- Elastic 通用架构 (ECS) 参考其他版本
- 概述
- 使用 ECS
- ECS 字段参考
- 基础字段
- 代理字段
- 自治系统字段
- 客户端字段
- 云字段
- 代码签名字段
- 容器字段
- 数据流字段
- 目标字段
- 设备字段
- DLL 字段
- DNS 字段
- ECS 字段
- ELF 头部字段
- 电子邮件字段
- 错误字段
- 事件字段
- FaaS 字段
- 文件字段
- 地理位置字段
- 组字段
- 哈希字段
- 主机字段
- HTTP 字段
- 接口字段
- 日志字段
- Mach-O 头部字段
- 网络字段
- 观察者字段
- 编排器字段
- 组织字段
- 操作系统字段
- 软件包字段
- PE 头部字段
- 进程字段
- 注册表字段
- 相关字段
- 风险信息字段
- 规则字段
- 服务器字段
- 服务字段
- 源字段
- 威胁字段
- TLS 字段
- 跟踪字段
- URL 字段
- 用户字段
- 用户代理字段
- VLAN 字段
- 卷字段
- 漏洞字段
- x509 证书字段
- ECS 分类字段
- 迁移到 ECS
- 其他信息
- 发行说明
用户字段
编辑用户字段
编辑用户字段描述与事件相关的用户信息。
字段可以包含一个或多个条目。如果用户有多个 ID,请提供包含所有 ID 的数组。
用户字段详细信息
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
用户所属目录的名称。 例如,LDAP 或 Active Directory 域名。 类型:keyword |
扩展 |
|
|
用户电子邮件地址。 类型:keyword |
扩展 |
|
|
用户的全名(如果可用)。 类型:keyword 多字段
示例: |
扩展 |
|
|
唯一的用户哈希值,用于以匿名形式关联用户信息。 如果 类型:keyword |
扩展 |
|
|
用户的唯一标识符。 类型:keyword 示例: |
核心 |
|
|
用户的短名称或登录名。 类型:keyword 多字段
示例: |
核心 |
|
|
事件发生时用户的角色数组。 类型:keyword 注意:此字段应包含一个值数组。 示例: |
扩展 |
字段重用
编辑预计 user 字段嵌套在以下位置:
-
client.user -
destination.user -
process.attested_user -
process.real_user -
process.saved_user -
process.user -
server.user -
source.user -
user.changes -
user.effective -
user.target
另请注意,user 字段可以直接用于事件的根目录。
可以在用户下嵌套的字段集
编辑| 位置 | 字段集 | 描述 |
|---|---|---|
|
捕获对用户进行的更改。 |
|
|
承担用户权限的用户。 |
|
|
与事件相关的用户组。 |
|
|
用于描述风险评分和级别的字段。 |
|
|
采取行动的目标用户。 |
用户字段用法
编辑有关用户字段的用法和示例,请参阅用户字段用法和示例部分。
On this page
Was this helpful?
Thank you for your feedback.