源字段
编辑源字段编辑
源字段捕获有关网络交换/数据包发送者的详细信息。这些字段从网络事件、数据包或包含网络事务详细信息的其他事件中填充。
源字段通常与目标字段一起填充。源字段和目标字段被认为是基线,如果事件包含来自网络事务的源和目标详细信息,则应始终填充。如果事件还包含对客户端和服务器角色的标识,则还应填充客户端和服务器字段。
源字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
某些事件源地址定义含糊不清。事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 然后应根据其是哪种地址,将其复制到 类型:keyword |
扩展 |
|
|
从源发送到目标的字节数。 类型:long 示例: |
核心 |
|
|
源系统的域名。 此值可以是主机名、完全限定域名或其他主机命名格式。该值可以来自原始事件,也可以从丰富中添加。 类型:keyword 示例: |
核心 |
|
|
源的 IP 地址(IPv4 或 IPv6)。 类型:ip |
核心 |
|
|
源的 MAC 地址。 建议使用 RFC 7042 中的符号格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,表示八位字节作为无符号整数的值。连续的八位字节用连字符隔开。 类型:keyword 示例: |
核心 |
|
|
基于 NAT 会话的源的翻译后的 IP(例如,内部客户端到互联网) 通常通过负载均衡器、防火墙或路由器进行连接。 类型:ip |
扩展 |
|
|
基于 NAT 会话的源的翻译后的端口。(例如,内部客户端到互联网) 通常与负载均衡器、防火墙或路由器一起使用。 类型:long |
扩展 |
|
|
从源发送到目标的数据包数。 类型:long 示例: |
核心 |
|
|
源的端口。 类型:long |
核心 |
|
|
剥离子域的最高注册源域。 例如,“foo.example.com”的注册域为“example.com”。 此值可以通过公共后缀列表等列表准确确定(http://publicsuffix.org)。尝试通过简单地获取最后两个标签来近似此操作,对于像“co.uk”这样的顶级域来说效果不佳。 类型:keyword 示例: |
扩展 |
|
|
完全限定域名中的子域部分包括注册域下所有名称,但不包括主机名。在部分限定域中,或者如果无法确定全名的限定级别,则子域包含注册域下方的所有名称。 例如,“www.east.mydomain.co.uk”的子域部分为“east”。如果域有多级子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句号。 类型:keyword 示例: |
扩展 |
|
|
有效顶级域 (eTLD),也称为域后缀,是域名中的最后部分。例如,example.com 的顶级域是“com”。 此值可以通过公共后缀列表等列表准确确定(http://publicsuffix.org)。尝试通过简单地获取最后一个标签来近似此操作,对于像“co.uk”这样的有效顶级域来说效果不佳。 类型:keyword 示例: |
扩展 |
字段重用编辑
预期 source 字段嵌套在
-
process.entry_meta.source
另请注意,source 字段可以直接在事件的根目录中使用。