。 |
|
描述函数即服务的字段。 |
|
描述文件的字段。 |
|
描述位置的字段。 |
|
与事件相关的用户组。 |
|
哈希,通常是文件哈希。 |
|
描述相关计算实例的字段。 |
|
描述 HTTP 请求的字段。 |
|
用于描述观察者接口信息的字段。 |
|
有关事件日志机制的详细信息。 |
|
这些字段包含 Mac OS Mach 对象文件格式 (Mach-O) 元数据。 |
|
描述事件发生时所经过的通信路径的字段。 |
|
描述从主机外部观察事件的实体的字段。 |
|
与容器编排器相关的字段。 |
|
描述与事件关联的组织或公司的字段。 |
|
操作系统字段包含有关操作系统的信息。 |
|
这些字段包含有关已安装软件包的信息。 |
|
这些字段包含 Windows 可移植可执行文件 (PE) 元数据。 |
|
这些字段包含有关进程的信息。 |
|
与 Windows 注册表操作相关的字段。 |
|
旨在方便围绕一条数据进行透视的字段。 |
|
用于描述风险评分和级别的字段。 |
|
用于捕获有关用于生成警报或其他值得注意的事件的规则的详细信息的字段。 |
|
有关网络连接服务器端的字段,与客户端一起使用。 |
|
描述从中收集数据的服务或服务的字段。 |
|
有关网络连接源端的字段,与目标一起使用。 |
|
根据威胁分类对事件和警报进行分类的字段。 |
|
描述 TLS 连接的字段。 |
|
与分布式跟踪相关的字段。 |
|
允许您以各种形式存储 URL 的字段。 |
|
描述与事件相关的用户的字段。 |
|
用于描述浏览器 user_agent 字符串的字段。 |
|
用于描述观察到的 VLAN 信息的字段。 |
|
用于描述与事件相关的漏洞的字段。 |
|
这些字段包含 x509 证书元数据。 |