网络字段
编辑网络字段编辑
网络定义为主机或网络事件发生的通信路径。
network.* 字段应填充与事件相关的网络活动详细信息。
网络字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
当从网络连接详细信息(源/目标 IP、端口、证书或线格式)识别出特定应用程序或服务时,此字段将捕获应用程序或服务的名称。 例如,原始事件识别来自特定 Web 服务的网络连接,该连接位于 字段值必须规范化为小写以进行查询。 类型: keyword 示例: |
扩展 |
|
|
双向传输的总字节数。 如果已知 类型: long 示例: |
核心 |
|
|
源和目标 IP 和端口以及通信中使用的协议的哈希值。这是用于识别流的工具无关标准。 了解有关 https://github.com/corelight/community-id-spec 的更多信息。 类型: keyword 示例: |
扩展 |
|
|
网络流量的方向。 在从基于主机的监控环境映射事件时,请从主机的角度填充此字段,使用“ingress”或“egress”值。 在从基于网络或周边的监控环境映射事件时,请从网络周边的角度填充此字段,使用“inbound”、“outbound”、“internal”或“external”值。 请注意,“internal”不跨越周边边界,而是用于描述周边内两个主机之间的通信。还要注意,“external”用于描述两个主机之间的流量,这两个主机在周边之外。例如,这对于 ISP 或 VPN 服务提供商很有用。 此字段的预期值
类型: keyword 示例: |
核心 |
|
|
当源 IP 地址是代理时,主机 IP 地址。 类型: ip 示例: |
核心 |
|
|
IANA 协议号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常吻合。 类型: keyword 示例: |
扩展 |
|
|
network.inner 字段除了 network.vlan 字段外,还用于描述存在 q-in-q VLAN 标记时的最内层 VLAN。允许的字段包括 vlan.id 和 vlan.name。内层 vlan 字段通常用于将具有多个 802.1q 封装的流量发送到网络传感器(例如 Zeek、Wireshark)。 类型: object |
扩展 |
|
|
运营商为其网络部分指定的名称。 类型: keyword 示例: |
扩展 |
|
|
双向传输的总数据包数。 如果已知 类型: long 示例: |
核心 |
|
|
在 OSI 模型中,这将是应用程序层协议。例如, 字段值必须规范化为小写以进行查询。 类型: keyword 示例: |
核心 |
|
|
与 network.iana_number 相同,但使用传输层的关键字名称(udp、tcp、ipv6-icmp 等)。 字段值必须规范化为小写以进行查询。 类型: keyword 示例: |
核心 |
|
|
在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等 字段值必须规范化为小写以进行查询。 类型: keyword 示例: |
核心 |