日志字段
编辑日志字段编辑
有关事件记录机制或记录传输的详细信息。
log.* 字段通常填充有关用于创建和/或传输事件的日志记录机制的详细信息。例如,syslog 详细信息属于 log.syslog.*。
特定于事件源的详细信息通常不记录在 log.* 下,而是记录在 event.* 或其他 ECS 字段中。
日志字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
此事件来自的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。 如果事件不是从日志文件读取的,请勿填充此字段。 类型:关键字 示例: |
扩展 |
|
|
日志事件的原始日志级别。 如果事件源提供日志级别或文本严重性,则将其放入 一些示例是 类型:关键字 示例: |
核心 |
|
|
应用程序中记录器的名称。这通常是初始化记录器的类的名称,也可以是自定义名称。 类型:关键字 示例: |
核心 |
|
|
包含源代码的文件的行号,该文件是日志事件的来源。 类型:长整数 示例: |
扩展 |
|
|
包含源代码的文件的名称,该文件是日志事件的来源。 请注意,此字段并非用于捕获日志文件。捕获日志文件的正确字段是 类型:关键字 示例: |
扩展 |
|
|
生成日志事件的函数或方法的名称。 类型:关键字 示例: |
扩展 |
|
|
如果事件是通过 Syslog 传输的,则为事件的 Syslog 元数据。请参阅 RFC 5424 或 3164。 类型:对象 |
扩展 |
|
|
生成 Syslog 消息的设备或应用程序(如果可用)。 类型:关键字 示例: |
扩展 |
|
|
日志事件的 Syslog 数字工具,如果可用。 根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。 类型:长整数 示例: |
扩展 |
|
|
日志事件的 Syslog 基于文本的工具,如果可用。 类型:关键字 示例: |
扩展 |
|
|
最初发送 Syslog 消息的机器的主机名、FQDN 或 IP。这是从 syslog 标头的 hostname 字段获取的。根据环境的不同,此值可能与处理事件的主机不同,尤其是在处理事件的主机充当收集器的情况下。 类型:关键字 示例: |
扩展 |
|
|
Syslog 消息类型的标识符(如果可用)。仅适用于 RFC 5424 消息。 类型:关键字 示例: |
扩展 |
|
|
事件的 Syslog 数字优先级(如果可用)。 根据 RFC 5424 和 3164,优先级为 8 * 工具 + 严重性。因此,该数字应包含 0 到 191 之间的值。 类型:长整数 示例: |
扩展 |
|
|
生成 Syslog 消息的进程名称或 ID(如果可用)。 类型:关键字 示例: |
扩展 |
|
|
日志事件的 Syslog 数字严重性(如果可用)。 如果通过 Syslog 发布的事件源提供了不同的数字严重性值(例如,防火墙、IDS),则源的数字严重性应转到 类型:长整数 示例: |
扩展 |
|
|
日志事件的 Syslog 数字严重性(如果可用)。 如果通过 Syslog 发布的事件源提供了不同的严重性值(例如,防火墙、IDS),则源的文本严重性应转到 类型:关键字 示例: |
扩展 |
|
|
RFC 5424 消息中表示的结构化数据(如果可用)。这些是由 syslog 消息的结构化数据部分形成的键值对,如 RFC 5424 第 6.3 节中所定义。 类型:扁平化 |
扩展 |
|
|
Syslog 协议规范的版本。仅适用于 RFC 5424 消息。 类型:关键字 示例: |
扩展 |