›

Bluecoat 集成

版本	0.17.3 [beta] 此功能为测试版，可能会发生更改。其设计和代码不如正式 GA 功能成熟，按原样提供，不提供任何保证。测试版功能不受正式 GA 功能的支持 SLA 约束。 (查看全部)
兼容的 Kibana 版本	7.14.1 或更高版本 8.8.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观测性
订阅级别这是什么？	基本

此集成用于 Bluecoat 设备的日志。它包括以下数据集，用于通过 syslog 接收日志或从文件读取日志

director 数据集：支持 Blue Coat Director 日志。

Director

编辑

director 数据集收集 Blue Coat Director 日志。

导出的字段

字段	描述	类型
@timestamp	事件发生时的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。	日期
client.domain	客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能来自富化。	关键字
client.registered_domain	最高的已注册客户端域，已去除子域。例如，“foo.example.com”的已注册域是“example.com”。此值可以通过公共后缀列表 (http://publicsuffix.org) 精确确定。尝试仅取最后两个标签来近似此值对于 “co.uk” 等顶级域名效果不佳。	关键字
client.subdomain	完全限定域名的子域部分包括除已注册域下的主机名以外的所有名称。在部分限定的域中，或者如果无法确定全名的限定级别，则子域包含已注册域下的所有名称。例如，“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，没有尾随句点。	关键字
client.top_level_domain	有效顶级域名 (eTLD)，也称为域后缀，是域名的最后一部分。例如，example.com 的顶级域名是“com”。此值可以通过公共后缀列表 (http://publicsuffix.org) 精确确定。尝试仅取最后一个标签来近似此值对于 “co.uk” 等有效顶级域名效果不佳。	关键字
container.id	唯一容器 ID。	关键字
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
destination.address	某些事件目标地址的定义不明确。该事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 `.address` 字段中。然后应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪个。	关键字
destination.as.number	分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。	长整型
destination.as.organization.name	组织名称。	关键字
destination.as.organization.name.text	`destination.as.organization.name` 的多字段。	match_only_text
destination.bytes	从目标发送到源的字节数。	长整型
destination.domain	目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能来自富化。	关键字
destination.geo.city_name	城市名称。	关键字
destination.geo.country_name	国家名称。	关键字
destination.geo.location	经度和纬度。	geo_point
destination.ip	目标 IP 地址（IPv4 或 IPv6）。	ip
destination.mac	目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位位组（即 8 位字节）由两个 [大写] 十六进制数字表示，给出八位位组的值作为无符号整数。连续的八位位组用连字符分隔。	关键字
destination.nat.ip	基于 NAT 会话（例如，互联网到私有 DMZ）转换的目标 IP。通常与负载均衡器、防火墙或路由器一起使用。	ip
destination.nat.port	源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。	长整型
destination.port	目标的端口。	长整型
destination.registered_domain	最高的已注册目标域，已去除子域。例如，“foo.example.com”的已注册域是“example.com”。此值可以通过公共后缀列表 (http://publicsuffix.org) 精确确定。尝试仅取最后两个标签来近似此值对于 “co.uk” 等顶级域名效果不佳。	关键字
destination.subdomain	完全限定域名的子域部分包括除已注册域下的主机名以外的所有名称。在部分限定的域中，或者如果无法确定全名的限定级别，则子域包含已注册域下的所有名称。例如，“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，没有尾随句点。	关键字
destination.top_level_domain	有效顶级域名 (eTLD)，也称为域后缀，是域名的最后一部分。例如，example.com 的顶级域名是“com”。此值可以通过公共后缀列表 (http://publicsuffix.org) 精确确定。尝试仅取最后一个标签来近似此值对于 “co.uk” 等有效顶级域名效果不佳。	关键字
dns.answers.name	此资源记录所属的域名。如果要解析 CNAME 链，则每个答案的 `name` 都应与答案的 `data` 对应。它不应只是重复的原始 `question.name`。	关键字
dns.answers.type	此资源记录中包含的数据类型。	关键字
dns.question.domain	服务器域	关键字
dns.question.registered_domain	最高的已注册域，已去除子域。例如，“foo.example.com”的已注册域是“example.com”。此值可以通过公共后缀列表 (http://publicsuffix.org) 精确确定。尝试仅取最后两个标签来近似此值对于 “co.uk” 等顶级域名效果不佳。	关键字
dns.question.subdomain	子域是已注册域下的所有标签。如果域具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，没有尾随句点。	关键字
dns.question.top_level_domain	有效顶级域名 (eTLD)，也称为域后缀，是域名的最后一部分。例如，example.com 的顶级域名是“com”。此值可以通过公共后缀列表 (http://publicsuffix.org) 精确确定。尝试仅取最后一个标签来近似此值对于 “co.uk” 等有效顶级域名效果不佳。	关键字
dns.question.type	正在查询的记录类型。	关键字
ecs.version	此事件符合的 ECS 版本。`ecs.version` 是必填字段，必须存在于所有事件中。在查询可能符合略微不同的 ECS 版本的多个索引时，此字段允许集成调整到事件的架构版本。	关键字
error.message	错误消息。	match_only_text
event.action	事件捕获的操作。这描述了事件中的信息。它比 `event.category` 更具体。示例为 `group-add`、`process-started`、`file-created`。该值通常由实现者定义。	关键字
event.code	此事件的标识代码（如果存在）。某些事件源使用事件代码来明确标识消息，而不管消息语言或随着时间的推移所做的措辞调整如何。这方面的一个例子是 Windows 事件 ID。	关键字
event.dataset	事件数据集	constant_keyword
event.ingested	事件到达中央数据存储区的时间戳。这与 `@timestamp` 不同，后者是事件最初发生的时间。它也与 `event.created` 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳应按时间顺序如下所示：`@timestamp` < `event.created` < `event.ingested`。	日期
event.module	事件模块	constant_keyword
event.original	整个事件的原始文本消息。用于演示日志完整性，或者在可能需要完整日志消息（将其拆分为多个部分之前）的情况下使用，例如用于重新索引。此字段未编制索引，并且 doc_values 已禁用。它无法搜索，但可以从 `_source` 中检索。如果用户希望覆盖此项并索引此字段，请参阅 `Elasticsearch 参考`中的 `字段数据类型`。	关键字
event.outcome	这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的最低级别。`event.outcome` 仅表示从生成事件的实体的角度来看，事件是表示成功还是失败。请注意，当单个事务在多个事件中描述时，每个事件可能会根据其视角填充不同的 `event.outcome` 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，应使用最能从事件生成者的角度捕获整体成功或失败的值来填充此字段。此外，并非所有事件都有关联的结果。例如，对于指标事件、具有 `event.type:info` 的事件或任何结果没有逻辑意义的事件，通常不会填充此字段。	关键字
event.timezone	如果事件的时间戳不包含时区信息（例如，默认 Syslog 时间戳），则应填充此字段。否则，它是可选的。可接受的时区格式包括：规范 ID（例如，“Europe/Amsterdam”）、缩写形式（例如，“EST”）或 HH:mm 差值（例如，“-05:00”）。	关键字
file.attributes	文件属性的数组。属性名称因平台而异。以下是在此字段中期望的值的非详尽列表：存档、压缩、目录、加密、执行、隐藏、读取、只读、系统、写入。	关键字
file.directory	文件所在的目录。它应包括驱动器号（如果适用）。	关键字
file.extension	文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名 (example.tar.gz) 时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。	关键字
file.name	文件名，包括扩展名，不包括目录。	关键字
file.path	文件的完整路径，包括文件名。它应包括驱动器号（如果适用）。	关键字
file.path.text	`file.path` 的多字段。	match_only_text
file.size	文件大小（以字节为单位）。仅当 `file.type` 为“file”时相关。	长整型
file.type	文件类型（文件、目录或符号链接）。	关键字
geo.city_name	城市名称。	关键字
geo.country_name	国家名称。	关键字
geo.name	用户定义的位置描述，粒度级别由他们决定。可以是他们的数据中心名称、楼层号（如果这描述的是本地物理实体），或者城市名称。通常不用于自动地理位置。	关键字
geo.region_name	区域名称。	关键字
group.id	系统/平台上组的唯一标识符。	关键字
group.name	组的名称。	关键字
host.hostname	主机的 hostname。它通常包含主机机器上 `hostname` 命令返回的内容。	关键字
host.ip	主机 IP 地址。	ip
host.mac	主机 MAC 地址。建议使用 RFC 7042 中定义的表示格式：每个八位字节（即 8 位字节）用两个[大写]十六进制数字表示，给出该字节作为无符号整数的值。连续的八位字节之间用连字符分隔。	关键字
host.name	主机名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	关键字
http.request.method	HTTP 请求方法。该值应保留原始事件中的大小写。例如，`GET`、`get` 和 `GeT` 都被认为是此字段的有效值。	关键字
http.request.referrer	此 HTTP 请求的引用者。	关键字
input.type	Filebeat 输入类型。	关键字
log.file.path	此事件来源的日志文件的完整路径。	关键字
log.flags	日志文件的标志。	关键字
log.level	日志事件的原始日志级别。如果事件源提供日志级别或文本严重性，则此值将放入 `log.level` 中。如果您的源未指定，您可以将事件传输的严重性放在此处（例如，Syslog 严重性）。一些示例包括 `warn`、`err`、`i`、`informational`。	关键字
log.offset	日志文件中条目的偏移量。	长整型
log.source.address	读取/发送日志事件的源地址。	关键字
log.syslog.facility.code	日志事件的 Syslog 数字设施（如果可用）。根据 RFC 5424 和 3164，该值应为 0 到 23 之间的整数。	长整型
log.syslog.priority	事件的 Syslog 数字优先级（如果可用）。根据 RFC 5424 和 3164，优先级为 8 * 设施 + 严重性。因此，该数字预计包含 0 到 191 之间的值。	长整型
log.syslog.severity.code	日志事件的 Syslog 数字严重性（如果可用）。如果通过 Syslog 发布事件的事件源提供不同的数字严重性值（例如，防火墙，IDS），则您源的数字严重性应转到 `event.severity`。如果事件源未指定不同的严重性，您可以选择将 Syslog 严重性复制到 `event.severity`。	长整型
message	对于日志事件，message 字段包含日志消息，并针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志，可以将其他字段连接起来以形成事件的易于理解的摘要。如果存在多个消息，则可以将它们合并为一条消息。	match_only_text
network.application	当从网络连接详细信息（源/目标 IP、端口、证书或线路格式）中识别出特定的应用程序或服务时，此字段会捕获该应用程序或服务的名称。例如，原始事件标识网络连接来自 `https` 网络连接中的特定 Web 服务，如 `facebook` 或 `twitter`。该字段值必须规范化为小写，以便进行查询。	关键字
network.bytes	在两个方向传输的总字节数。如果知道 `source.bytes` 和 `destination.bytes`，则 `network.bytes` 是它们的总和。	长整型
network.direction	网络流量的方向。当映射来自基于主机的监控环境的事件时，请从主机的角度填充此字段，使用值“ingress”或“egress”。当映射来自基于网络或边界的监控环境的事件时，请从网络边界的角度填充此字段，使用值“inbound”、“outbound”、“internal”或“external”。请注意，“internal”不是跨越边界，而是用于描述边界内两个主机之间的通信。另请注意，“external”用于描述边界外部的两个主机之间的流量。例如，这对于 ISP 或 VPN 服务提供商可能很有用。	关键字
network.forwarded_ip	当源 IP 地址是代理时的主机 IP 地址。	ip
network.interface.name		关键字
网络接口名称。	network.packets	长整型
在两个方向传输的总数据包数。如果知道 `source.packets` 和 `destination.packets`，则 `network.packets` 是它们的总和。	network.protocol	关键字
在 OSI 模型中，这将是应用层协议。例如，`http`、`dns` 或 `ssh`。该字段值必须规范化为小写，以便进行查询。	observer.egress.interface.name	关键字
系统报告的接口名称。	observer.egress.interface.name	关键字
observer.ingress.interface.name	观察者产品的名称。	关键字
observer.product	数据来自的观察者的类型。没有预定义的观察者类型列表。一些示例包括 `forwarder`、`firewall`、`ids`、`ips`、`proxy`、`poller`、`sensor`、`APM server`。	关键字
observer.type	观察者的供应商名称。	关键字
observer.vendor	观察者版本。	关键字
observer.version	进程名称。有时称为程序名称或类似名称。	关键字
process.name	`process.name` 的多字段。	match_only_text
process.name.text	进程名称。有时称为程序名称或类似名称。	关键字
父进程名称。	process.parent.name	match_only_text
`process.parent.name` 的多字段。	process.parent.name.text	长整型
父进程 ID。	process.parent.pid	关键字
进程标题。proctitle，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。	process.parent.title	match_only_text
`process.parent.title` 的多字段。	process.parent.name.text	长整型
process.parent.title.text	process.parent.pid	关键字
进程 ID。	process.pid	match_only_text
进程标题。	process.title	关键字
`process.title` 的多字段。	process.title.text	ip
在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。	related.hosts	关键字
在您的事件中看到的所有 IP。	related.ip	长整型
在事件中看到的所有用户名或其他用户标识符。	related.user	关键字
这是一个通用计数器键，应仅与标签 dclass.c1.str 一起使用	rsa.counters.dclass_c1	长整型
这是一个通用计数器字符串键，应仅与标签 dclass.c1 一起使用	rsa.counters.dclass_c1_str	关键字
这是一个通用计数器键，应仅与标签 dclass.c2.str 一起使用	rsa.counters.dclass_c2	长整型
这是一个通用计数器字符串键，应仅与标签 dclass.c2 一起使用	rsa.counters.dclass_c2_str	关键字
这是一个通用计数器键，应仅与标签 dclass.c3.str 一起使用	rsa.counters.dclass_c3	关键字
这是一个通用计数器字符串键，应仅与标签 dclass.c3 一起使用	rsa.counters.dclass_c3_str	关键字
这是一个通用比率键，应仅与标签 dclass.r1.str 一起使用	rsa.counters.dclass_r1	关键字
这是一个通用比率字符串键，应仅与标签 dclass.r1 一起使用	rsa.counters.dclass_r1_str	关键字
这是一个通用比率键，应仅与标签 dclass.r2.str 一起使用	rsa.counters.dclass_r2	关键字
这是一个通用比率字符串键，应仅与标签 dclass.r2 一起使用	rsa.counters.dclass_r2_str	关键字
这是一个通用比率键，应仅与标签 dclass.r3.str 一起使用	rsa.counters.dclass_r3	长整型
这是一个通用比率字符串键，应仅与标签 dclass.r3 一起使用	rsa.counters.dclass_r3_str	关键字
用于捕获事件重复次数		关键字
rsa.counters.event_counter	此键仅用于捕获证书签名颁发机构	关键字
rsa.crypto.cert_ca	证书校验和	关键字
rsa.crypto.cert_checksum	此键仅用于捕获证书通用名称	关键字
rsa.crypto.cert_common	此键捕获证书错误字符串	关键字
rsa.crypto.cert_error		关键字
此键用于证书的主机名类别值		关键字
rsa.crypto.cert_host_cat	仅在表映射中定义的已弃用键。	关键字
rsa.crypto.cert_host_name	证书颁发者	关键字
rsa.crypto.cert_issuer	rsa.crypto.cert_keysize	关键字
此键仅用于捕获证书序列号		关键字
rsa.crypto.cert_serial	此键捕获证书验证状态	关键字
rsa.crypto.cert_status	此键仅用于捕获证书组织	长整型
rsa.crypto.cert_subject	rsa.crypto.cert_username	长整型
此键用于目标（服务器）密码	rsa.crypto.cipher_dst	关键字
此键捕获目标（服务器）密码大小	rsa.crypto.cipher_size_dst	关键字
此键捕获源（客户端）密码大小		关键字
rsa.crypto.cipher_size_src		关键字
此键用于源（客户端）密码		关键字
rsa.crypto.cipher_src	此键仅用于捕获加密类型或加密密钥	关键字
rsa.crypto.crypto	rsa.crypto.d_certauth	关键字
rsa.crypto.https_insact	rsa.crypto.https_valid	关键字
IKE 协商阶段。	rsa.crypto.ike	关键字
协商的 ID - 为 ISAKMP 第一阶段发送	rsa.crypto.ike_cookie1	关键字
协商的 ID - 为 ISAKMP 第二阶段发送		关键字
rsa.crypto.ike_cookie2	此键用于加密对等方的 IP 地址	关键字
rsa.crypto.peer	此键用于加密对等方的身份	关键字
rsa.crypto.peer_id	rsa.crypto.s_certauth	关键字
此键捕获使用的加密方案	rsa.crypto.s_certauth	关键字
rsa.crypto.scheme	此键捕获签名类型	关键字
rsa.crypto.sig_type	已弃用，请使用版本	关键字
rsa.crypto.ssl_ver_dst	rsa.crypto.ssl_ver_src	长整型
此键用于捕获会话中看到的数据库或实例的名称	rsa.db.database	关键字
此键用于捕获数据库的唯一标识符	rsa.db.db_id	关键字
此键捕获与数据库服务器连接的进程 ID	此键用于表示逻辑读取次数	长整型
rsa.db.lwrite	此键用于表示逻辑写入次数	长整型
rsa.db.permissions	此键捕获分配给资源的权限或特权级别。	关键字
rsa.db.pread	此键用于表示物理写入次数	长整型
rsa.db.table_name	此键用于捕获表名	关键字
rsa.db.transact_id	此键捕获当前会话的 SQL 事务 ID	关键字
rsa.email.email	此键用于捕获通用电子邮件地址，其中来源或目标上下文不明确	关键字
rsa.email.email_dst	此键用于仅捕获目标电子邮件地址，当目标上下文不明确时，请使用 email	关键字
rsa.email.email_src	此键用于仅捕获源电子邮件地址，当源上下文不明确时，请使用 email	关键字
rsa.email.subject	此键用于仅捕获电子邮件中的主题字符串。	关键字
rsa.email.trans_from	此键捕获证书错误字符串	关键字
rsa.email.trans_to	此键捕获证书错误字符串	关键字
rsa.endpoint.host_state	此键用于捕获计算机的当前状态，例如 <strong>已列入黑名单</strong>、<strong>已感染</strong>、<strong>防火墙已禁用</strong>等等	关键字
rsa.endpoint.registry_key	此键捕获注册表键的路径	关键字
rsa.endpoint.registry_value	此键捕获注册表项中使用的值或修饰符	关键字
rsa.file.attachment	此键捕获附件文件名	关键字
rsa.file.binary	此键捕获证书错误字符串	关键字
rsa.file.directory_dst	<span>此键用于捕获目标进程或文件的目录</span>	关键字
rsa.file.directory_src	此键用于捕获源进程或文件的目录	关键字
rsa.file.file_entropy	此键用于捕获文件的熵值	double
rsa.file.file_vendor	此键用于捕获位于 version_info 中的文件公司名称	关键字
rsa.file.filename_dst	此键用于捕获操作所针对的文件名	关键字
rsa.file.filename_src	此键用于捕获父文件名，即执行操作的文件名	关键字
rsa.file.filename_tmp		关键字
rsa.file.filesystem		关键字
rsa.file.privilege	已弃用，请使用权限	关键字
rsa.file.task_name	此键用于捕获任务名称	关键字
rsa.healthcare.patient_fname	此键仅用于名字，主要用于医疗保健领域，以捕获患者信息	关键字
rsa.healthcare.patient_id	此键捕获患者的唯一 ID	关键字
rsa.healthcare.patient_lname	此键仅用于姓氏，主要用于医疗保健领域，以捕获患者信息	关键字
rsa.healthcare.patient_mname	此键仅用于中间名，主要用于医疗保健领域，以捕获患者信息	关键字
rsa.identity.accesses	此键用于捕获访问对象时使用的实际权限	关键字
rsa.identity.auth_method	此键用于仅捕获使用的身份验证方法	关键字
rsa.identity.dn	X.500 (LDAP) 专有名称	关键字
rsa.identity.dn_dst	X.500 (LDAP) 专有名称，在上下文中表示目标 dn	关键字
rsa.identity.dn_src	X.500 (LDAP) 专有名称，在上下文中表示源 dn	关键字
rsa.identity.federated_idp	此键是联合身份提供程序。这是提供身份验证的服务器。	关键字
rsa.identity.federated_sp	此键是联合服务提供程序。这是请求身份验证的应用程序。	关键字
rsa.identity.firstname	此键仅用于名字，主要用于医疗保健领域，以捕获患者信息	关键字
rsa.identity.host_role	此键仅用于捕获主机角色	关键字
rsa.identity.lastname	此键仅用于姓氏，主要用于医疗保健领域，以捕获患者信息	关键字
rsa.identity.ldap	此键用于未解释的 LDAP 值。没有明确的查询或响应上下文的 LDAP 值	关键字
rsa.identity.ldap_query	此键是 LDAP 搜索的搜索条件	关键字
rsa.identity.ldap_response	此键用于捕获 LDAP 搜索的结果	关键字
rsa.identity.logon_type	此键用于捕获使用的登录方法类型。	关键字
rsa.identity.logon_type_desc	此键用于捕获存储在元键 logon.type 中的整数登录类型的文本描述。	关键字
rsa.identity.middlename	此键仅用于中间名，主要用于医疗保健领域，以捕获患者信息	关键字
rsa.identity.org	此键捕获用户组织	关键字
rsa.identity.owner	此键用于捕获进程或服务运行所使用的用户名，即任务的作者	关键字
rsa.identity.password	此键用于在任何会话中看到的密码，无论是纯文本还是加密的	关键字
rsa.identity.profile	此键用于捕获用户配置文件	关键字
rsa.identity.realm	Radius 域或类似的帐户分组	关键字
rsa.identity.service_account	此键是 Windows 特定键，用于捕获服务（在事件中引用）运行所使用的帐户名称。旧版用法	关键字
rsa.identity.user_dept	仅限用户部门名称	关键字
rsa.identity.user_role	此键仅用于捕获用户角色	关键字
rsa.identity.user_sid_dst	此键捕获目标用户会话 ID	关键字
rsa.identity.user_sid_src	此键捕获源用户会话 ID	关键字
rsa.internal.audit_class	此键捕获证书错误字符串	关键字
rsa.internal.cid	这是用于标识 NetWitness Concentrator 的唯一标识符。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	关键字
rsa.internal.data	此键捕获证书错误字符串	关键字
rsa.internal.dead	此键捕获证书错误字符串	长整型
rsa.internal.device_class	这是在预定义的固定事件源分类下，日志事件源的分类。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	关键字
rsa.internal.device_group	此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	关键字
rsa.internal.device_host	这是将日志发送到 NetWitness 的日志事件源的主机名。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	关键字
rsa.internal.device_ip	这是将日志发送到 NetWitness 的日志事件源的 IPv4 地址。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	ip
rsa.internal.device_ipv6	这是将日志发送到 NetWitness 的日志事件源的 IPv6 地址。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	ip
rsa.internal.device_type	这是解析给定会话的日志分析器的名称。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	关键字
rsa.internal.device_type_id	此键捕获证书错误字符串	长整型
rsa.internal.did	这是用于标识 NetWitness 解码器的唯一标识符。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	关键字
rsa.internal.entropy_req	此键仅由熵分析器使用，元类型可以是 UInt16 或 Float32，具体取决于配置	长整型
rsa.internal.entropy_res	此键仅由熵分析器使用，元类型可以是 UInt16 或 Float32，具体取决于配置	长整型
rsa.internal.entry	此键捕获证书错误字符串	关键字
rsa.internal.event_desc		关键字
rsa.internal.event_name	此键捕获证书错误字符串	关键字
rsa.internal.feed_category	此键用于捕获 feed 的类别。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	关键字
rsa.internal.feed_desc	此键用于捕获 feed 的描述。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	关键字
rsa.internal.feed_name	此键用于捕获 feed 的名称。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	关键字
rsa.internal.forward_ip	此键应用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV4 地址。	ip
rsa.internal.forward_ipv6	此键用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV6 地址。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	ip
rsa.internal.hcode	此键捕获证书错误字符串	关键字
rsa.internal.header_id	这是标识解析特定日志会话的精确日志分析器标头定义的标头 ID 值。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	关键字
rsa.internal.inode	此键捕获证书错误字符串	长整型
rsa.internal.lc_cid	这是日志收集器的唯一标识符。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	关键字
rsa.internal.lc_ctime	这是在 NetWitness 日志收集器中收集日志的时间。此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	日期
rsa.internal.level	此键捕获证书错误字符串	长整型
rsa.internal.mcb_req	此键仅由熵分析器使用，最常见的字节请求只是每个侧面的哪个字节（0 到 255）出现次数最多	长整型
rsa.internal.mcb_res	此键仅由熵分析器使用，最常见的字节响应只是每个侧面的哪个字节（0 到 255）出现次数最多	长整型
rsa.internal.mcbc_req	此键仅由熵分析器使用，最常见的字节计数是最常见的字节（以上）在会话流中出现的次数	长整型
rsa.internal.mcbc_res	此键仅由熵分析器使用，最常见的字节计数是最常见的字节（以上）在会话流中出现的次数	长整型
rsa.internal.medium	此键用于标识是日志/数据包会话还是第 2 层封装类型。此键不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键。 32 = 日志，33 = 关联会话，< 32 是数据包会话	长整型
rsa.internal.message	此键捕获即时消息的内容	关键字
rsa.internal.messageid		关键字
rsa.internal.msg	此键用于捕获进入日志解码器的原始消息	关键字
rsa.internal.msg_id	这是 Message ID1 值，用于标识解析特定日志会话的确切日志解析器定义。此键不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	关键字
rsa.internal.msg_vid	这是 Message ID2 值，用于标识解析特定日志会话的确切日志解析器定义。此键不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	关键字
rsa.internal.node_name	此键捕获证书错误字符串	关键字
rsa.internal.nwe_callback_id	此键表示事件与端点相关	关键字
rsa.internal.obj_id	此键捕获证书错误字符串	关键字
rsa.internal.obj_server	此键捕获证书错误字符串	关键字
rsa.internal.obj_val	此键捕获证书错误字符串	关键字
rsa.internal.parse_error	这是一个特殊键，用于存储解析日志会话时发现的任何元键验证错误。此键不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	关键字
rsa.internal.payload_req	此键仅由熵解析器使用，有效负载大小指标是解析时每个会话侧的有效负载大小。但是，为了保持	长整型
rsa.internal.payload_res	此键仅由熵解析器使用，有效负载大小指标是解析时每个会话侧的有效负载大小。但是，为了保持	长整型
rsa.internal.process_vid_dst	端点生成并使用唯一的虚拟 ID 来标识任何类似进程组。此 ID 表示目标进程。	关键字
rsa.internal.process_vid_src	端点生成并使用唯一的虚拟 ID 来标识任何类似进程组。此 ID 表示源进程。	关键字
rsa.internal.resource	此键捕获证书错误字符串	关键字
rsa.internal.resource_class	此键捕获证书错误字符串	关键字
rsa.internal.rid	这是 NetWitness 解码器创建的远程会话的特殊 ID。此键不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	长整型
rsa.internal.session_split	此键绝不应用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	关键字
rsa.internal.site	此键捕获证书错误字符串	关键字
rsa.internal.size	这是 NetWitness 解码器看到的会话大小。此键不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	长整型
rsa.internal.sourcefile	这是可以导入 NetWitness 的日志文件或 PCAP 的名称。此键不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	关键字
rsa.internal.statement	此键捕获证书错误字符串	关键字
rsa.internal.time	这是会话到达 NetWitness 解码器的时间。此键不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键。	日期
rsa.internal.ubc_req	此键仅由熵解析器使用，唯一字节计数是每个流中看到的唯一字节数。 256 表示 0 到 255 的所有字节值至少出现一次	长整型
rsa.internal.ubc_res	此键仅由熵解析器使用，唯一字节计数是每个流中看到的唯一字节数。 256 表示 0 到 255 的所有字节值至少出现一次	长整型
rsa.internal.word	Word Parsing 技术使用此键来捕获未解析日志中每个单词的前 5 个字符	关键字
rsa.investigations.analysis_file	此键用于捕获文件分析中使用的所有指标。此键应被用于捕获文件的分析	关键字
rsa.investigations.analysis_service	此键用于捕获服务分析中使用的所有指标。此键应被用于捕获服务的分析	关键字
rsa.investigations.analysis_session	此键用于捕获会话分析中使用的所有指标。此键应被用于捕获会话的分析	关键字
rsa.investigations.boc	此键用于捕获危害行为	关键字
rsa.investigations.ec_activity	此键捕获特定事件活动（例如：注销）	关键字
rsa.investigations.ec_outcome	此键捕获特定事件的结果（例如：成功）	关键字
rsa.investigations.ec_subject	此键捕获特定事件的主题（例如：用户）	关键字
rsa.investigations.ec_theme	此键捕获特定事件的主题（例如：身份验证）	关键字
rsa.investigations.eoc	此键用于捕获危害推动因素	关键字
rsa.investigations.event_cat	此键捕获事件类别编号	长整型
rsa.investigations.event_cat_name	此键捕获与事件类别代码对应的事件类别名称	关键字
rsa.investigations.event_vcat	这是供应商提供的类别。当供应商采用他们自己的 event_category 分类法时，应使用此键。	关键字
rsa.investigations.inv_category	此键用于捕获调查类别	关键字
rsa.investigations.inv_context	此键用于捕获调查上下文	关键字
rsa.investigations.ioc	此键捕获危害指标	关键字
rsa.misc.OS	此键捕获操作系统的名称	关键字
rsa.misc.acl_id		关键字
rsa.misc.acl_op		关键字
rsa.misc.acl_pos		关键字
rsa.misc.acl_table		关键字
rsa.misc.action		关键字
rsa.misc.admin		关键字
rsa.misc.agent_id	此键用于捕获代理 ID	关键字
rsa.misc.alarm_id		关键字
rsa.misc.alarmname		关键字
rsa.misc.alert_id	已弃用，新的威胁搜寻模型 (inv. , ioc, boc, eoc, analysis.)	关键字
rsa.misc.app_id		关键字
rsa.misc.audit		关键字
rsa.misc.audit_object		关键字
rsa.misc.auditdata		关键字
rsa.misc.autorun_type	此键用于捕获自动运行类型	关键字
rsa.misc.benchmark		关键字
rsa.misc.bypass		关键字
rsa.misc.cache		关键字
rsa.misc.cache_hit		关键字
rsa.misc.category	此键用于捕获会话中供应商给出的事件类别	关键字
rsa.misc.cc_number	仅限有效的信用卡号	长整型
rsa.misc.cefversion		关键字
rsa.misc.cfg_attr		关键字
rsa.misc.cfg_obj		关键字
rsa.misc.cfg_path		关键字
rsa.misc.change_attrib	此键用于捕获会话中正在更改的属性的名称	关键字
rsa.misc.change_new	此键用于捕获会话中正在更改的属性的新值	关键字
rsa.misc.change_old	此键用于捕获会话中正在更改的属性的旧值	关键字
rsa.misc.changes		关键字
rsa.misc.checksum	此键用于捕获实体（例如文件或进程）的校验和或哈希值。当不清楚实体是操作的源还是目标时，应使用 checksum 而不是 checksum.src 或 checksum.dst。	关键字
rsa.misc.checksum_dst	此键用于捕获目标实体（例如进程或文件）的校验和或哈希值。	关键字
rsa.misc.checksum_src	此键用于捕获源实体（例如文件或进程）的校验和或哈希值。	关键字
rsa.misc.client	此键用于仅捕获请求服务器资源的客户端应用程序的名称。有关捕获特定的用户代理标识符或浏览器标识字符串，请参阅 user.agent 元键。	关键字
rsa.misc.client_ip		关键字
rsa.misc.clustermembers		关键字
rsa.misc.cmd		关键字
rsa.misc.cn_acttimeout		关键字
rsa.misc.cn_asn_src		关键字
rsa.misc.cn_bgpv4nxthop		关键字
rsa.misc.cn_ctr_dst_code		关键字
rsa.misc.cn_dst_tos		关键字
rsa.misc.cn_dst_vlan		关键字
rsa.misc.cn_engine_id		关键字
rsa.misc.cn_engine_type		关键字
rsa.misc.cn_f_switch		关键字
rsa.misc.cn_flowsampid		关键字
rsa.misc.cn_flowsampintv		关键字
rsa.misc.cn_flowsampmode		关键字
rsa.misc.cn_inacttimeout		关键字
rsa.misc.cn_inpermbyts		关键字
rsa.misc.cn_inpermpckts		关键字
rsa.misc.cn_invalid		关键字
rsa.misc.cn_ip_proto_ver		关键字
rsa.misc.cn_ipv4_ident		关键字
rsa.misc.cn_l_switch		关键字
rsa.misc.cn_log_did		关键字
rsa.misc.cn_log_rid		关键字
rsa.misc.cn_max_ttl		关键字
rsa.misc.cn_maxpcktlen		关键字
rsa.misc.cn_min_ttl		关键字
rsa.misc.cn_minpcktlen		关键字
rsa.misc.cn_mpls_lbl_1		关键字
rsa.misc.cn_mpls_lbl_10		关键字
rsa.misc.cn_mpls_lbl_2		关键字
rsa.misc.cn_mpls_lbl_3		关键字
rsa.misc.cn_mpls_lbl_4		关键字
rsa.misc.cn_mpls_lbl_5		关键字
rsa.misc.cn_mpls_lbl_6		关键字
rsa.misc.cn_mpls_lbl_7		关键字
rsa.misc.cn_mpls_lbl_8		关键字
rsa.misc.cn_mpls_lbl_9		关键字
rsa.misc.cn_mplstoplabel		关键字
rsa.misc.cn_mplstoplabip		关键字
rsa.misc.cn_mul_dst_byt		关键字
rsa.misc.cn_mul_dst_pks		关键字
rsa.misc.cn_muligmptype		关键字
rsa.misc.cn_sampalgo		关键字
rsa.misc.cn_sampint		关键字
rsa.misc.cn_seqctr		关键字
rsa.misc.cn_spackets		关键字
rsa.misc.cn_src_tos		关键字
rsa.misc.cn_src_vlan		关键字
rsa.misc.cn_sysuptime		关键字
rsa.misc.cn_template_id		关键字
rsa.misc.cn_totbytsexp		关键字
rsa.misc.cn_totflowexp		关键字
rsa.misc.cn_totpcktsexp		关键字
rsa.misc.cn_unixnanosecs		关键字
rsa.misc.cn_v6flowlabel		关键字
rsa.misc.cn_v6optheaders		关键字
rsa.misc.code		关键字
rsa.misc.command		关键字
rsa.misc.comments	日志消息中提供的注释信息	关键字
rsa.misc.comp_class		关键字
rsa.misc.comp_name		关键字
rsa.misc.comp_rbytes		关键字
rsa.misc.comp_sbytes		关键字
rsa.misc.comp_version	此键捕获产品子组件的版本级别。	关键字
rsa.misc.connection_id	此键捕获连接 ID	关键字
rsa.misc.content	此键捕获协议标头中的内容类型	关键字
rsa.misc.content_type	此键用于仅捕获内容类型。	关键字
rsa.misc.content_version	此键捕获签名或数据库内容的版本级别。	关键字
rsa.misc.context	此键捕获向事件添加额外上下文的信息。	关键字
rsa.misc.context_subject	此键用于审计上下文中，其中主题是被标识的对象	关键字
rsa.misc.context_target		关键字
rsa.misc.count		关键字
rsa.misc.cpu	此键是记录事件执行中使用的 CPU 时间。	长整型
rsa.misc.cpu_data		关键字
rsa.misc.criticality		关键字
rsa.misc.cs_agency_dst		关键字
rsa.misc.cs_analyzedby		关键字
rsa.misc.cs_av_other		关键字
rsa.misc.cs_av_primary		关键字
rsa.misc.cs_av_secondary		关键字
rsa.misc.cs_bgpv6nxthop		关键字
rsa.misc.cs_bit9status		关键字
rsa.misc.cs_context		关键字
rsa.misc.cs_control		关键字
rsa.misc.cs_data		关键字
rsa.misc.cs_datecret		关键字
rsa.misc.cs_dst_tld		关键字
rsa.misc.cs_eth_dst_ven		关键字
rsa.misc.cs_eth_src_ven		关键字
rsa.misc.cs_event_uuid		关键字
rsa.misc.cs_filetype		关键字
rsa.misc.cs_fld		关键字
rsa.misc.cs_if_desc		关键字
rsa.misc.cs_if_name		关键字
rsa.misc.cs_ip_next_hop		关键字
rsa.misc.cs_ipv4dstpre		关键字
rsa.misc.cs_ipv4srcpre		关键字
rsa.misc.cs_lifetime		关键字
rsa.misc.cs_log_medium		关键字
rsa.misc.cs_loginname		关键字
rsa.misc.cs_modulescore		关键字
rsa.misc.cs_modulesign		关键字
rsa.misc.cs_opswatresult		关键字
rsa.misc.cs_payload		关键字
rsa.misc.cs_registrant		关键字
rsa.misc.cs_registrar		关键字
rsa.misc.cs_represult		关键字
rsa.misc.cs_rpayload		关键字
rsa.misc.cs_sampler_name		关键字
rsa.misc.cs_sourcemodule		关键字
rsa.misc.cs_streams		关键字
rsa.misc.cs_targetmodule		关键字
rsa.misc.cs_v6nxthop		关键字
rsa.misc.cs_whois_server		关键字
rsa.misc.cs_yararesult		关键字
rsa.misc.cve	此键捕获 CVE（通用漏洞披露）- 已知信息安全漏洞的标识符。	关键字
rsa.misc.data_type		关键字
rsa.misc.description		关键字
rsa.misc.device_name	用于捕获与节点关联的设备名称，例如：物理磁盘、打印机等。	关键字
rsa.misc.devvendor		关键字
rsa.misc.disposition	此键捕获操作的最终状态。	关键字
rsa.misc.distance		关键字
rsa.misc.doc_number	此键捕获文件标识号	长整型
rsa.misc.dstburb		关键字
rsa.misc.edomain		关键字
rsa.misc.edomaub		关键字
rsa.misc.ein_number	仅限员工识别号	长整型
rsa.misc.error	此键捕获所有不成功的错误代码或响应	关键字
rsa.misc.euid		关键字
rsa.misc.event_category		关键字
rsa.misc.event_computer	此键是仅限 Windows 的概念，此键用于捕获 Windows 日志中的完全限定域名。	关键字
rsa.misc.event_desc	此键用于捕获直接可用或推断的事件描述	关键字
rsa.misc.event_id		关键字
rsa.misc.event_log	此键捕获事件日志的名称	关键字
rsa.misc.event_source	此键捕获非主机名的事件源	关键字
rsa.misc.event_state	此键捕获事件中引用的对象/项目的当前状态。描述正在进行的事件。	关键字
rsa.misc.event_type	此键捕获事件源指定的事件类别类型。	关键字
rsa.misc.event_user	此键是仅限 Windows 的概念，此键用于捕获 Windows 日志中域名和用户名的组合。	关键字
rsa.misc.expected_val	此键捕获预期值（从生成日志的设备角度来看）。	关键字
rsa.misc.facility		关键字
rsa.misc.facilityname		关键字
rsa.misc.fcatnum	此键捕获筛选器类别编号。传统用法	关键字
rsa.misc.filter	此键捕获用于减少结果集的筛选器	关键字
rsa.misc.finterface		关键字
rsa.misc.flags		关键字
rsa.misc.forensic_info		关键字
rsa.misc.found	用于捕获正则表达式匹配的结果	关键字
rsa.misc.fresult	此键捕获筛选器结果	长整型
rsa.misc.gaddr		关键字
rsa.misc.group	此键捕获组名称值	关键字
rsa.misc.group_id	此键捕获组 ID 号（与组名称相关）	关键字
rsa.misc.group_object	此键捕获实体集合/分组。特定用法	关键字
rsa.misc.hardware_id	此键用于捕获设备或系统的唯一标识符（不是 Mac 地址）	关键字
rsa.misc.id3		关键字
rsa.misc.im_buddyid		关键字
rsa.misc.im_buddyname		关键字
rsa.misc.im_client		关键字
rsa.misc.im_croomid		关键字
rsa.misc.im_croomtype		关键字
rsa.misc.im_members		关键字
rsa.misc.im_userid		关键字
rsa.misc.im_username		关键字
rsa.misc.index		关键字
rsa.misc.inout		关键字
rsa.misc.ipkt		关键字
rsa.misc.ipscat		关键字
rsa.misc.ipspri		关键字
rsa.misc.job_num	此键捕获作业编号	关键字
rsa.misc.jobname		关键字
rsa.misc.language	用于捕获客户端支持的语言列表及其首选语言	关键字
rsa.misc.latitude		关键字
rsa.misc.library	此键用于捕获大型机设备中的库信息	关键字
rsa.misc.lifetime	此键用于捕获会话生命周期（以秒为单位）。	长整型
rsa.misc.linenum		关键字
rsa.misc.link	此键用于链接会话。此键绝不应用于直接从会话（日志/数据包）解析元数据，这是 NetWitness 中的保留键	关键字
rsa.misc.list_name		关键字
rsa.misc.listnum	此键用于捕获列表名称或列表编号，主要用于收集访问列表	关键字
rsa.misc.load_data		关键字
rsa.misc.location_floor		关键字
rsa.misc.location_mark		关键字
rsa.misc.log_id		关键字
rsa.misc.log_session_id	此键用于直接从会话中捕获会话 ID	关键字
rsa.misc.log_session_id1	此键用于直接从会话中捕获链接的（相关的）会话 ID	关键字
rsa.misc.log_type		关键字
rsa.misc.logid		关键字
rsa.misc.logip		关键字
rsa.misc.logname		关键字
rsa.misc.longitude		关键字
rsa.misc.lport		关键字
rsa.misc.mail_id	此键用于捕获邮箱 ID/名称	关键字
rsa.misc.match	此键用于来自 search.ini 的正则表达式匹配名称	关键字
rsa.misc.mbug_data		关键字
rsa.misc.message_body	此键捕获消息正文的内容。	关键字
rsa.misc.misc		关键字
rsa.misc.misc_name		关键字
rsa.misc.mode		关键字
rsa.misc.msgIdPart1		关键字
rsa.misc.msgIdPart2		关键字
rsa.misc.msgIdPart3		关键字
rsa.misc.msgIdPart4		关键字
rsa.misc.msg_type		关键字
rsa.misc.msgid		关键字
rsa.misc.name		关键字
rsa.misc.netsessid		关键字
rsa.misc.node	常见用例是集群内的节点名称。集群名称由主机名反映。	关键字
rsa.misc.ntype		关键字
rsa.misc.num		关键字
rsa.misc.number		关键字
rsa.misc.number1		关键字
rsa.misc.number2		关键字
rsa.misc.nwwn		关键字
rsa.misc.obj_name	用于捕获对象名称	关键字
rsa.misc.obj_type	用于捕获对象类型	关键字
rsa.misc.object		关键字
rsa.misc.observed_val	此键捕获观察到的值（从生成日志的设备角度来看）。	关键字
rsa.misc.operation		关键字
rsa.misc.operation_id	警报编号或操作编号。这些值应该是唯一的且不重复。	关键字
rsa.misc.opkt		关键字
rsa.misc.orig_from		关键字
rsa.misc.owner_id		关键字
rsa.misc.p_action		关键字
rsa.misc.p_filter		关键字
rsa.misc.p_group_object		关键字
rsa.misc.p_id		关键字
rsa.misc.p_msgid		关键字
rsa.misc.p_msgid1		关键字
rsa.misc.p_msgid2		关键字
rsa.misc.p_result1		关键字
rsa.misc.param	此键是作为命令或应用程序等一部分传递的参数。	关键字
rsa.misc.param_dst	此键捕获目标进程或文件的命令行/启动参数	关键字
rsa.misc.param_src	此键捕获源参数	关键字
rsa.misc.parent_node	此键捕获父节点名称。必须与节点变量相关。	关键字
rsa.misc.password_chg		关键字
rsa.misc.password_expire		关键字
rsa.misc.payload_dst	此键用于捕获目标负载	关键字
rsa.misc.payload_src	此键用于捕获源负载	关键字
rsa.misc.permgranted		关键字
rsa.misc.permwanted		关键字
rsa.misc.pgid		关键字
rsa.misc.phone		关键字
rsa.misc.pid		关键字
rsa.misc.policy		关键字
rsa.misc.policyUUID		关键字
rsa.misc.policy_id	此键仅用于捕获策略 ID，这应该是一个数值，否则请使用 policy.name	关键字
rsa.misc.policy_name	此键仅用于捕获策略名称。	关键字
rsa.misc.policy_value	此键捕获策略的内容。其中包含有关策略的详细信息	关键字
rsa.misc.policy_waiver		关键字
rsa.misc.pool_id	此键捕获资源池的标识符（通常是数字字段）	关键字
rsa.misc.pool_name	此键捕获资源池的名称	关键字
rsa.misc.port_name	此键用于物理或逻辑端口连接，但不包括网络端口。（示例：打印机端口名称）。	关键字
rsa.misc.priority		关键字
rsa.misc.process_id_val	当进程 ID 不是整数值时，此键是进程 ID 的失败键	关键字
rsa.misc.prog_asp_num		关键字
rsa.misc.program		关键字
rsa.misc.real_data		关键字
rsa.misc.reason		关键字
rsa.misc.rec_asp_device		关键字
rsa.misc.rec_asp_num		关键字
rsa.misc.rec_library		关键字
rsa.misc.recordnum		关键字
rsa.misc.reference_id	此键用于直接从会话中捕获事件 ID	关键字
rsa.misc.reference_id1	此键用于链接 ID，作为“reference.id”的补充	关键字
rsa.misc.reference_id2	此键用于第二个链接 ID。可以链接到“reference.id”或“reference.id1”值，但不应使用，除非另外两个变量在起作用。	关键字
rsa.misc.result	此键用于捕获会话中操作的结果/结果字符串值。	关键字
rsa.misc.result_code	此键用于捕获会话中操作的结果/结果数值	关键字
rsa.misc.risk	此键捕获非数字风险值	关键字
rsa.misc.risk_info	已弃用，请使用新的 Hunting 模型（inv.、ioc、boc、eoc、analysis。）	关键字
rsa.misc.risk_num	此键捕获数字风险值	double
rsa.misc.risk_num_comm	此键捕获风险编号社区	double
rsa.misc.risk_num_next	此键捕获风险编号 NextGen	double
rsa.misc.risk_num_sand	此键捕获风险编号沙箱	double
rsa.misc.risk_num_static	此键捕获风险编号静态	double
rsa.misc.risk_suspicious	已弃用，请使用新的 Hunting 模型（inv.、ioc、boc、eoc、analysis。）	关键字
rsa.misc.risk_warning	已弃用，请使用新的 Hunting 模型（inv.、ioc、boc、eoc、analysis。）	关键字
rsa.misc.ruid		关键字
rsa.misc.rule	此键捕获规则编号	关键字
rsa.misc.rule_group	此键捕获规则组名称	关键字
rsa.misc.rule_name	此键捕获规则名称	关键字
rsa.misc.rule_template	一组默认参数，它们覆盖在规则（或规则名称）上，从而有效地构成一个模板	关键字
rsa.misc.rule_uid	此键是规则的唯一标识符。	关键字
rsa.misc.sburb		关键字
rsa.misc.sdomain_fld		关键字
rsa.misc.search_text	此键捕获使用的搜索文本	关键字
rsa.misc.sec		关键字
rsa.misc.second		关键字
rsa.misc.sensor	此键捕获传感器的名称。通常用于基于 IDS/IPS 的设备	关键字
rsa.misc.sensorname		关键字
rsa.misc.seqnum		关键字
rsa.misc.serial_number	此键是与物理资产关联的序列号。	关键字
rsa.misc.session		关键字
rsa.misc.sessiontype		关键字
rsa.misc.severity	此键用于捕获会话给定的严重性	关键字
rsa.misc.sigUUID		关键字
rsa.misc.sig_id	此键捕获 IDS/IPS Int 签名 ID	长整型
rsa.misc.sig_id1	此键捕获 IDS/IPS Int 签名 ID。这必须链接到 sig.id	长整型
rsa.misc.sig_id_str	此键捕获 sigid 变量的字符串对象。	关键字
rsa.misc.sig_name	此键仅用于捕获签名名称。	关键字
rsa.misc.sigcat		关键字
rsa.misc.snmp_oid	SNMP 对象标识符	关键字
rsa.misc.snmp_value	SNMP 设置请求值	关键字
rsa.misc.space		关键字
rsa.misc.space1		关键字
rsa.misc.spi		关键字
rsa.misc.spi_dst	目标 SPI 索引	关键字
rsa.misc.spi_src	源 SPI 索引	关键字
rsa.misc.sql	此键捕获 SQL 查询	关键字
rsa.misc.srcburb		关键字
rsa.misc.srcdom		关键字
rsa.misc.srcservice		关键字
rsa.misc.state		关键字
rsa.misc.status		关键字
rsa.misc.status1		关键字
rsa.misc.streams	此键捕获会话中的流数	长整型
rsa.misc.subcategory		关键字
rsa.misc.svcno		关键字
rsa.misc.system		关键字
rsa.misc.tbdstr1		关键字
rsa.misc.tbdstr2		关键字
rsa.misc.tcp_flags	此键捕获会话的任何数据包中设置的 TCP 标志	长整型
rsa.misc.terminal	此键仅捕获终端名称	关键字
rsa.misc.tgtdom		关键字
rsa.misc.tgtdomain		关键字
rsa.misc.threshold		关键字
rsa.misc.tos	此键描述服务类型	长整型
rsa.misc.trigger_desc	此键捕获触发器或阈值条件的描述。	关键字
rsa.misc.trigger_val	此键捕获触发器或阈值条件的值。	关键字
rsa.misc.type		关键字
rsa.misc.type1		关键字
rsa.misc.udb_class		关键字
rsa.misc.url_fld		关键字
rsa.misc.user_div		关键字
rsa.misc.userid		关键字
rsa.misc.username_fld		关键字
rsa.misc.utcstamp		关键字
rsa.misc.v_instafname		关键字
rsa.misc.version	此键捕获生成事件的应用程序或操作系统的版本。	关键字
rsa.misc.virt_data		关键字
rsa.misc.virusname	此键捕获病毒的名称	关键字
rsa.misc.vm_target	仅限 VMWare 目标 VMWARE 变量。	关键字
rsa.misc.vpnid		关键字
rsa.misc.vsys	此键捕获虚拟系统名称	关键字
rsa.misc.vuln_ref	此键捕获漏洞参考详细信息	关键字
rsa.misc.workspace	此键捕获工作区描述	关键字
rsa.network.ad_computer_dst	已弃用，请使用 host.dst	关键字
rsa.network.addr		关键字
rsa.network.alias_host	当主机名的源或目标上下文不明确时，应使用此键。它还捕获设备主机名。任何不是 ad.computer 的主机名。	关键字
rsa.network.dinterface	此键仅在它是目标接口时使用	关键字
rsa.network.dmask	此键用于目标设备的网络掩码	关键字
rsa.network.dns_a_record		关键字
rsa.network.dns_cname_record		关键字
rsa.network.dns_id		关键字
rsa.network.dns_opcode		关键字
rsa.network.dns_ptr_record		关键字
rsa.network.dns_resp		关键字
rsa.network.dns_type		关键字
rsa.network.domain		关键字
rsa.network.domain1		关键字
rsa.network.eth_host	已弃用，请使用 alias.mac	关键字
rsa.network.eth_type	此键用于捕获以太网类型，仅用于第 3 层协议	长整型
rsa.network.faddr		关键字
rsa.network.fhost		关键字
rsa.network.fport		关键字
rsa.network.gateway	此键用于捕获网关的 IP 地址	关键字
rsa.network.host_dst	此键仅在它是目标主机名时使用	关键字
rsa.network.host_orig	用于捕获转发代理或中间代理的原始主机名。	关键字
rsa.network.host_type		关键字
rsa.network.icmp_code	此键仅用于捕获 ICMP 代码	长整型
rsa.network.icmp_type	此键仅用于捕获 ICMP 类型	长整型
rsa.network.interface	当接口的源或目标上下文不明确时，应使用此键	关键字
rsa.network.ip_proto	此键用于捕获协议号，所有协议号在 UI 中都转换为字符串	长整型
rsa.network.laddr		关键字
rsa.network.lhost		关键字
rsa.network.linterface		关键字
rsa.network.mask	此键用于捕获设备网络 IP 掩码。	关键字
rsa.network.netname	此键用于捕获与 IP 范围关联的网络名称。这是由最终用户配置的。	关键字
rsa.network.network_port	已弃用，请使用 port。注意：当前使用的类型存在差异，TM：Int32，INDEX：UInt64（为什么两者都没选择正确的 UInt16？！）	长整型
rsa.network.network_service	用于捕获第 7 层协议/服务名称	关键字
rsa.network.origin		关键字
rsa.network.packet_length		关键字
rsa.network.paddr	已弃用	ip
rsa.network.phost		关键字
rsa.network.port	此键仅用于捕获方向不明确的网络端口	长整型
rsa.network.protocol_detail	此键用于捕获其他协议信息	关键字
rsa.network.remote_domain_id		关键字
rsa.network.rpayload	此键用于捕获在重新传输的数据包中看到的总有效负载字节数。	关键字
rsa.network.sinterface	此键仅在它是源接口时使用	关键字
rsa.network.smask	此键用于捕获源网络掩码	关键字
rsa.network.vlan	此键仅用于捕获虚拟 LAN 的 ID	长整型
rsa.network.vlan_name	此键仅用于捕获虚拟 LAN 的名称	关键字
rsa.network.zone	当区域的源或目标上下文不明确时，应使用此键	关键字
rsa.network.zone_dst	此键仅在它是目标区域时使用。	关键字
rsa.network.zone_src	此键仅在它是源区域时使用。	关键字
rsa.physical.org_dst	用于根据 GEOPIP Maxmind 数据库捕获目标组织。	关键字
rsa.physical.org_src	用于根据 GEOPIP Maxmind 数据库捕获源组织。	关键字
rsa.storage.disk_volume	分配给物理磁盘内的逻辑单元（卷）的唯一名称	关键字
rsa.storage.lun	逻辑单元号。此键在存储中是一个非常有用的概念。	关键字
rsa.storage.pwwn	唯一标识 HBA 上的端口。	关键字
rsa.threat.alert	此键用于捕获警报的名称	关键字
rsa.threat.threat_category	此键捕获威胁名称/威胁类别/警报分类	关键字
rsa.threat.threat_desc	此键用于直接或推断捕获会话中的威胁描述	关键字
rsa.threat.threat_source	此键用于捕获威胁的来源	关键字
rsa.time.date		关键字
rsa.time.datetime		关键字
rsa.time.day		关键字
rsa.time.duration_str	持续时间的文本字符串版本	关键字
rsa.time.duration_time	此键用于捕获以秒为单位的规范化持续时间/生命周期。	double
rsa.time.effective_time	此键是以标准时间戳格式表示的单个事件引用的有效时间	日期
rsa.time.endtime	此键用于以标准形式捕获会话中提到的结束时间	日期
rsa.time.event_queue_time	此键是事件排队的时间。	日期
rsa.time.event_time	此键用于以标准规范化形式捕获原始会话中提到的表示事件实际发生的时间	日期
rsa.time.event_time_str	此键用于捕获会话中提到的不完整的时间作为字符串	关键字
rsa.time.eventtime		关键字
rsa.time.expire_time	此键是明确引用到期的时间戳。	日期
rsa.time.expire_time_str	此键用于捕获明确引用到期的不完整的时间戳。	关键字
rsa.time.gmtdate		关键字
rsa.time.gmttime		关键字
rsa.time.hour		关键字
rsa.time.min		关键字
rsa.time.month		关键字
rsa.time.p_date		关键字
rsa.time.p_month		关键字
rsa.time.p_time		关键字
rsa.time.p_time1		关键字
rsa.time.p_time2		关键字
rsa.time.p_year		关键字
rsa.time.process_time	已弃用，请使用 duration.time	关键字
rsa.time.recorded_time	系统从收集事件的时间记录的事件时间。使用场景是一个多层应用程序，系统的管理层在从其子节点收集时记录自己的时间戳。必须采用时间戳格式。	日期
rsa.time.stamp	此键捕获证书错误字符串	日期
rsa.time.starttime	此键用于以标准形式捕获会话中提到的开始时间	日期
rsa.time.timestamp		关键字
rsa.time.timezone	此键用于捕获事件时区	关键字
rsa.time.tzone		关键字
rsa.time.year		关键字
rsa.web.alias_host		关键字
rsa.web.cn_asn_dst		关键字
rsa.web.cn_rpackets		关键字
rsa.web.fqdn	完全限定域名	关键字
rsa.web.p_url		关键字
rsa.web.p_user_agent		关键字
rsa.web.p_web_cookie		关键字
rsa.web.p_web_method		关键字
rsa.web.p_web_referer		关键字
rsa.web.remote_domain		关键字
rsa.web.reputation_num	实体的信誉号。通常用于 Web 域	double
rsa.web.urlpage		关键字
rsa.web.urlroot		关键字
rsa.web.web_cookie	此键专门用于捕获 Web Cookie。	关键字
rsa.web.web_extension_tmp		关键字
rsa.web.web_page		关键字
rsa.web.web_ref_domain	Web 引用域	关键字
rsa.web.web_ref_page	此键捕获 Web 引用的页面信息	关键字
rsa.web.web_ref_query	此键捕获 Web 引用的 URL 查询部分	关键字
rsa.web.web_ref_root	Web 引用的根 URL 路径	关键字
rsa.wireless.access_point	此键用于捕获接入点名称。	关键字
rsa.wireless.wlan_channel	用于捕获频道名称	长整型
rsa.wireless.wlan_name	此键捕获 WLAN 号码/名称	关键字
rsa.wireless.wlan_ssid	此键用于捕获无线会话的 ssid	关键字
rule.name	生成事件的规则或签名的名称。	关键字
server.domain	服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能来自富化。	关键字
server.registered_domain	最高级别的注册服务器域，已去除子域。例如，“foo.example.com”的注册域是“example.com”。此值可以使用公共后缀列表 (http://publicsuffix.org) 精确确定。尝试通过简单地取最后两个标签来近似此值对于 “co.uk” 等顶级域名来说效果不佳。	关键字
server.subdomain	完全限定域名的子域部分包括除已注册域下的主机名以外的所有名称。在部分限定的域中，或者如果无法确定全名的限定级别，则子域包含已注册域下的所有名称。例如，“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，没有尾随句点。	关键字
server.top_level_domain	有效顶级域名 (eTLD)，也称为域后缀，是域名的最后一部分。例如，example.com 的顶级域名是“com”。此值可以通过公共后缀列表 (http://publicsuffix.org) 精确确定。尝试仅取最后一个标签来近似此值对于 “co.uk” 等有效顶级域名效果不佳。	关键字
service.name	从中收集数据的服务名称。服务名称通常由用户给出。这允许在多个主机上运行的分布式服务根据名称关联相关实例。在 Elasticsearch 的情况下，`service.name` 可以包含集群名称。对于 Beats，如果没有指定名称，则 `service.name` 默认是 `service.type` 字段的副本。	关键字
source.address	某些事件源地址的定义不明确。事件有时会列出 IP、域或 unix 套接字。您应始终将原始地址存储在 `.address` 字段中。然后，应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪个。	关键字
source.as.number	分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。	长整型
source.as.organization.name	组织名称。	关键字
source.as.organization.name.text	`source.as.organization.name` 的多字段。	match_only_text
source.bytes	从源发送到目标的字节数。	长整型
source.domain	源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能来自富化。	关键字
source.geo.city_name	城市名称。	关键字
source.geo.country_name	国家名称。	关键字
source.geo.location	经度和纬度。	geo_point
source.ip	源的 IP 地址 (IPv4 或 IPv6)。	ip
source.mac	源的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）都由两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节由连字符分隔。	关键字
source.nat.ip	基于 NAT 会话的源的转换 IP（例如，内部客户端到互联网）。通常，连接会遍历负载平衡器、防火墙或路由器。	ip
source.nat.port	基于 NAT 会话的源的转换端口。（例如，内部客户端到互联网）通常与负载平衡器、防火墙或路由器一起使用。	长整型
source.port	源的端口。	长整型
source.registered_domain	最高级别的注册源域，已去除子域。例如，“foo.example.com”的注册域是“example.com”。此值可以使用公共后缀列表 (http://publicsuffix.org) 精确确定。尝试通过简单地取最后两个标签来近似此值对于 “co.uk” 等顶级域名来说效果不佳。	关键字
source.subdomain	完全限定域名的子域部分包括除已注册域下的主机名以外的所有名称。在部分限定的域中，或者如果无法确定全名的限定级别，则子域包含已注册域下的所有名称。例如，“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，没有尾随句点。	关键字
source.top_level_domain	有效顶级域名 (eTLD)，也称为域后缀，是域名的最后一部分。例如，example.com 的顶级域名是“com”。此值可以通过公共后缀列表 (http://publicsuffix.org) 精确确定。尝试仅取最后一个标签来近似此值对于 “co.uk” 等有效顶级域名效果不佳。	关键字
tags	用于标记每个事件的关键字列表。	关键字
url.domain	URL 的域，例如 "https://elastic.ac.cn[www.elastic.co]"。在某些情况下，URL 可能直接引用 IP 和/或端口，而没有域名。在这种情况下，IP 地址将转到 `domain` 字段。如果 URL 包含由 `[` 和 `]` (IETF RFC 2732) 包围的字面 IPv6 地址，则 `[` 和 `]` 字符也应捕获到 `domain` 字段中。	关键字
url.original	事件源中看到的未经修改的原始 URL。请注意，在网络监控中，观察到的 URL 可能是完整 URL，而在访问日志中，URL 通常仅表示为路径。此字段旨在表示观察到的 URL（完整或不完整）。	wildcard
url.original.text	`url.original` 的多字段。	match_only_text
url.path	请求的路径，例如 “/search”。	wildcard
url.query	查询字段描述请求的查询字符串，例如 “q=elasticsearch”。查询字符串中不包含 `?`。如果 URL 不包含 `?`，则不存在查询字段。如果存在 `?` 但没有查询，则查询字段存在，并且为空字符串。可以使用 `exists` 查询来区分这两种情况。	关键字
url.registered_domain	已注册的最高 URL 域名，已去除子域名。例如，“foo.example.com” 的注册域名是 “example.com”。此值可以使用公共后缀列表等列表精确确定（http://publicsuffix.org）。尝试通过简单地取最后两个标签来近似此值对于 “co.uk” 等顶级域名效果不佳。	关键字
url.top_level_domain	有效顶级域名 (eTLD)，也称为域后缀，是域名的最后一部分。例如，example.com 的顶级域名是“com”。此值可以通过公共后缀列表 (http://publicsuffix.org) 精确确定。尝试仅取最后一个标签来近似此值对于 “co.uk” 等有效顶级域名效果不佳。	关键字
user.domain	用户所属目录的名称。例如，LDAP 或 Active Directory 域名。	关键字
user.full_name	用户的全名（如果可用）。	关键字
user.full_name.text	`user.full_name` 的多字段。	match_only_text
user.id	用户的唯一标识符。	关键字
user.name	用户的短名称或登录名。	关键字
user.name.text	`user.name` 的多字段。	match_only_text
user_agent.original	未解析的 user_agent 字符串。	关键字
user_agent.original.text	`user_agent.original` 的多字段。	match_only_text

更新日志

编辑

更新日志

版本	详情	Kibana 版本
0.17.3	错误修复 (查看拉取请求) 在引用摄取管道中的变量时，使用三重大括号 Mustache 模板。	—
0.17.2	增强功能 (查看拉取请求) 更改了所有者	—
0.17.1	错误修复 (查看拉取请求) 修复了 exclude_files 模式。	—
0.17.0	增强功能 (查看拉取请求) 弃用包。	—
0.16.0	增强功能 (查看拉取请求) 确保为管道错误正确设置 event.kind。	—
0.15.0	增强功能 (查看拉取请求) 将包更新到 ECS 8.8.0。	—
0.14.0	增强功能 (查看拉取请求) 将 package-spec 版本更新到 2.7.0。	—
0.13.0	增强功能 (查看拉取请求) 将包更新到 ECS 8.7.0。	—
0.12.1	增强功能 (查看拉取请求) 添加了类别和/或子类别。	—
0.12.0	增强功能 (查看拉取请求) 将包更新到 ECS 8.6.0。	—
0.11.1	错误修复 (查看拉取请求) 更新文档以匹配字段定义。	—
0.11.0	增强功能 (查看拉取请求) 将包更新到 ECS 8.5.0。	—
0.10.2	错误修复 (查看拉取请求) 删除重复的字段。	—
0.10.1	增强功能 (查看拉取请求) 使用 ECS geo.location 定义。	—
0.10.0	增强功能 (查看拉取请求) 将包更新到 ECS 8.4.0	—
0.9.0	增强功能 (查看拉取请求) 将包更新到 ECS 8.3.0。	—
0.8.0	增强功能 (查看拉取请求) 更新到 ECS 8.2.0	—
0.7.0	增强功能 (查看拉取请求) 更新到 ECS 8.0.0	—
0.6.1	错误修复 (查看拉取请求) 使用新的 GeoIP 数据库重新生成测试文件	—
0.6.0	增强功能 (查看拉取请求) 添加 8.0.0 版本约束	—
0.5.4	增强功能 (查看拉取请求) 与指南保持一致	—
0.5.3	增强功能 (查看拉取请求) 更新标题和描述。	—
0.5.2	错误修复 (查看拉取请求) 修复了阻止包在 7.16 中工作的错误。	—
0.5.1	错误修复 (查看拉取请求) 修复了检查 forwarded 标记的逻辑	—
0.5.0	增强功能 (查看拉取请求) 更新到 ECS 1.12.0	—
0.4.3	错误修复 (查看拉取请求) 需要堆栈的 7.14.1 版本	—
0.4.2	增强功能 (查看拉取请求) 转换为生成的 ECS 字段	—
0.4.1	增强功能 (查看拉取请求) 更新到 ECS 1.11.0	—
0.4.0	增强功能 (查看拉取请求) 更新集成描述	—
0.3.0	增强功能 (查看拉取请求) 设置 “event.module” 和 “event.dataset”	—
0.2.0	增强功能 (查看拉取请求) 更新到 ECS 1.10.0，添加 event.original 选项，并为 Fleet GA 做准备。	—
0.1.4	增强功能 (查看拉取请求) 更新到 ECS 1.9.0	—
0.1.0	增强功能 (查看拉取请求) 初始版本	—

« blacklens.io BBOT 集成 »