VLAN 字段

VLAN 字段用于标识数据包的 802.1q 标记（或标记），以及观察者相对于特定数据包或连接的入站和出站 VLAN 关联。

Network.vlan 字段用于记录观察到的数据包或连接的单个 VLAN 标记，或在 q-in-q 封装的情况下记录外部标记，通常由网络传感器（例如 Zeek、Wireshark）被动地报告流量提供。

Network.inner VLAN 字段用于报告观察到的内部 q-in-q 802.1q 标记（多个 802.1q 封装），通常由网络传感器（例如 Zeek、Wireshark）被动地报告流量提供。Network.inner VLAN 字段应仅与 network.vlan 字段一起使用，以指示 q-in-q 标记。

Observer.ingress 和 observer.egress VLAN 值用于记录观察者特定信息，当观察者事件包含离散的入站和出站 VLAN 信息时，通常由防火墙、路由器或负载均衡器提供。

VLAN 字段详细信息编辑

字段重用编辑

预期 vlan 字段嵌套在

另请注意，预期 vlan 字段不会直接在事件的根部使用。