用户字段
编辑用户字段编辑
用户字段描述了与事件相关的用户信息。
字段可以包含一个条目或多个条目。如果用户有多个 ID,请提供包含所有 ID 的数组。
用户字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
用户所属目录的名称。 例如,LDAP 或 Active Directory 域名。 类型: keyword |
扩展 |
|
|
用户电子邮件地址。 类型: keyword |
扩展 |
|
|
用户的全名(如果可用)。 类型: keyword 多字段
示例: |
扩展 |
|
|
用于以匿名形式关联用户信息的唯一用户哈希值。 如果 类型: keyword |
扩展 |
|
|
用户的唯一标识符。 类型: keyword 示例: |
核心 |
|
|
用户的简称或登录名。 类型: keyword 多字段
示例: |
核心 |
|
|
事件发生时用户的角色数组。 类型: keyword 注意: 此字段应包含一个值数组。 示例: |
扩展 |
字段重用编辑
预计 user 字段将嵌套在以下位置
-
client.user -
destination.user -
process.attested_user -
process.real_user -
process.saved_user -
process.user -
server.user -
source.user -
user.changes -
user.effective -
user.target
另请注意,user 字段可以直接在事件的根目录下使用。
可以在 User 下嵌套的字段集编辑
| 位置 | 字段集 | 描述 |
|---|---|---|
|
捕获对用户的更改。 |
|
|
已假定其特权的用户。 |
|
|
与事件相关的用户的组。 |
|
|
用于描述风险评分和级别的字段。 |
|
|
操作的目标用户。 |
用户字段使用编辑
有关用户字段的使用和示例,请参阅用户字段使用和示例部分。