服务器字段
编辑服务器字段编辑
服务器定义为网络连接中关于会话、连接或双向流记录的事件的响应方。
对于 TCP 事件,服务器是 TCP 连接初始 SYN 数据包的接收方。对于其他协议,服务器通常是网络事务中的响应方。某些系统实际上使用术语“响应方”来指代 TCP 连接中的服务器。服务器字段描述了充当网络事件中服务器的系统的详细信息。服务器字段通常与客户端字段一起填充。服务器字段通常不会为数据包级事件填充。
客户端/服务器表示可以为交换添加语义上下文,这有助于在某些情况下可视化数据。如果您的上下文属于此类别,您仍应确保源和目标已正确填充。
服务器字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
某些事件服务器地址定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 然后它应复制到 类型:关键字 |
扩展 |
|
|
从服务器发送到客户端的字节数。 类型:长整型 示例: |
核心 |
|
|
服务器系统的域名。 此值可能是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富集添加。 类型:关键字 示例: |
核心 |
|
|
服务器的 IP 地址(IPv4 或 IPv6)。 类型:ip |
核心 |
|
|
服务器的 MAC 地址。 建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,表示八位字节作为无符号整数的值。连续的八位字节由连字符隔开。 类型:关键字 示例: |
核心 |
|
|
基于 NAT 会话的目的地翻译后的 ip(例如互联网到私有 DMZ) 通常与负载均衡器、防火墙或路由器一起使用。 类型:ip |
扩展 |
|
|
基于 NAT 会话的目的地翻译后的端口(例如互联网到私有 DMZ) 通常与负载均衡器、防火墙或路由器一起使用。 类型:长整型 |
扩展 |
|
|
从服务器发送到客户端的数据包。 类型:长整型 示例: |
核心 |
|
|
服务器的端口。 类型:长整型 |
核心 |
|
|
最高注册服务器域名,剥离子域名。 例如,"foo.example.com" 的注册域名是 "example.com"。 此值可以使用像公共后缀列表 (http://publicsuffix.org) 这样的列表精确地确定。尝试通过简单地取最后两个标签来近似此值,对于像 "co.uk" 这样的 TLD 不会很好用。 类型:关键字 示例: |
扩展 |
|
|
完全限定域名中的子域名部分包括除注册域名下的主机名以外的所有名称。在部分限定域名中,或者如果无法确定完整名称的限定级别,则子域名包含注册域名下方的所有名称。 例如,"www.east.mydomain.co.uk" 的子域名部分是 "east"。如果域名具有多个子域名级别,例如 "sub2.sub1.example.com",则子域名字段应包含 "sub2.sub1",没有尾部句点。 类型:关键字 示例: |
扩展 |
|
|
有效顶级域名 (eTLD),也称为域名后缀,是域名中的最后一部分。例如,example.com 的顶级域名是 "com"。 此值可以使用像公共后缀列表 (http://publicsuffix.org) 这样的列表精确地确定。尝试通过简单地取最后一个标签来近似此值,对于像 "co.uk" 这样的有效 TLD 不会很好用。 类型:关键字 示例: |
扩展 |