相关字段
编辑相关字段编辑
此字段集旨在方便围绕数据片段进行透视。
某些信息片段可以在 ECS 事件中的许多位置看到。为了方便搜索这些信息,请将所有看到的数值存储到其在 related. 中的对应字段的数组中。
一个具体的例子是 IP 地址,它们可能位于主机、观察者、源、目标、客户端、服务器和 network.forwarded_ip 中。如果将所有 IP 附加到 related.ip,那么就可以通过查询 related.ip:192.0.2.15 来轻松地搜索给定 IP,无论它出现在哪里。
相关字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
事件中看到的所有哈希。填充此字段,然后使用它搜索哈希可以帮助您在不确定哈希算法(因此不知道要搜索哪个键名)的情况下。 类型:keyword 注意:此字段应该包含一个值数组。 |
扩展 |
|
|
事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 类型:keyword 注意:此字段应该包含一个值数组。 |
扩展 |
|
|
事件中看到的所有 IP。 类型:ip 注意:此字段应该包含一个值数组。 |
扩展 |
|
|
事件中看到的所有用户名或其他用户标识符。 类型:keyword 注意:此字段应该包含一个值数组。 |
扩展 |