Cisco ASA 集成

@timestamp

事件产生的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

日期

cisco.asa.aaa_type

AAA 操作类型。身份验证、授权或计费之一。

keyword

cisco.asa.assigned_ip

成功连接的 VPN 客户端分配的 IP 地址

ip

cisco.asa.burst.avg_rate

当前看到的平均突发速率

keyword

cisco.asa.burst.configured_avg_rate

允许的当前配置的平均突发速率

keyword

cisco.asa.burst.configured_rate

当前配置的突发速率

keyword

cisco.asa.burst.cumulative_count

自对象创建或清除以来，突发速率命中的总计数

keyword

cisco.asa.burst.current_rate

当前看到的突发速率

keyword

cisco.asa.burst.id

突发警告的相关速率 ID

keyword

cisco.asa.burst.object

突发警告的相关对象

keyword

cisco.asa.command_line_arguments

本地审计日志记录的命令行参数

keyword

cisco.asa.connection_id

流的唯一标识符。

keyword

cisco.asa.connection_type

VPN 连接类型

keyword

cisco.asa.connections_in_use

正在使用的连接数。

long

cisco.asa.connections_most_used

最常用的连接数。

long

cisco.asa.dap_records

分配的 DAP 记录

keyword

cisco.asa.destination_interface

流或事件的目标接口。

keyword

cisco.asa.destination_user_security_group_tag

目标用户的安全组标记。安全组标记是用于表示逻辑组特权的 16 位标识符。

long

cisco.asa.destination_user_security_group_tag_name

目标用户的安全组标记的名称。

keyword

cisco.asa.destination_username

作为此事件目标的用户的名称。

keyword

cisco.asa.device_type

设备类型。

keyword

cisco.asa.full_message

Cisco 日志消息文本。

keyword

cisco.asa.group_policy

组策略名称。

keyword

cisco.asa.icmp_code

ICMP 代码。

short

cisco.asa.icmp_type

ICMP 类型。

short

cisco.asa.interface_name

接口名称。

keyword

cisco.asa.mapped_destination_host

keyword

cisco.asa.mapped_destination_ip

转换后的目标 IP 地址。

ip

cisco.asa.mapped_destination_port

转换后的目标端口。

long

cisco.asa.mapped_source_host

keyword

cisco.asa.mapped_source_ip

转换后的源 IP 地址。

ip

cisco.asa.mapped_source_port

转换后的源端口。

long

cisco.asa.message

与 SIP 和 Skinny VoIP 事件相关的消息

keyword

cisco.asa.message_id

Cisco ASA 消息标识符。

keyword

cisco.asa.original_iana_number

原始 IP 有效负载的 IANA 协议号。

short

cisco.asa.peer_type

对等类型。

keyword

cisco.asa.pool_address

池地址。

ip

cisco.asa.pool_name

池名称。

keyword

cisco.asa.privilege.new

当用户的特权发生更改时，这是新值

keyword

cisco.asa.privilege.old

当用户的特权发生更改时，这是旧值

keyword

cisco.asa.redundant_interface_name

冗余接口名称。

keyword

cisco.asa.rejection_reason

AAA 身份验证拒绝的原因。

keyword

cisco.asa.rule_name

与此事件匹配的访问控制列表规则的名称。

keyword

cisco.asa.security

Cisco FTD 安全事件字段。

flattened

cisco.asa.session_id

会话 ID。

keyword

cisco.asa.session_type

会话类型（例如，IPsec 或 UDP）。

keyword

cisco.asa.source_interface

流或事件的源接口。

keyword

cisco.asa.source_user_security_group_tag

源用户的安全组标记。安全组标记是用于表示逻辑组特权的 16 位标识符。

long

cisco.asa.source_user_security_group_tag_name

源用户的安全组标记的名称。

keyword

cisco.asa.source_username

作为此事件源的用户的名称。

keyword

cisco.asa.suffix

在 %ASA 标识符之后的可选后缀。

keyword

cisco.asa.termination_initiator

启动拆卸的侧的接口名称

keyword

cisco.asa.termination_user

请求终止的用户的 AAA 名称

keyword

cisco.asa.threat_category

恶意软件/僵尸网络流量的类别。例如：病毒、僵尸网络、木马等。

keyword

cisco.asa.threat_level

恶意软件/僵尸网络流量的威胁级别。极低、低、中等、高或极高之一。

keyword

cisco.asa.trustpoint

信任点名称。

keyword

cisco.asa.tunnel_group

隧道组名称。

keyword

cisco.asa.tunnel_type

SA 类型（远程访问或 L2L）

keyword

cisco.asa.username

keyword

cisco.asa.webvpn.group_name

用户所属的 WebVPN 组名称

keyword

client.address

一些事件客户端地址的定义不明确。该事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后应将其复制到 .ip 或 .domain，具体取决于它是哪个。

keyword

client.domain

客户端系统的域名。此值可以是主机名、完全限定域名或另一种主机命名格式。该值可能来自原始事件或从扩充中添加。

keyword

client.ip

客户端的 IP 地址（IPv4 或 IPv6）。

ip

client.port

客户端的端口。

long

client.user.name

用户的短名称或登录名。

keyword

client.user.name.text

client.user.name 的多字段。

match_only_text

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

keyword

cloud.availability_zone

此主机运行所在的可用区。

keyword

cloud.image.id

云实例的映像 ID。

keyword

cloud.instance.id

主机机器的实例 ID。

keyword

cloud.instance.name

主机机器的实例名称。

keyword

cloud.machine.type

主机机器的机器类型。

keyword

cloud.project.id

Google Cloud 中项目的名称。

keyword

cloud.provider

云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。

keyword

cloud.region

此主机运行所在的区域。

keyword

container.id

唯一容器 ID。

keyword

container.image.name

构建容器所基于的映像的名称。

keyword

container.labels

映像标签。

object

container.name

容器名称。

keyword

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

destination.address

一些事件目标地址的定义不明确。该事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后应将其复制到 .ip 或 .domain，具体取决于它是哪个。

keyword

destination.as.number

分配给自治系统的唯一数字。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

long

destination.as.organization.name

组织名称。

keyword

destination.as.organization.name.text

destination.as.organization.name 的多字段。

match_only_text

destination.bytes

从目标发送到源的字节数。

long

destination.domain

目标系统的域名。此值可以是主机名、完全限定域名或另一种主机命名格式。该值可能来自原始事件或从扩充中添加。

keyword

destination.geo.city_name

城市名称。

keyword

destination.geo.continent_code

表示大陆名称的两个字母代码。

keyword

destination.geo.continent_name

大陆名称。

keyword

destination.geo.country_iso_code

国家/地区 ISO 代码。

keyword

destination.geo.country_name

国家/地区名称。

keyword

destination.geo.location

经度和纬度。

geo_point

destination.geo.name

用户定义的位置描述，在他们关心的粒度级别。可以是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动地理定位。

keyword

destination.geo.postal_code

与该位置关联的邮政编码。此字段的合适值也可能被称为邮政编码或 ZIP 编码，并且在各个国家/地区差异很大。

keyword

destination.geo.region_iso_code

地区 ISO 代码。

keyword

destination.geo.region_name

地区名称。

keyword

destination.geo.timezone

位置的时区，例如 IANA 时区名称。

keyword

destination.ip

目标 IP 地址（IPv4 或 IPv6）。

ip

destination.nat.ip

基于 NAT 会话的目标的转换 IP（例如，互联网到专用 DMZ），通常与负载均衡器、防火墙或路由器一起使用。

ip

destination.nat.port

NAT 设备将源会话转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。

long

destination.port

目标的端口。

long

destination.user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

keyword

destination.user.email

用户电子邮件地址。

keyword

destination.user.name

用户的短名称或登录名。

keyword

destination.user.name.text

destination.user.name 的多字段。

match_only_text

ecs.version

此事件遵循的 ECS 版本。ecs.version 是一个必填字段，必须存在于所有事件中。当跨多个索引进行查询时（这些索引可能遵循略有不同的 ECS 版本），此字段允许集成调整为事件的架构版本。

keyword

error.message

错误消息。

match_only_text

event.category

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第二级。event.category 表示 ECS 类别的“大桶”。例如，筛选 event.category:process 将产生所有与进程活动相关的事件。此字段与 event.type 密切相关，后者用作子类别。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。

keyword

event.code

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确地标识消息，而不管消息语言或随时间推移的措辞调整。Windows 事件 ID 就是一个例子。

keyword

event.created

event.created 包含代理或管道首次读取事件的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。此差异可用于计算源生成事件与代理首次处理事件之间的时间延迟。这可用于监控代理或管道跟上事件源的能力。如果这两个时间戳相同，则应使用 @timestamp。

日期

event.dataset

事件数据集

constant_keyword

event.duration

事件的持续时间，以纳秒为单位。如果知道 event.start 和 event.end，则此值应为结束时间和开始时间之差。

long

event.end

event.end 包含事件结束或最后一次观察到活动时的日期。

日期

event.ingested

事件到达中央数据存储的时间戳。这与 @timestamp 不同，后者是事件最初发生的时间。它也与 event.created 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳应该按时间顺序如下所示：@timestamp < event.created < event.ingested。

日期

event.kind

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最高级别。event.kind 提供有关事件包含的信息类型的高级信息，而不具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留、不同的访问控制，也可能有助于了解数据是否以规则的时间间隔传入。

keyword

event.module

事件模块

constant_keyword

event.provider

事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如 Sysmon、httpd）或操作系统的子系统（内核、Microsoft-Windows-Security-Auditing）。

keyword

event.severity

根据您的事件源，事件的数字严重性。不同的严重性值意味着什么在不同的来源和用例之间可能有所不同。实现者有责任确保来自同一来源的事件的严重性保持一致。Syslog 严重性属于 log.syslog.severity.code。event.severity 旨在表示根据事件源（例如防火墙、IDS）的严重性。如果事件源未发布其自身的严重性，则可以选择将 log.syslog.severity.code 复制到 event.severity。

long

event.start

event.start 包含事件开始或首次观察到活动时的日期。

日期

event.timezone

当事件的时间戳不包含时区信息时（例如，默认的 Syslog 时间戳），应填充此字段。否则，它是可选的。可接受的时区格式为：规范 ID（例如“Europe/Amsterdam”）、缩写（例如“EST”）或 HH:mm 差值（例如“-05:00”）。

keyword

event.type

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第三级。event.type 表示一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件筛选到适合单个可视化的级别。此字段是一个数组。这将允许对属于多种事件类型的某些事件进行正确的分类。

keyword

file.path

文件的完整路径，包括文件名。它应包括驱动器号（如果适用）。

keyword

file.path.text

file.path 的多字段。

match_only_text

host.architecture

操作系统架构。

keyword

host.containerized

主机是否为容器。

布尔值

host.domain

主机所属的域名。例如，在 Windows 上，这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可能是主机 LDAP 提供商的域。

keyword

host.hostname

主机的 hostname。它通常包含主机机器上 hostname 命令返回的内容。

keyword

host.id

唯一的主机 ID。由于 hostname 并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前 beat.name 的用法。

keyword

host.ip

主机 IP 地址。

ip

host.mac

主机 MAC 地址。

keyword

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名或用户指定的名称。发送者决定使用哪个值。

keyword

host.os.build

操作系统版本信息。

keyword

host.os.codename

操作系统代号（如果有）。

keyword

host.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

keyword

host.os.kernel

操作系统内核版本（作为原始字符串）。

keyword

host.os.name

操作系统名称，不带版本。

keyword

host.os.name.text

host.os.name 的多字段。

文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

keyword

host.os.version

操作系统版本（作为原始字符串）。

keyword

host.type

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果为虚拟机，则这可以是容器，例如，或在您的环境中具有意义的其他信息。

keyword

input.type

输入类型。

keyword

labels

自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例：docker 和 k8s 标签。

object

log.file.path

此事件来自的日志文件的完整路径，包括文件名。它应包括驱动器号（如果适用）。如果事件不是从日志文件中读取的，则不要填充此字段。

keyword

log.level

日志事件的原始日志级别。如果事件的来源提供了日志级别或文本严重性，则将其放入 log.level 中。如果您的来源未指定日志级别，则可以将事件传输的严重性放在此处（例如，Syslog 严重性）。一些示例为 warn、err、i、informational。

keyword

log.offset

日志文件中条目的偏移量。

long

log.source.address

读取/发送日志事件的源地址。

keyword

log.syslog.facility.code

日志事件的 Syslog 数字设施（如果可用）。根据 RFC 5424 和 3164，此值应为 0 到 23 之间的整数。

long

log.syslog.priority

事件的 Syslog 数字优先级（如果可用）。根据 RFC 5424 和 3164，优先级为 8 * 设施 + 严重性。因此，此数字应包含 0 到 191 之间的值。

long

log.syslog.severity.code

日志事件的 Syslog 数字严重性（如果可用）。如果通过 Syslog 发布事件源提供了不同的数字严重性值（例如防火墙、IDS），则应将源的数字严重性转到 event.severity。如果事件源未指定不同的严重性，则可以选择将 Syslog 严重性复制到 event.severity。

long

message

对于日志事件，消息字段包含日志消息，该消息已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志，可以将其他字段连接起来以形成事件的人可读摘要。如果存在多条消息，可以将它们组合为一条消息。

match_only_text

network.bytes

两个方向上传输的总字节数。如果知道 source.bytes 和 destination.bytes，则 network.bytes 是它们的总和。

long

network.community_id

源和目标 IP 和端口以及通信中使用的协议的哈希值。这是一种用于识别流的与工具无关的标准。要了解更多信息，请访问 https://github.com/corelight/community-id-spec。

keyword

network.direction

网络流量的方向。当从基于主机的监视上下文映射事件时，请使用值“ingress”或“egress”，从主机的角度填充此字段。当从基于网络或外围的监视上下文映射事件时，请使用值“inbound”、“outbound”、“internal”或“external”，从网络外围的角度填充此字段。请注意，“internal”不跨越外围边界，旨在描述外围内两台主机之间的通信。另请注意，“external”旨在描述外围之外两台主机之间的流量。例如，这对于 ISP 或 VPN 服务提供商可能很有用。

keyword

network.iana_number

IANA 协议号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。标准化的协议列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常一致。

keyword

network.inner

当存在 q-in-q VLAN 标记时，除了 network.vlan 字段外，还会添加 Network.inner 字段来描述最内层的 VLAN。允许的字段包括 vlan.id 和 vlan.name。当使用多个 802.1q 封装将流量发送到网络传感器（例如 Zeek、Wireshark）时，通常使用内部 VLAN 字段。

object

network.inner.vlan.id

观察者报告的 VLAN ID。

keyword

network.inner.vlan.name

观察者报告的可选 VLAN 名称。

keyword

network.protocol

在 OSI 模型中，这将是应用层协议。例如，http、dns 或 ssh。为了查询，字段值必须标准化为小写。

keyword

network.transport

与 network.iana_number 相同，但使用传输层的关键字名称（udp、tcp、ipv6-icmp 等）。为了查询，字段值必须标准化为小写。

keyword

network.type

在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。为了查询，字段值必须标准化为小写。

keyword

observer.egress.interface.name

系统报告的接口名称。

keyword

observer.egress.zone

观察者报告的出站流量的网络区域，用于对出口流量的目标区域进行分类，例如内部、外部、DMZ、HR、法律等。

keyword

observer.geo.city_name

城市名称。

keyword

observer.geo.continent_code

表示大陆名称的两个字母代码。

keyword

observer.geo.continent_name

大陆名称。

keyword

observer.geo.country_iso_code

国家/地区 ISO 代码。

keyword

observer.geo.country_name

国家/地区名称。

keyword

observer.geo.location

经度和纬度。

geo_point

observer.geo.name

用户定义的位置描述，在他们关心的粒度级别。可以是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动地理定位。

keyword

observer.geo.postal_code

与该位置关联的邮政编码。此字段的合适值也可能被称为邮政编码或 ZIP 编码，并且在各个国家/地区差异很大。

keyword

observer.geo.region_iso_code

地区 ISO 代码。

keyword

observer.geo.region_name

地区名称。

keyword

observer.geo.timezone

位置的时区，例如 IANA 时区名称。

keyword

observer.hostname

观察者的主机名。

keyword

observer.ingress.interface.name

系统报告的接口名称。

keyword

observer.ingress.zone

观察者报告的入站流量的网络区域，用于对入口流量的源区域进行分类。例如，内部、外部、DMZ、HR、法律等。

keyword

observer.ip

观察者的 IP 地址。

ip

observer.name

观察者的自定义名称。这是可以赋予观察者的名称。例如，如果组织中使用多个相同型号的防火墙，这会很有帮助。如果不需要自定义名称，则可以将该字段留空。

keyword

observer.product

观察者的产品名称。

keyword

observer.type

数据来源的观察者类型。没有预定义的观察者类型列表。一些示例是 forwarder、firewall、ids、ips、proxy、poller、sensor、APM server。

keyword

observer.vendor

观察者的供应商名称。

keyword

observer.version

观察者版本。

keyword

process.name

进程名称。有时也称为程序名称或类似名称。

keyword

process.name.text

process.name 的多字段。

match_only_text

process.pid

进程 ID。

long

related.hosts

在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。

keyword

related.ip

在您的事件中看到的所有 IP。

ip

related.user

在事件中看到的所有用户名或其他用户标识符。

keyword

server.address

某些事件服务器地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后，应将其复制到 .ip 或 .domain，具体取决于哪个是哪个。

keyword

server.domain

服务器系统的域名。此值可以是主机名、完全限定的域名或其他主机命名格式。该值可能来自原始事件或从增强中添加。

keyword

server.ip

服务器的 IP 地址（IPv4 或 IPv6）。

ip

server.port

服务器的端口。

long

server.user.name

用户的短名称或登录名。

keyword

server.user.name.text

server.user.name 的多字段。

match_only_text

source.address

某些事件源地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后，应将其复制到 .ip 或 .domain，具体取决于哪个是哪个。

keyword

source.as.number

分配给自治系统的唯一数字。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

long

source.as.organization.name

组织名称。

keyword

source.as.organization.name.text

source.as.organization.name 的多字段。

match_only_text

source.bytes

从源发送到目标的字节数。

long

source.domain

源系统的域名。此值可以是主机名、完全限定的域名或其他主机命名格式。该值可能来自原始事件或从增强中添加。

keyword

source.geo.city_name

城市名称。

keyword

source.geo.continent_code

表示大陆名称的两个字母代码。

keyword

source.geo.continent_name

大陆名称。

keyword

source.geo.country_iso_code

国家/地区 ISO 代码。

keyword

source.geo.country_name

国家/地区名称。

keyword

source.geo.location

经度和纬度。

geo_point

source.geo.name

用户定义的位置描述，在他们关心的粒度级别。可以是他们的数据中心的名称、楼层号（如果这描述的是本地物理实体）、城市名称。通常不用于自动地理定位。

keyword

source.geo.postal_code

与该位置关联的邮政编码。此字段的合适值也可能被称为邮政编码或 ZIP 编码，并且在各个国家/地区差异很大。

keyword

source.geo.region_iso_code

地区 ISO 代码。

keyword

source.geo.region_name

地区名称。

keyword

source.geo.timezone

位置的时区，例如 IANA 时区名称。

keyword

source.ip

源的 IP 地址（IPv4 或 IPv6）。

ip

source.nat.ip

基于源 NAT 会话的转换 IP（例如，内部客户端到 Internet）。通常是遍历负载均衡器、防火墙或路由器的连接。

ip

source.nat.port

基于源 NAT 会话的转换端口。（例如，内部客户端到 Internet）。通常与负载均衡器、防火墙或路由器一起使用。

long

source.port

源的端口。

long

source.user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

keyword

source.user.email

用户电子邮件地址。

keyword

source.user.group.name

组的名称。

keyword

source.user.name

用户的短名称或登录名。

keyword

source.user.name.text

source.user.name 的多字段。

match_only_text

tags

用于标记每个事件的关键字列表。

keyword

tls.version

从原始字符串解析的版本号。

keyword

tls.version_protocol

从原始字符串解析的标准化小写协议名称。

keyword

url.domain

url 的域名，例如“https://elastic.ac.cn[www.elastic.co]”。在某些情况下，URL 可能直接引用 IP 和/或端口，而没有域名。在这种情况下，IP 地址将转到 domain 字段。如果 URL 包含由 [ 和 ]（IETF RFC 2732）括起来的文字 IPv6 地址，则 [ 和 ] 字符也应捕获在 domain 字段中。

keyword

url.extension

该字段包含来自原始请求 URL 的文件扩展名，不包括前导点。只有当文件扩展名存在时才设置，因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如，该值必须是“png”，而不是“.png”。请注意，当文件名有多个扩展名 (example.tar.gz) 时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

keyword

url.fragment

URL 中 # 之后的部分，例如“top”。# 不是片段的一部分。

keyword

url.full

如果完整 URL 对您的用例很重要，则应将它们存储在 url.full 中，无论此字段是重建的还是存在于事件源中。

wildcard

url.full.text

url.full 的多字段。

match_only_text

url.original

事件源中看到的未修改的原始 URL。请注意，在网络监控中，观察到的 URL 可能是完整的 URL，而在访问日志中，URL 通常仅表示为路径。此字段旨在表示观察到的 URL（完整或不完整）。

wildcard

url.original.text

url.original 的多字段。

match_only_text

url.password

请求的密码。

keyword

url.path

请求的路径，例如“/search”。

wildcard

url.port

请求的端口，例如 443。

long

url.query

query 字段描述了请求的查询字符串，例如“q=elasticsearch”。? 从查询字符串中排除。如果 URL 不包含 ?，则没有 query 字段。如果存在 ? 但没有查询，则 query 字段存在并且为空字符串。可以使用 exists 查询来区分这两种情况。

keyword

url.registered_domain

最高的已注册 URL 域名，已剥离子域名。例如，“foo.example.com”的已注册域名是“example.com”。可以使用类似于公共后缀列表的列表 (http://publicsuffix.org) 精确确定此值。尝试通过简单地获取最后两个标签来近似此值对于 TLD（例如“co.uk”）效果不佳。

keyword

url.scheme

请求的方案，例如“https”。注意：: 不是方案的一部分。

keyword

url.subdomain

完全限定域名的子域名部分包括注册域名下除主机名之外的所有名称。在部分限定的域名中，或者如果无法确定完整名称的限定级别，则子域名包含注册域名下的所有名称。例如，“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域名部分是“east”。如果域名有多个级别的子域名，例如“sub2.sub1.example.com”，则子域名字段应包含“sub2.sub1”，且不包含尾随句点。

keyword

url.top_level_domain

有效顶级域名 (eTLD)，也称为域名后缀，是域名的最后一部分。例如，example.com 的顶级域名是“com”。可以使用类似于公共后缀列表的列表 (http://publicsuffix.org) 精确确定此值。尝试通过简单地获取最后一个标签来近似此值对于有效的 TLD（例如“co.uk”）效果不佳。

keyword

url.username

请求的用户名。

keyword

user.email

用户电子邮件地址。

keyword

user.name

用户的短名称或登录名。

keyword

user.name.text

user.name 的多字段。

match_only_text

user_agent.original

未解析的 user_agent 字符串。

keyword

user_agent.original.text

user_agent.original 的多字段。

match_only_text

2.38.3

错误修复 (查看拉取请求)
处理包含组和终止消息的日志消息类型 113040 的另一种变体。

8.11.0 或更高版本

2.38.2

错误修复 (查看拉取请求)
在处理器之前添加检查，当无效数据传输集成时，该处理器会持续失败。

8.11.0 或更高版本

2.38.1

错误修复 (查看拉取请求)
放宽 grok 模式以允许 IP 和主机名

8.11.0 或更高版本

2.38.0

增强 (查看拉取请求)
为消息 ID 725001、725002、725007 和 725016 引入 destination.address。

8.11.0 或更高版本

2.37.0

增强功能 (查看拉取请求)
允许 @custom 管道访问 event.original，而无需设置 preserve_original_event。

8.11.0 或更高版本

2.36.4

Bug 修复 (查看拉取请求)
处理“帐户已被锁定”的原因解析

8.7.1 或更高版本

2.36.3

Bug 修复 (查看拉取请求)
解析消息 ID 113005、716002、713049 中的空用户名

8.7.1 或更高版本

2.36.2

Bug 修复 (查看拉取请求)
为 716059 添加模式。

8.7.1 或更高版本

2.36.1

Bug 修复 (查看拉取请求)
修复 ID 为 721016 和 721018 的 IPv4 和 IPv6 的处理

8.7.1 或更高版本

2.36.0

增强功能 (查看拉取请求)
添加其他日志类型。

8.7.1 或更高版本

2.35.3

Bug 修复 (查看拉取请求)
修复 113008、725002 的模式。

8.7.1 或更高版本

2.35.2

Bug 修复 (查看拉取请求)
放宽客户 SDH 的 grok 模式。

8.7.1 或更高版本

2.35.1

Bug 修复 (查看拉取请求)
将用户代理从 722055 日志提取到正确的字段。

8.7.1 或更高版本

2.35.0

增强功能 (查看拉取请求)
添加其他日志类型。

8.7.1 或更高版本

2.34.1

增强功能 (查看拉取请求)
添加对组和用户名中空格的支持。

8.7.1 或更高版本

2.34.0

增强功能 (查看拉取请求)
改进 ECS 分类。

8.7.1 或更高版本

2.33.2

Bug 修复 (查看拉取请求)
修复协议的分类。

8.7.1 或更高版本

2.33.1

Bug 修复 (查看拉取请求)
允许在用户名中使用撇号。

8.7.1 或更高版本

2.33.0

增强功能 (查看拉取请求)
改进应用 ECS 分类的方法。

8.7.1 或更高版本

2.32.1

Bug 修复 (查看拉取请求)
修复提取管道正则表达式警告

8.7.1 或更高版本

2.32.0

增强功能 (查看拉取请求)
将包规范更新到 3.0.3。

8.7.1 或更高版本

2.31.0

增强功能 (查看拉取请求)
添加消息 ID 722022、722023。

8.7.1 或更高版本

2.30.1

增强功能 (查看拉取请求)
更改所有者

8.7.1 或更高版本

2.30.0

增强功能 (查看拉取请求)
保留源用户和目标用户的电子邮件地址。

8.7.1 或更高版本

2.29.0

Bug 修复 (查看拉取请求)
支持用户名中的空格和特殊字符。

Bug 修复 (查看拉取请求)
将目标 SGT-整数:SGT-名称添加到 313005。

8.7.1 或更高版本

2.28.1

Bug 修复 (查看拉取请求)
修复 exclude_files 模式。

8.7.1 或更高版本

2.28.0

增强功能 (查看拉取请求)
ECS 版本更新到 8.11.0。

8.7.1 或更高版本

2.27.1

Bug 修复 (查看拉取请求)
支持以“$”结尾的用户名。

Bug 修复 (查看拉取请求)
将“未找到用户”作为原因添加到 113015。

Bug 修复 (查看拉取请求)
允许源是 313005 中的域或 IP。

Bug 修复 (查看拉取请求)
为 CISCO_USER GROK 模式创建非捕获组

8.7.1 或更高版本

2.27.0

增强功能 (查看拉取请求)
改进 *event.original* 检查，以避免在设置时出错。

8.7.1 或更高版本

2.26.1

Bug 修复 (查看拉取请求)
接受 SGT-整数:SGT-名称作为用户名

Bug 修复 (查看拉取请求)
允许用户名以“$”结尾

Bug 修复 (查看拉取请求)
按照 ECS 标准将 network.inner 更新为对象。

8.7.1 或更高版本

2.26.0

增强功能 (查看拉取请求)
添加对 113015 事件的支持。

Bug 修复 (查看拉取请求)
接受“*”作为有效的用户名值。

8.7.1 或更高版本

2.25.3

Bug 修复 (查看拉取请求)
修复从 ECS 导入的空组的字段映射

8.7.1 或更高版本

2.25.2

Bug 修复 (查看拉取请求)
修复 313005 中的协议字段处理。

8.7.1 或更高版本

2.25.1

Bug 修复 (查看拉取请求)
删除冗余的正则表达式量词。

8.7.1 或更高版本

2.25.0

增强功能 (查看拉取请求)
将包 format_version 更新到 3.0.0。

8.7.1 或更高版本

2.24.0

增强功能 (查看拉取请求)
扩展接受的身份验证拒绝原因。

增强功能 (查看拉取请求)
保留身份验证拒绝原因。

8.7.1 或更高版本

2.23.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.10.0 并对齐 ECS 分类字段。

8.7.1 或更高版本

2.22.0

增强功能 (查看拉取请求)
添加 tags.yml 文件，以便集成仪表板和已保存的搜索都标记为“安全解决方案”，并在安全解决方案 UI 中显示。

8.7.1 或更高版本

2.21.0

增强功能 (查看拉取请求)
将 package-spec 更新到 2.10.0。

8.7.1 或更高版本

2.20.4

Bug 修复 (查看拉取请求)
添加对未指定原因的 AAA 用户身份验证拒绝的支持。

8.7.1 或更高版本

2.20.3

Bug 修复 (查看拉取请求)
添加缺少的 geo 字段映射

8.7.1 或更高版本

2.20.2

Bug 修复 (查看拉取请求)
修复缺少端口时事件 313005 的处理。

Bug 修复 (查看拉取请求)
为事件 722033 和 722034 收集 network.transport。

8.7.1 或更高版本

2.20.1

Bug 修复 (查看拉取请求)
修复 113005 消息中空格的处理。

8.7.1 或更高版本

2.20.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.9.0。

8.7.1 或更高版本

2.19.0

增强功能 (查看拉取请求)
将仪表板转换为透镜。

8.7.1 或更高版本

2.18.0

增强功能 (查看拉取请求)
确保为管道错误正确设置 event.kind。

8.1.0 或更高版本

2.17.1

Bug 修复 (查看拉取请求)
修复 VPN event.action

8.1.0 或更高版本

2.17.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.8.0。

8.1.0 或更高版本

2.16.0

增强功能 (查看拉取请求)
支持 722011、722033 和 722034 消息。

Bug 修复 (查看拉取请求)
修复 722037 和 722051 消息的处理。

8.1.0 或更高版本

2.15.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.7.0。

8.1.0 或更高版本

2.14.1

增强功能 (查看拉取请求)
添加了类别和/或子类别。

8.1.0 或更高版本

2.14.0

增强功能 (查看拉取请求)
允许保留可搜索的日志消息。

8.1.0 或更高版本

2.13.2

Bug 修复 (查看拉取请求)
支持 113012、113004 和 716039 消息中的其他模式

8.1.0 或更高版本

2.13.1

Bug 修复 (查看拉取请求)
删除导致性能瓶颈的 ignore_failure

8.1.0 或更高版本

2.13.0

增强功能 (查看拉取请求)
允许配置时区。

8.1.0 或更高版本

2.12.1

Bug 修复 (查看拉取请求)
按照 Cisco 文档，交换消息 302013 和 302015 的源和目标

8.1.0 或更高版本

2.12.0

增强功能 (查看拉取请求)
将包更新到 ECS 8.6.0。

8.1.0 或更高版本

2.11.0

增强功能 (查看拉取请求)
将 udp_options 添加到 UDP 输入。

8.1.0 或更高版本

2.10.1

增强 (查看拉取请求)
将仪表板中的可视化迁移为按值传递，以最大限度地减少保存的对象混乱并缩短加载时间

8.1.0 或更高版本

2.10.0

增强 (查看拉取请求)
允许配置内部/外部区域

7.16.0 或更高版本
8.0.0 或更高版本

2.9.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.5.0。

7.16.0 或更高版本
8.0.0 或更高版本

2.8.0

增强 (查看拉取请求)
与 Cisco FTD 的管道保持一致。

7.16.0 或更高版本
8.0.0 或更高版本

2.7.7

错误修复 (查看拉取请求)
删除重复字段。

7.16.0 或更高版本
8.0.0 或更高版本

2.7.6

错误修复 (查看拉取请求)
删除重复字段。

7.16.0 或更高版本
8.0.0 或更高版本

2.7.5

错误修复 (查看拉取请求)
修复 302020 事件消息的处理。

7.16.0 或更高版本
8.0.0 或更高版本

2.7.4

增强 (查看拉取请求)
使用 ECS geo.location 定义。

7.16.0 或更高版本
8.0.0 或更高版本

2.7.3

错误修复 (查看拉取请求)
修复非规范 113005 消息的处理。

7.16.0 或更高版本
8.0.0 或更高版本

2.7.2

错误修复 (查看拉取请求)
清理 grok 模式命名。

7.16.0 或更高版本
8.0.0 或更高版本

2.7.1

错误修复 (查看拉取请求)
修复某些非规范日志格式的处理。

7.16.0 或更高版本
8.0.0 或更高版本

2.7.0

增强 (查看拉取请求)
添加对 AAA 操作的处理。

7.16.0 或更高版本
8.0.0 或更高版本

2.6.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.4.0

7.16.0 或更高版本
8.0.0 或更高版本

2.5.2

增强 (查看拉取请求)
改进 TCP、SSL 配置说明和示例。

7.16.0 或更高版本
8.0.0 或更高版本

2.5.1

错误修复 (查看拉取请求)
修复存在 SGT 字段时用户解析的处理。

错误修复 (查看拉取请求)
修复 302013 和 302015 事件的用户解析处理。

7.16.0 或更高版本
8.0.0 或更高版本

2.5.0

增强 (查看拉取请求)
将软件包更新到 ECS 8.3.0。

7.16.0 或更高版本
8.0.0 或更高版本

2.4.2

错误修复 (查看拉取请求)
根据 ECS 映射 syslog 优先级详细信息

错误修复 (查看拉取请求)
从 syslog 优先级中提取 syslog facility 和 severity 代码

7.16.0 或更高版本
8.0.0 或更高版本

2.4.1

错误修复 (查看拉取请求)
确保事件中不记录无效的 event.outcome

7.16.0 或更高版本
8.0.0 或更高版本

2.4.0

增强 (查看拉取请求)
添加带有 TLS 支持的 TCP 输入

—

2.3.0

增强 (查看拉取请求)
更新到 ECS 8.2

7.16.0 或更高版本
8.0.0 或更高版本

2.2.2

错误修复 (查看拉取请求)
更改可视化以使用 event.code 而不是 cisco.asa.message_id。

—

2.2.1

增强 (查看拉取请求)
添加多字段的文档

7.16.0 或更高版本
8.0.0 或更高版本

2.2.0

增强 (查看拉取请求)
添加 community_id 处理器，更新 805001、304001、106023 和 602304 消息解析。 elastic/beats#26879

增强 (查看拉取请求)
将 user.name 字段添加到 ASA 安全协商日志行。 elastic/beats#26975

增强 (查看拉取请求)
更改 event.outcome 和 event.type 处理，使其更符合 ECS。 elastic/beats#29698

7.16.0 或更高版本
8.0.0 或更高版本

2.1.0

增强 (查看拉取请求)
添加对事件代码 113029-113040 的解析

7.16.0 或更高版本
8.0.0 或更高版本

2.0.1

错误修复 (查看拉取请求)
澄清配置选项文档

7.16.0 或更高版本
8.0.0 或更高版本

2.0.0

增强 (查看拉取请求)
更新到 ECS 8.0

—

1.3.2

错误修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

7.16.0 或更高版本
8.0.0 或更高版本

1.3.1

错误修复 (查看拉取请求)
将测试公有 IP 更改为支持的子集

—

1.3.0

增强 (查看拉取请求)
添加 8.0.0 版本约束

7.16.0 或更高版本
8.0.0 或更高版本

1.2.2

增强 (查看拉取请求)
更新标题和描述。

7.16.0 或更高版本

1.2.1

错误修复 (查看拉取请求)
放宽 Cisco ASA 模块中的时间解析和捕获组及会话类型

—

1.2.0

增强 (查看拉取请求)
添加对 Cisco ASA SIP 事件的支持

—

1.1.1

错误修复 (查看拉取请求)
修复检查 *forwarded* 标记的逻辑

—

1.1.0

增强 (查看拉取请求)
更新到 ECS 1.12.0

—

1.0.1

错误修复 (查看拉取请求)
添加缺少的 ECS 字段

—

1.0.0

增强 (查看拉取请求)
将 Cisco ASA 拆分为单独的软件包

—