观察者字段
编辑观察者字段编辑
观察者定义为一种特殊的网络、安全或应用程序设备,用于检测、观察或创建与网络、安全或应用程序相关的事件和指标。
这可以是自定义硬件设备,也可以是配置为运行特殊网络、安全或应用程序软件的服务器。例如防火墙、Web 代理、入侵检测/防御系统、网络监控传感器、Web 应用防火墙、数据丢失防御系统和 APM 服务器。如果存在检测、观察和/或创建网络、安全或应用程序事件或指标的系统,则应使用 observer.* 字段填充该系统的详细信息。用于处理事件或指标的消息队列和 ETL 组件在 ECS 中不被视为观察者。
观察者字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
Observer.egress 包含接口编号和名称、VLAN 和区域信息等信息,用于对出口流量进行分类。诸如跨端口上的网络传感器之类的单臂监控应仅使用 observer.ingress 对流量进行分类。 类型:对象 |
扩展 |
|
|
观察者报告的出站流量网络区域,用于对出口流量的目标区域进行分类,例如内部、外部、DMZ、HR、法律等。 类型:关键字 示例: |
扩展 |
|
|
观察者的主机名。 类型:关键字 |
核心 |
|
|
Observer.ingress 包含接口编号和名称、VLAN 和区域信息等信息,用于对入口流量进行分类。诸如跨端口上的网络传感器之类的单臂监控应仅使用 observer.ingress 对流量进行分类。 类型:对象 |
扩展 |
|
|
观察者报告的入站流量网络区域,用于对入口流量的源区域进行分类。例如内部、外部、DMZ、HR、法律等。 类型:关键字 示例: |
扩展 |
|
|
观察者的 IP 地址。 类型:ip 注意:此字段应包含一个值数组。 |
核心 |
|
|
观察者的 MAC 地址。 建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两位[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节之间用连字符分隔。 类型:关键字 注意:此字段应包含一个值数组。 示例: |
核心 |
|
|
观察者的自定义名称。 这是可以赋予观察者的名称。例如,如果在组织中使用多个相同型号的防火墙,这将非常有用。 如果不需要自定义名称,则可以将该字段留空。 类型:关键字 示例: |
扩展 |
|
|
观察者的产品名称。 类型:关键字 示例: |
扩展 |
|
|
观察者序列号。 类型:关键字 |
扩展 |
|
|
数据的来源观察者类型。 没有预定义的观察者类型列表。一些例子是 类型:关键字 示例: |
核心 |
|
|
观察者的供应商名称。 类型:关键字 示例: |
核心 |
|
|
观察者版本。 类型:关键字 |
核心 |