组字段
编辑组字段编辑
组字段用于表示与事件相关的组。
组字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
组所属目录的名称。 例如,LDAP 或 Active Directory 域名。 类型:关键字 |
扩展 |
|
|
系统/平台上组的唯一标识符。 类型:关键字 |
扩展 |
|
|
组的名称。 类型:关键字 |
扩展 |
字段重用编辑
预期 group 字段嵌套在以下位置:
-
process.attested_groups -
process.group -
process.real_group -
process.saved_group -
process.supplemental_groups -
user.group
另请注意,group 字段可以直接在事件的根目录使用。