Cylance 集成
编辑Cylance 集成
编辑此集成用于 Cylance 日志。它包括以下数据集,用于通过 syslog 接收日志或从文件读取日志
-
protect数据集:支持 CylanceProtect 日志。
Protect
编辑protect 数据集收集 CylanceProtect 日志。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
dns.question.domain |
服务器域。 |
keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
geo.city_name |
城市名称。 |
keyword |
geo.country_name |
国家名称。 |
keyword |
geo.name |
用户定义的位置描述,达到他们关心的粒度级别。可以是他们的数据中心的名称、楼层号(如果这描述的是本地物理实体)、城市名称。通常不用于自动化地理定位。 |
keyword |
geo.region_name |
区域名称。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
log.source.address |
从中读取/发送日志事件的源地址。 |
keyword |
network.interface.name |
keyword |
|
rsa.counters.dclass_c1 |
这是一个通用计数器键,应仅与标签 dclass.c1.str 一起使用 |
long |
rsa.counters.dclass_c1_str |
这是一个通用计数器字符串键,应仅与标签 dclass.c1 一起使用 |
keyword |
rsa.counters.dclass_c2 |
这是一个通用计数器键,应仅与标签 dclass.c2.str 一起使用 |
long |
rsa.counters.dclass_c2_str |
这是一个通用计数器字符串键,应仅与标签 dclass.c2 一起使用 |
keyword |
rsa.counters.dclass_c3 |
这是一个通用计数器键,应仅与标签 dclass.c3.str 一起使用 |
long |
rsa.counters.dclass_c3_str |
这是一个通用计数器字符串键,应仅与标签 dclass.c3 一起使用 |
keyword |
rsa.counters.dclass_r1 |
这是一个通用比率键,应仅与标签 dclass.r1.str 一起使用 |
keyword |
rsa.counters.dclass_r1_str |
这是一个通用比率字符串键,应仅与标签 dclass.r1 一起使用 |
keyword |
rsa.counters.dclass_r2 |
这是一个通用比率键,应仅与标签 dclass.r2.str 一起使用 |
keyword |
rsa.counters.dclass_r2_str |
这是一个通用比率字符串键,应仅与标签 dclass.r2 一起使用 |
keyword |
rsa.counters.dclass_r3 |
这是一个通用比率键,应仅与标签 dclass.r3.str 一起使用 |
keyword |
rsa.counters.dclass_r3_str |
这是一个通用比率字符串键,应仅与标签 dclass.r3 一起使用 |
keyword |
rsa.counters.event_counter |
这用于捕获事件重复的次数 |
long |
rsa.crypto.cert_ca |
此键仅用于捕获证书签名颁发机构 |
keyword |
rsa.crypto.cert_checksum |
keyword |
|
rsa.crypto.cert_common |
此键仅用于捕获证书公用名 |
keyword |
rsa.crypto.cert_error |
此键捕获证书错误字符串 |
keyword |
rsa.crypto.cert_host_cat |
此键用于证书的主机名类别值 |
keyword |
rsa.crypto.cert_host_name |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.crypto.cert_issuer |
keyword |
|
rsa.crypto.cert_keysize |
keyword |
|
rsa.crypto.cert_serial |
此键仅用于捕获证书序列号 |
keyword |
rsa.crypto.cert_status |
此键捕获证书验证状态 |
keyword |
rsa.crypto.cert_subject |
此键仅用于捕获证书组织 |
keyword |
rsa.crypto.cert_username |
keyword |
|
rsa.crypto.cipher_dst |
此键用于目标(服务器)密码 |
keyword |
rsa.crypto.cipher_size_dst |
此键捕获目标(服务器)密码大小 |
long |
rsa.crypto.cipher_size_src |
此键捕获源(客户端)密码大小 |
long |
rsa.crypto.cipher_src |
此键用于源(客户端)密码 |
keyword |
rsa.crypto.crypto |
此键仅用于捕获加密类型或加密密钥 |
keyword |
rsa.crypto.d_certauth |
keyword |
|
rsa.crypto.https_insact |
keyword |
|
rsa.crypto.https_valid |
keyword |
|
rsa.crypto.ike |
IKE 协商阶段。 |
keyword |
rsa.crypto.ike_cookie1 |
协商的 ID - 为 ISAKMP 第一阶段发送 |
keyword |
rsa.crypto.ike_cookie2 |
协商的 ID - 为 ISAKMP 第二阶段发送 |
keyword |
rsa.crypto.peer |
此键用于加密对等方的 IP 地址 |
keyword |
rsa.crypto.peer_id |
此键用于加密对等方的标识 |
keyword |
rsa.crypto.s_certauth |
keyword |
|
rsa.crypto.scheme |
此键捕获使用的加密方案 |
keyword |
rsa.crypto.sig_type |
此键捕获签名类型 |
keyword |
rsa.crypto.ssl_ver_dst |
已弃用,请使用版本 |
keyword |
rsa.crypto.ssl_ver_src |
已弃用,请使用版本 |
keyword |
rsa.db.database |
此键用于捕获在会话中看到的数据库或实例的名称 |
keyword |
rsa.db.db_id |
此键用于捕获数据库的唯一标识符 |
keyword |
rsa.db.db_pid |
此键捕获与数据库服务器的连接的进程 ID |
long |
rsa.db.index |
此键捕获索引的 IndexID。 |
keyword |
rsa.db.instance |
此键用于捕获数据库服务器实例名称 |
keyword |
rsa.db.lread |
此键用于逻辑读取的次数 |
long |
rsa.db.lwrite |
此键用于逻辑写入的次数 |
long |
rsa.db.permissions |
此键捕获分配给资源的权限或特权级别。 |
keyword |
rsa.db.pread |
此键用于物理写入的次数 |
long |
rsa.db.table_name |
此键用于捕获表名称 |
keyword |
rsa.db.transact_id |
此键捕获当前会话的 SQL 事务 ID |
keyword |
rsa.email.email |
此键用于捕获通用电子邮件地址,其中源或目标上下文不明确 |
keyword |
rsa.email.email_dst |
此键仅用于捕获目标电子邮件地址,当目标上下文不明确时,请使用电子邮件 |
keyword |
rsa.email.email_src |
此键仅用于捕获源电子邮件地址,当源上下文不明确时,请使用电子邮件 |
keyword |
rsa.email.subject |
此键仅用于捕获电子邮件中的主题字符串。 |
keyword |
rsa.email.trans_from |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.email.trans_to |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.endpoint.host_state |
此键用于捕获计算机的当前状态,例如<strong>已列入黑名单</strong>、<strong>已感染</strong>、<strong>防火墙已禁用</strong>等等 |
keyword |
rsa.endpoint.registry_key |
此键捕获注册表项的路径 |
keyword |
rsa.endpoint.registry_value |
此键捕获注册表项中使用的值或修饰符 |
keyword |
rsa.file.attachment |
此键捕获附件文件名 |
keyword |
rsa.file.binary |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.file.directory_dst |
<span>此键用于捕获目标进程或文件的目录</span> |
keyword |
rsa.file.directory_src |
此键用于捕获源进程或文件的目录 |
keyword |
rsa.file.file_entropy |
这用于捕获文件的熵值 |
double |
rsa.file.file_vendor |
这用于捕获位于 version_info 中的文件公司名称 |
keyword |
rsa.file.filename_dst |
这用于捕获操作所针对的文件名 |
keyword |
rsa.file.filename_src |
这用于捕获执行操作的父文件名 |
keyword |
rsa.file.filename_tmp |
keyword |
|
rsa.file.filesystem |
keyword |
|
rsa.file.privilege |
已弃用,请使用权限 |
keyword |
rsa.file.task_name |
这用于捕获任务名称 |
keyword |
rsa.healthcare.patient_fname |
此键仅用于名字,主要用于医疗保健领域以捕获患者信息 |
keyword |
rsa.healthcare.patient_id |
此键捕获患者的唯一 ID |
keyword |
rsa.healthcare.patient_lname |
此键仅用于姓氏,主要用于医疗保健领域以捕获患者信息 |
keyword |
rsa.healthcare.patient_mname |
此键仅用于中间名,主要用于医疗保健领域以捕获患者信息 |
keyword |
rsa.identity.accesses |
此键用于捕获访问对象时使用的实际特权 |
keyword |
rsa.identity.auth_method |
此键仅用于捕获使用的身份验证方法 |
keyword |
rsa.identity.dn |
X.500 (LDAP) 可分辨名称 |
keyword |
rsa.identity.dn_dst |
在指示目标 dn 的上下文中使用 X.500 (LDAP) 可分辨名称 |
keyword |
rsa.identity.dn_src |
在指示源 dn 的上下文中使用 X.500 (LDAP) 可分辨名称 |
keyword |
rsa.identity.federated_idp |
此键是联合身份提供程序。这是提供身份验证的服务器。 |
keyword |
rsa.identity.federated_sp |
此键是联合服务提供程序。这是请求身份验证的应用程序。 |
keyword |
rsa.identity.firstname |
此键仅用于名字,主要用于医疗保健领域以捕获患者信息 |
keyword |
rsa.identity.host_role |
此键应仅用于捕获主机机器的角色 |
keyword |
rsa.identity.lastname |
此键仅用于姓氏,主要用于医疗保健领域以捕获患者信息 |
keyword |
rsa.identity.ldap |
此键用于未解释的 LDAP 值。没有明确查询或响应上下文的 LDAP 值 |
keyword |
rsa.identity.ldap_query |
此键是来自 LDAP 搜索的搜索条件 |
keyword |
rsa.identity.ldap_response |
此键用于捕获来自 LDAP 搜索的结果 |
keyword |
rsa.identity.logon_type |
此键用于捕获使用的登录方法类型。 |
keyword |
rsa.identity.logon_type_desc |
此键用于捕获存储在元键 logon.type 中的整数登录类型的文本描述。 |
keyword |
rsa.identity.middlename |
此键仅用于中间名,主要用于医疗保健领域以捕获患者信息 |
keyword |
rsa.identity.org |
此键捕获用户组织 |
keyword |
rsa.identity.owner |
此项用于捕获进程或服务运行的用户名,即任务的创建者。 |
keyword |
rsa.identity.password |
此键用于记录在任何会话中看到的密码,包括纯文本或加密形式。 |
keyword |
rsa.identity.profile |
此键用于捕获用户配置文件。 |
keyword |
rsa.identity.realm |
Radius 域或类似的帐户分组。 |
keyword |
rsa.identity.service_account |
此键是 Windows 特定的键,用于捕获服务(在事件中引用)所运行的帐户名称。遗留用法。 |
keyword |
rsa.identity.user_dept |
仅限用户的部门名称。 |
keyword |
rsa.identity.user_role |
此键仅用于捕获用户的角色。 |
keyword |
rsa.identity.user_sid_dst |
此键捕获目标用户会话 ID。 |
keyword |
rsa.identity.user_sid_src |
此键捕获源用户会话 ID。 |
keyword |
rsa.internal.audit_class |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.internal.cid |
这是用于标识 NetWitness Concentrator 的唯一标识符。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.data |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.internal.dead |
仅在表格映射中定义的已弃用键。 |
long |
rsa.internal.device_class |
这是在预定义的固定事件源分类下,日志事件源的分类。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.device_group |
此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.device_host |
这是将日志发送到 NetWitness 的日志事件源的主机名。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.device_ip |
这是将日志发送到 NetWitness 的日志事件源的 IPv4 地址。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
ip |
rsa.internal.device_ipv6 |
这是将日志发送到 NetWitness 的日志事件源的 IPv6 地址。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
ip |
rsa.internal.device_type |
这是解析给定会话的日志解析器的名称。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.device_type_id |
仅在表格映射中定义的已弃用键。 |
long |
rsa.internal.did |
这是用于标识 NetWitness Decoder 的唯一标识符。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.entropy_req |
此键仅由熵解析器使用,元数据类型可以是 UInt16 或 Float32,具体取决于配置。 |
long |
rsa.internal.entropy_res |
此键仅由熵解析器使用,元数据类型可以是 UInt16 或 Float32,具体取决于配置。 |
long |
rsa.internal.entry |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.internal.event_desc |
keyword |
|
rsa.internal.event_name |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.internal.feed_category |
此项用于捕获源的类别。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.feed_desc |
此项用于捕获源的描述。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.feed_name |
此项用于捕获源的名称。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.forward_ip |
此键应用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV4 地址。 |
ip |
rsa.internal.forward_ipv6 |
此键用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV6 地址。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
ip |
rsa.internal.hcode |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.internal.header_id |
此值是标头 ID 值,用于标识解析特定日志会话的确切日志解析器标头定义。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.inode |
仅在表格映射中定义的已弃用键。 |
long |
rsa.internal.lc_cid |
这是日志收集器的唯一标识符。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.lc_ctime |
这是在 NetWitness 日志收集器中收集日志的时间。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
日期 |
rsa.internal.level |
仅在表格映射中定义的已弃用键。 |
long |
rsa.internal.mcb_req |
此键仅由熵解析器使用,最常见的字节请求只是每侧(0 到 255)看到的次数最多的字节。 |
long |
rsa.internal.mcb_res |
此键仅由熵解析器使用,最常见的字节响应只是每侧(0 到 255)看到的次数最多的字节。 |
long |
rsa.internal.mcbc_req |
此键仅由熵解析器使用,最常见的字节计数是在会话流中看到最常见字节(如上所示)的次数。 |
long |
rsa.internal.mcbc_res |
此键仅由熵解析器使用,最常见的字节计数是在会话流中看到最常见字节(如上所示)的次数。 |
long |
rsa.internal.medium |
此键用于标识它是日志/数据包会话还是第 2 层封装类型。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。32 = 日志,33 = 相关会话,< 32 是数据包会话 |
long |
rsa.internal.message |
此键捕获即时消息的内容。 |
keyword |
rsa.internal.messageid |
keyword |
|
rsa.internal.msg |
此键用于捕获进入日志解码器的原始消息。 |
keyword |
rsa.internal.msg_id |
此值是消息 ID1 值,用于标识解析特定日志会话的确切日志解析器定义。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.msg_vid |
此值是消息 ID2 值,用于标识解析特定日志会话的确切日志解析器定义。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.node_name |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.internal.nwe_callback_id |
此键表示事件与端点相关。 |
keyword |
rsa.internal.obj_id |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.internal.obj_server |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.internal.obj_val |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.internal.parse_error |
这是一个特殊键,用于存储在解析日志会话时发现的任何元数据键验证错误。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.payload_req |
此键仅由熵解析器使用,有效负载大小指标是解析时每个会话侧的有效负载大小。但是,为了保持 |
long |
rsa.internal.payload_res |
此键仅由熵解析器使用,有效负载大小指标是解析时每个会话侧的有效负载大小。但是,为了保持 |
long |
rsa.internal.process_vid_dst |
端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示目标进程。 |
keyword |
rsa.internal.process_vid_src |
端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示源进程。 |
keyword |
rsa.internal.resource |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.internal.resource_class |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.internal.rid |
这是 NetWitness 解码器创建的远程会话的特殊 ID。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
long |
rsa.internal.session_split |
此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.site |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.internal.size |
这是 NetWitness 解码器看到的会话大小。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
long |
rsa.internal.sourcefile |
这是可以导入 NetWitness 的日志文件或 PCAP 的名称。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
keyword |
rsa.internal.statement |
仅在表格映射中定义的已弃用键。 |
keyword |
rsa.internal.time |
这是会话到达 NetWitness 解码器的时间。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键。 |
日期 |
rsa.internal.ubc_req |
此键仅由熵解析器使用,唯一字节计数是每个流中看到的唯一字节数。256 表示至少看到过一次 0 到 255 的所有字节值。 |
long |
rsa.internal.ubc_res |
此键仅由熵解析器使用,唯一字节计数是每个流中看到的唯一字节数。256 表示至少看到过一次 0 到 255 的所有字节值。 |
long |
rsa.internal.word |
此项由字词解析技术使用,用于捕获未解析日志中每个字词的前 5 个字符。 |
keyword |
rsa.investigations.analysis_file |
此项用于捕获文件分析中使用的所有指标。此键应用于捕获文件分析。 |
keyword |
rsa.investigations.analysis_service |
此项用于捕获服务分析中使用的所有指标。此键应用于捕获服务分析。 |
keyword |
rsa.investigations.analysis_session |
此项用于捕获会话分析中使用的所有指标。此键应用于捕获会话分析。 |
keyword |
rsa.investigations.boc |
此项用于捕获妥协行为。 |
keyword |
rsa.investigations.ec_activity |
此键捕获特定的事件活动(例如:注销)。 |
keyword |
rsa.investigations.ec_outcome |
此键捕获特定事件的结果(例如:成功)。 |
keyword |
rsa.investigations.ec_subject |
此键捕获特定事件的主题(例如:用户)。 |
keyword |
rsa.investigations.ec_theme |
此键捕获特定事件的主题(例如:身份验证)。 |
keyword |
rsa.investigations.eoc |
此项用于捕获妥协的推动因素。 |
keyword |
rsa.investigations.event_cat |
此键捕获事件类别编号。 |
long |
rsa.investigations.event_cat_name |
此键捕获与事件类别代码相对应的事件类别名称。 |
keyword |
rsa.investigations.event_vcat |
这是供应商提供的类别。这应在供应商采用自己的 event_category 分类时使用。 |
keyword |
rsa.investigations.inv_category |
此项用于捕获调查类别。 |
keyword |
rsa.investigations.inv_context |
此项用于捕获调查上下文。 |
keyword |
rsa.investigations.ioc |
此键用于捕获妥协指标。 |
keyword |
rsa.misc.OS |
此键捕获操作系统名称。 |
keyword |
rsa.misc.acl_id |
keyword |
|
rsa.misc.acl_op |
keyword |
|
rsa.misc.acl_pos |
keyword |
|
rsa.misc.acl_table |
keyword |
|
rsa.misc.action |
keyword |
|
rsa.misc.admin |
keyword |
|
rsa.misc.agent_id |
此键用于捕获代理 ID。 |
keyword |
rsa.misc.alarm_id |
keyword |
|
rsa.misc.alarmname |
keyword |
|
rsa.misc.alert_id |
已弃用,新的搜寻模型(inv.、ioc、boc、eoc、analysis。) |
keyword |
rsa.misc.app_id |
keyword |
|
rsa.misc.audit |
keyword |
|
rsa.misc.audit_object |
keyword |
|
rsa.misc.auditdata |
keyword |
|
rsa.misc.autorun_type |
此项用于捕获自动运行类型。 |
keyword |
rsa.misc.benchmark |
keyword |
|
rsa.misc.bypass |
keyword |
|
rsa.misc.cache |
keyword |
|
rsa.misc.cache_hit |
keyword |
|
rsa.misc.category |
此键用于捕获会话中供应商提供的事件类别。 |
keyword |
rsa.misc.cc_number |
仅限有效的信用卡号。 |
long |
rsa.misc.cefversion |
keyword |
|
rsa.misc.cfg_attr |
keyword |
|
rsa.misc.cfg_obj |
keyword |
|
rsa.misc.cfg_path |
keyword |
|
rsa.misc.change_attrib |
此键用于捕获会话中正在更改的属性的名称。 |
keyword |
rsa.misc.change_new |
此键用于捕获会话中正在更改的属性的新值。 |
keyword |
rsa.misc.change_old |
此键用于捕获会话中正在更改的属性的旧值。 |
keyword |
rsa.misc.changes |
keyword |
|
rsa.misc.checksum |
此键用于捕获实体(如文件或进程)的校验和或哈希值。当不清楚实体是操作的源还是目标时,应使用校验和而不是 checksum.src 或 checksum.dst。 |
keyword |
rsa.misc.checksum_dst |
此键用于捕获目标实体(如进程或文件)的校验和或哈希值。 |
keyword |
rsa.misc.checksum_src |
此键用于捕获源实体的校验和或哈希值,例如文件或进程。 |
keyword |
rsa.misc.client |
此键用于仅捕获请求服务器资源的客户端应用程序的名称。有关捕获特定用户代理标识符或浏览器识别字符串,请参阅 user.agent 元键。 |
keyword |
rsa.misc.client_ip |
keyword |
|
rsa.misc.clustermembers |
keyword |
|
rsa.misc.cmd |
keyword |
|
rsa.misc.cn_acttimeout |
keyword |
|
rsa.misc.cn_asn_src |
keyword |
|
rsa.misc.cn_bgpv4nxthop |
keyword |
|
rsa.misc.cn_ctr_dst_code |
keyword |
|
rsa.misc.cn_dst_tos |
keyword |
|
rsa.misc.cn_dst_vlan |
keyword |
|
rsa.misc.cn_engine_id |
keyword |
|
rsa.misc.cn_engine_type |
keyword |
|
rsa.misc.cn_f_switch |
keyword |
|
rsa.misc.cn_flowsampid |
keyword |
|
rsa.misc.cn_flowsampintv |
keyword |
|
rsa.misc.cn_flowsampmode |
keyword |
|
rsa.misc.cn_inacttimeout |
keyword |
|
rsa.misc.cn_inpermbyts |
keyword |
|
rsa.misc.cn_inpermpckts |
keyword |
|
rsa.misc.cn_invalid |
keyword |
|
rsa.misc.cn_ip_proto_ver |
keyword |
|
rsa.misc.cn_ipv4_ident |
keyword |
|
rsa.misc.cn_l_switch |
keyword |
|
rsa.misc.cn_log_did |
keyword |
|
rsa.misc.cn_log_rid |
keyword |
|
rsa.misc.cn_max_ttl |
keyword |
|
rsa.misc.cn_maxpcktlen |
keyword |
|
rsa.misc.cn_min_ttl |
keyword |
|
rsa.misc.cn_minpcktlen |
keyword |
|
rsa.misc.cn_mpls_lbl_1 |
keyword |
|
rsa.misc.cn_mpls_lbl_10 |
keyword |
|
rsa.misc.cn_mpls_lbl_2 |
keyword |
|
rsa.misc.cn_mpls_lbl_3 |
keyword |
|
rsa.misc.cn_mpls_lbl_4 |
keyword |
|
rsa.misc.cn_mpls_lbl_5 |
keyword |
|
rsa.misc.cn_mpls_lbl_6 |
keyword |
|
rsa.misc.cn_mpls_lbl_7 |
keyword |
|
rsa.misc.cn_mpls_lbl_8 |
keyword |
|
rsa.misc.cn_mpls_lbl_9 |
keyword |
|
rsa.misc.cn_mplstoplabel |
keyword |
|
rsa.misc.cn_mplstoplabip |
keyword |
|
rsa.misc.cn_mul_dst_byt |
keyword |
|
rsa.misc.cn_mul_dst_pks |
keyword |
|
rsa.misc.cn_muligmptype |
keyword |
|
rsa.misc.cn_sampalgo |
keyword |
|
rsa.misc.cn_sampint |
keyword |
|
rsa.misc.cn_seqctr |
keyword |
|
rsa.misc.cn_spackets |
keyword |
|
rsa.misc.cn_src_tos |
keyword |
|
rsa.misc.cn_src_vlan |
keyword |
|
rsa.misc.cn_sysuptime |
keyword |
|
rsa.misc.cn_template_id |
keyword |
|
rsa.misc.cn_totbytsexp |
keyword |
|
rsa.misc.cn_totflowexp |
keyword |
|
rsa.misc.cn_totpcktsexp |
keyword |
|
rsa.misc.cn_unixnanosecs |
keyword |
|
rsa.misc.cn_v6flowlabel |
keyword |
|
rsa.misc.cn_v6optheaders |
keyword |
|
rsa.misc.code |
keyword |
|
rsa.misc.command |
keyword |
|
rsa.misc.comments |
日志消息中提供的注释信息 |
keyword |
rsa.misc.comp_class |
keyword |
|
rsa.misc.comp_name |
keyword |
|
rsa.misc.comp_rbytes |
keyword |
|
rsa.misc.comp_sbytes |
keyword |
|
rsa.misc.comp_version |
此键捕获产品的子组件的版本级别。 |
keyword |
rsa.misc.connection_id |
此键捕获连接 ID |
keyword |
rsa.misc.content |
此键捕获来自协议头的内容类型 |
keyword |
rsa.misc.content_type |
此键用于仅捕获内容类型。 |
keyword |
rsa.misc.content_version |
此键捕获签名或数据库内容的版本级别。 |
keyword |
rsa.misc.context |
此键捕获为事件添加额外上下文的信息。 |
keyword |
rsa.misc.context_subject |
此键用于审计上下文中,其中主题是被标识的对象 |
keyword |
rsa.misc.context_target |
keyword |
|
rsa.misc.count |
keyword |
|
rsa.misc.cpu |
此键是在记录事件执行中使用的 CPU 时间。 |
long |
rsa.misc.cpu_data |
keyword |
|
rsa.misc.criticality |
keyword |
|
rsa.misc.cs_agency_dst |
keyword |
|
rsa.misc.cs_analyzedby |
keyword |
|
rsa.misc.cs_av_other |
keyword |
|
rsa.misc.cs_av_primary |
keyword |
|
rsa.misc.cs_av_secondary |
keyword |
|
rsa.misc.cs_bgpv6nxthop |
keyword |
|
rsa.misc.cs_bit9status |
keyword |
|
rsa.misc.cs_context |
keyword |
|
rsa.misc.cs_control |
keyword |
|
rsa.misc.cs_data |
keyword |
|
rsa.misc.cs_datecret |
keyword |
|
rsa.misc.cs_dst_tld |
keyword |
|
rsa.misc.cs_eth_dst_ven |
keyword |
|
rsa.misc.cs_eth_src_ven |
keyword |
|
rsa.misc.cs_event_uuid |
keyword |
|
rsa.misc.cs_filetype |
keyword |
|
rsa.misc.cs_fld |
keyword |
|
rsa.misc.cs_if_desc |
keyword |
|
rsa.misc.cs_if_name |
keyword |
|
rsa.misc.cs_ip_next_hop |
keyword |
|
rsa.misc.cs_ipv4dstpre |
keyword |
|
rsa.misc.cs_ipv4srcpre |
keyword |
|
rsa.misc.cs_lifetime |
keyword |
|
rsa.misc.cs_log_medium |
keyword |
|
rsa.misc.cs_loginname |
keyword |
|
rsa.misc.cs_modulescore |
keyword |
|
rsa.misc.cs_modulesign |
keyword |
|
rsa.misc.cs_opswatresult |
keyword |
|
rsa.misc.cs_payload |
keyword |
|
rsa.misc.cs_registrant |
keyword |
|
rsa.misc.cs_registrar |
keyword |
|
rsa.misc.cs_represult |
keyword |
|
rsa.misc.cs_rpayload |
keyword |
|
rsa.misc.cs_sampler_name |
keyword |
|
rsa.misc.cs_sourcemodule |
keyword |
|
rsa.misc.cs_streams |
keyword |
|
rsa.misc.cs_targetmodule |
keyword |
|
rsa.misc.cs_v6nxthop |
keyword |
|
rsa.misc.cs_whois_server |
keyword |
|
rsa.misc.cs_yararesult |
keyword |
|
rsa.misc.cve |
此键捕获 CVE(通用漏洞和暴露)- 已知信息安全漏洞的标识符。 |
keyword |
rsa.misc.data_type |
keyword |
|
rsa.misc.description |
keyword |
|
rsa.misc.device_name |
此键用于捕获与节点关联的设备的名称,如:物理磁盘、打印机等 |
keyword |
rsa.misc.devvendor |
keyword |
|
rsa.misc.disposition |
此键捕获操作的最终状态。 |
keyword |
rsa.misc.distance |
keyword |
|
rsa.misc.doc_number |
此键捕获文件标识号 |
long |
rsa.misc.dstburb |
keyword |
|
rsa.misc.edomain |
keyword |
|
rsa.misc.edomaub |
keyword |
|
rsa.misc.ein_number |
仅限员工识别号 |
long |
rsa.misc.error |
此键捕获所有不成功的错误代码或响应 |
keyword |
rsa.misc.euid |
keyword |
|
rsa.misc.event_category |
keyword |
|
rsa.misc.event_computer |
此键仅为 Windows 概念,其中此键用于捕获 Windows 日志中的完全限定域名。 |
keyword |
rsa.misc.event_desc |
此键用于捕获直接或推断出的事件描述 |
keyword |
rsa.misc.event_id |
keyword |
|
rsa.misc.event_log |
此键捕获事件日志的名称 |
keyword |
rsa.misc.event_source |
此键捕获事件的来源,而不是主机名 |
keyword |
rsa.misc.event_state |
此键捕获事件中引用的对象/项目的当前状态。描述正在进行的事件。 |
keyword |
rsa.misc.event_type |
此键捕获事件源指定的事件类别类型。 |
keyword |
rsa.misc.event_user |
此键仅为 Windows 概念,其中此键用于捕获 Windows 日志中域名和用户名的组合。 |
keyword |
rsa.misc.expected_val |
此键捕获预期值(从生成日志的设备的角度来看)。 |
keyword |
rsa.misc.facility |
keyword |
|
rsa.misc.facilityname |
keyword |
|
rsa.misc.fcatnum |
此键捕获过滤器类别编号。旧版用法 |
keyword |
rsa.misc.filter |
此键捕获用于减少结果集的过滤器 |
keyword |
rsa.misc.finterface |
keyword |
|
rsa.misc.flags |
keyword |
|
rsa.misc.forensic_info |
keyword |
|
rsa.misc.found |
此键用于捕获正则表达式匹配的结果 |
keyword |
rsa.misc.fresult |
此键捕获过滤器结果 |
long |
rsa.misc.gaddr |
keyword |
|
rsa.misc.group |
此键捕获组名称值 |
keyword |
rsa.misc.group_id |
此键捕获组 ID 号(与组名称相关) |
keyword |
rsa.misc.group_object |
此键捕获实体集合/分组。特定用法 |
keyword |
rsa.misc.hardware_id |
此键用于捕获设备或系统的唯一标识符(不是 MAC 地址) |
keyword |
rsa.misc.id3 |
keyword |
|
rsa.misc.im_buddyid |
keyword |
|
rsa.misc.im_buddyname |
keyword |
|
rsa.misc.im_client |
keyword |
|
rsa.misc.im_croomid |
keyword |
|
rsa.misc.im_croomtype |
keyword |
|
rsa.misc.im_members |
keyword |
|
rsa.misc.im_userid |
keyword |
|
rsa.misc.im_username |
keyword |
|
rsa.misc.index |
keyword |
|
rsa.misc.inout |
keyword |
|
rsa.misc.ipkt |
keyword |
|
rsa.misc.ipscat |
keyword |
|
rsa.misc.ipspri |
keyword |
|
rsa.misc.job_num |
此键捕获作业编号 |
keyword |
rsa.misc.jobname |
keyword |
|
rsa.misc.language |
此键用于捕获客户端支持的语言列表以及其偏好的语言 |
keyword |
rsa.misc.latitude |
keyword |
|
rsa.misc.library |
此键用于捕获大型机设备中的库信息 |
keyword |
rsa.misc.lifetime |
此键用于捕获会话生命周期(以秒为单位)。 |
long |
rsa.misc.linenum |
keyword |
|
rsa.misc.link |
此键用于将会话链接在一起。此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
keyword |
rsa.misc.list_name |
keyword |
|
rsa.misc.listnum |
此键用于捕获列表名称或列表编号,主要用于收集访问列表 |
keyword |
rsa.misc.load_data |
keyword |
|
rsa.misc.location_floor |
keyword |
|
rsa.misc.location_mark |
keyword |
|
rsa.misc.log_id |
keyword |
|
rsa.misc.log_session_id |
此键用于直接从会话捕获 sessionid |
keyword |
rsa.misc.log_session_id1 |
此键用于直接从会话捕获链接的(相关的)会话 ID |
keyword |
rsa.misc.log_type |
keyword |
|
rsa.misc.logid |
keyword |
|
rsa.misc.logip |
keyword |
|
rsa.misc.logname |
keyword |
|
rsa.misc.longitude |
keyword |
|
rsa.misc.lport |
keyword |
|
rsa.misc.mail_id |
此键用于捕获邮箱 ID/名称 |
keyword |
rsa.misc.match |
此键用于从 search.ini 进行正则表达式匹配名称 |
keyword |
rsa.misc.mbug_data |
keyword |
|
rsa.misc.message_body |
此键捕获消息正文的内容。 |
keyword |
rsa.misc.misc |
keyword |
|
rsa.misc.misc_name |
keyword |
|
rsa.misc.mode |
keyword |
|
rsa.misc.msgIdPart1 |
keyword |
|
rsa.misc.msgIdPart2 |
keyword |
|
rsa.misc.msgIdPart3 |
keyword |
|
rsa.misc.msgIdPart4 |
keyword |
|
rsa.misc.msg_type |
keyword |
|
rsa.misc.msgid |
keyword |
|
rsa.misc.name |
keyword |
|
rsa.misc.netsessid |
keyword |
|
rsa.misc.node |
常见的用例是群集中的节点名称。群集名称由主机名反映。 |
keyword |
rsa.misc.ntype |
keyword |
|
rsa.misc.num |
keyword |
|
rsa.misc.number |
keyword |
|
rsa.misc.number1 |
keyword |
|
rsa.misc.number2 |
keyword |
|
rsa.misc.nwwn |
keyword |
|
rsa.misc.obj_name |
此键用于捕获对象名称 |
keyword |
rsa.misc.obj_type |
此键用于捕获对象类型 |
keyword |
rsa.misc.object |
keyword |
|
rsa.misc.observed_val |
此键捕获观察到的值(从生成日志的设备的角度来看)。 |
keyword |
rsa.misc.operation |
keyword |
|
rsa.misc.operation_id |
警报编号或操作编号。这些值应是唯一且不重复的。 |
keyword |
rsa.misc.opkt |
keyword |
|
rsa.misc.orig_from |
keyword |
|
rsa.misc.owner_id |
keyword |
|
rsa.misc.p_action |
keyword |
|
rsa.misc.p_filter |
keyword |
|
rsa.misc.p_group_object |
keyword |
|
rsa.misc.p_id |
keyword |
|
rsa.misc.p_msgid |
keyword |
|
rsa.misc.p_msgid1 |
keyword |
|
rsa.misc.p_msgid2 |
keyword |
|
rsa.misc.p_result1 |
keyword |
|
rsa.misc.param |
此键是作为命令或应用程序等一部分传递的参数。 |
keyword |
rsa.misc.param_dst |
此键捕获目标进程或文件的命令行/启动参数 |
keyword |
rsa.misc.param_src |
此键捕获源参数 |
keyword |
rsa.misc.parent_node |
此键捕获父节点名称。必须与节点变量相关。 |
keyword |
rsa.misc.password_chg |
keyword |
|
rsa.misc.password_expire |
keyword |
|
rsa.misc.payload_dst |
此键用于捕获目标有效负载 |
keyword |
rsa.misc.payload_src |
此键用于捕获源有效负载 |
keyword |
rsa.misc.permgranted |
keyword |
|
rsa.misc.permwanted |
keyword |
|
rsa.misc.pgid |
keyword |
|
rsa.misc.phone |
keyword |
|
rsa.misc.pid |
keyword |
|
rsa.misc.policy |
keyword |
|
rsa.misc.policyUUID |
keyword |
|
rsa.misc.policy_id |
此键用于仅捕获策略 ID,这应该是一个数值,否则请使用 policy.name |
keyword |
rsa.misc.policy_name |
此键用于仅捕获策略名称。 |
keyword |
rsa.misc.policy_value |
此键捕获策略的内容。其中包含有关策略的详细信息 |
keyword |
rsa.misc.policy_waiver |
keyword |
|
rsa.misc.pool_id |
此键捕获资源池的标识符(通常为数字字段) |
keyword |
rsa.misc.pool_name |
此键捕获资源池的名称 |
keyword |
rsa.misc.port_name |
此键用于物理或逻辑端口连接,但不包括网络端口。(示例:打印机端口名称)。 |
keyword |
rsa.misc.priority |
keyword |
|
rsa.misc.process_id_val |
当进程 ID 不是整数值时,此键是进程 ID 的失败键 |
keyword |
rsa.misc.prog_asp_num |
keyword |
|
rsa.misc.program |
keyword |
|
rsa.misc.real_data |
keyword |
|
rsa.misc.reason |
keyword |
|
rsa.misc.rec_asp_device |
keyword |
|
rsa.misc.rec_asp_num |
keyword |
|
rsa.misc.rec_library |
keyword |
|
rsa.misc.recordnum |
keyword |
|
rsa.misc.reference_id |
此键用于直接从会话捕获事件 ID |
keyword |
rsa.misc.reference_id1 |
此键用于链接 ID,作为“reference.id”的补充 |
keyword |
rsa.misc.reference_id2 |
此键用于第二个链接 ID。可以链接到“reference.id”或“reference.id1”值,但除非其他两个变量都在使用,否则不应使用。 |
keyword |
rsa.misc.result |
此键用于捕获会话中操作的结果/结果字符串值。 |
keyword |
rsa.misc.result_code |
此键用于捕获会话中操作的结果/结果数值 |
keyword |
rsa.misc.risk |
此键捕获非数值风险值 |
keyword |
rsa.misc.risk_info |
已弃用,请使用新的狩猎模型 (inv., ioc, boc, eoc, analysis.) |
keyword |
rsa.misc.risk_num |
此键捕获数值风险值 |
double |
rsa.misc.risk_num_comm |
此键捕获风险编号社区 |
double |
rsa.misc.risk_num_next |
此键捕获下一代风险编号 |
double |
rsa.misc.risk_num_sand |
此键捕获沙盒风险编号 |
double |
rsa.misc.risk_num_static |
此键捕获静态风险编号 |
double |
rsa.misc.risk_suspicious |
已弃用,请使用新的狩猎模型 (inv., ioc, boc, eoc, analysis.) |
keyword |
rsa.misc.risk_warning |
已弃用,请使用新的狩猎模型 (inv., ioc, boc, eoc, analysis.) |
keyword |
rsa.misc.ruid |
keyword |
|
rsa.misc.rule |
此键捕获规则编号 |
keyword |
rsa.misc.rule_group |
此键捕获规则组名称 |
keyword |
rsa.misc.rule_name |
此键捕获规则名称 |
keyword |
rsa.misc.rule_template |
一组默认参数,这些参数覆盖在规则(或规则名称)上,有效地构成一个模板 |
keyword |
rsa.misc.rule_uid |
此键是规则的唯一标识符。 |
keyword |
rsa.misc.sburb |
keyword |
|
rsa.misc.sdomain_fld |
keyword |
|
rsa.misc.search_text |
此键捕获使用的搜索文本 |
keyword |
rsa.misc.sec |
keyword |
|
rsa.misc.second |
keyword |
|
rsa.misc.sensor |
此键捕获传感器的名称。通常用于基于 IDS/IPS 的设备 |
keyword |
rsa.misc.sensorname |
keyword |
|
rsa.misc.seqnum |
keyword |
|
rsa.misc.serial_number |
此键是与物理资产关联的序列号。 |
keyword |
rsa.misc.session |
keyword |
|
rsa.misc.sessiontype |
keyword |
|
rsa.misc.severity |
此键用于捕获会话的严重性 |
keyword |
rsa.misc.sigUUID |
keyword |
|
rsa.misc.sig_id |
此键捕获 IDS/IPS Int 签名 ID |
long |
rsa.misc.sig_id1 |
此键捕获 IDS/IPS Int 签名 ID。此 ID 必须链接到 sig.id |
long |
rsa.misc.sig_id_str |
此键捕获 sigid 变量的字符串对象。 |
keyword |
rsa.misc.sig_name |
此键仅用于捕获签名名称。 |
keyword |
rsa.misc.sigcat |
keyword |
|
rsa.misc.snmp_oid |
SNMP 对象标识符 |
keyword |
rsa.misc.snmp_value |
SNMP set 请求值 |
keyword |
rsa.misc.space |
keyword |
|
rsa.misc.space1 |
keyword |
|
rsa.misc.spi |
keyword |
|
rsa.misc.spi_dst |
目标 SPI 索引 |
keyword |
rsa.misc.spi_src |
源 SPI 索引 |
keyword |
rsa.misc.sql |
此键捕获 SQL 查询 |
keyword |
rsa.misc.srcburb |
keyword |
|
rsa.misc.srcdom |
keyword |
|
rsa.misc.srcservice |
keyword |
|
rsa.misc.state |
keyword |
|
rsa.misc.status |
keyword |
|
rsa.misc.status1 |
keyword |
|
rsa.misc.streams |
此键捕获会话中的流数 |
long |
rsa.misc.subcategory |
keyword |
|
rsa.misc.svcno |
keyword |
|
rsa.misc.system |
keyword |
|
rsa.misc.tbdstr1 |
keyword |
|
rsa.misc.tbdstr2 |
keyword |
|
rsa.misc.tcp_flags |
此键捕获会话中任何数据包中设置的 TCP 标志 |
long |
rsa.misc.terminal |
此键仅捕获终端名称 |
keyword |
rsa.misc.tgtdom |
keyword |
|
rsa.misc.tgtdomain |
keyword |
|
rsa.misc.threshold |
keyword |
|
rsa.misc.tos |
此键描述服务类型 |
long |
rsa.misc.trigger_desc |
此键捕获触发器或阈值条件的描述。 |
keyword |
rsa.misc.trigger_val |
此键捕获触发器或阈值条件的值。 |
keyword |
rsa.misc.type |
keyword |
|
rsa.misc.type1 |
keyword |
|
rsa.misc.udb_class |
keyword |
|
rsa.misc.url_fld |
keyword |
|
rsa.misc.user_div |
keyword |
|
rsa.misc.userid |
keyword |
|
rsa.misc.username_fld |
keyword |
|
rsa.misc.utcstamp |
keyword |
|
rsa.misc.v_instafname |
keyword |
|
rsa.misc.version |
此键捕获生成事件的应用程序或操作系统的版本。 |
keyword |
rsa.misc.virt_data |
keyword |
|
rsa.misc.virusname |
此键捕获病毒的名称 |
keyword |
rsa.misc.vm_target |
VMWare 目标 VMWARE 专用变量。 |
keyword |
rsa.misc.vpnid |
keyword |
|
rsa.misc.vsys |
此键捕获虚拟系统名称 |
keyword |
rsa.misc.vuln_ref |
此键捕获漏洞参考详细信息 |
keyword |
rsa.misc.workspace |
此键捕获工作区描述 |
keyword |
rsa.network.ad_computer_dst |
已弃用,请使用 host.dst |
keyword |
rsa.network.addr |
keyword |
|
rsa.network.alias_host |
当主机名的源或目标上下文不明确时,应使用此键。此外,它还捕获设备主机名。任何不是 ad.computer 的主机名。 |
keyword |
rsa.network.dinterface |
此键应仅在它是目标接口时使用 |
keyword |
rsa.network.dmask |
此键用于目标设备网络掩码 |
keyword |
rsa.network.dns_a_record |
keyword |
|
rsa.network.dns_cname_record |
keyword |
|
rsa.network.dns_id |
keyword |
|
rsa.network.dns_opcode |
keyword |
|
rsa.network.dns_ptr_record |
keyword |
|
rsa.network.dns_resp |
keyword |
|
rsa.network.dns_type |
keyword |
|
rsa.network.domain |
keyword |
|
rsa.network.domain1 |
keyword |
|
rsa.network.eth_host |
已弃用,请使用 alias.mac |
keyword |
rsa.network.eth_type |
此键用于捕获以太网类型,仅用于第 3 层协议 |
long |
rsa.network.faddr |
keyword |
|
rsa.network.fhost |
keyword |
|
rsa.network.fport |
keyword |
|
rsa.network.gateway |
此键用于捕获网关的 IP 地址 |
keyword |
rsa.network.host_dst |
此键应仅在它是目标主机名时使用 |
keyword |
rsa.network.host_orig |
在转发代理或代理位于中间的情况下,用于捕获原始主机名。 |
keyword |
rsa.network.host_type |
keyword |
|
rsa.network.icmp_code |
此键仅用于捕获 ICMP 代码 |
long |
rsa.network.icmp_type |
此键仅用于捕获 ICMP 类型 |
long |
rsa.network.interface |
当接口的源或目标上下文不明确时,应使用此键 |
keyword |
rsa.network.ip_proto |
此键应用于捕获协议号,所有协议号在 UI 中都转换为字符串 |
long |
rsa.network.laddr |
keyword |
|
rsa.network.lhost |
keyword |
|
rsa.network.linterface |
keyword |
|
rsa.network.mask |
此键用于捕获设备网络 IP 掩码。 |
keyword |
rsa.network.netname |
此键用于捕获与 IP 范围关联的网络名称。这是由最终用户配置的。 |
keyword |
rsa.network.network_port |
已弃用,请使用 port。注意:当前使用的类型存在差异,TM:Int32,INDEX:UInt64(为什么两者都不选择正确的 UInt16?!) |
long |
rsa.network.network_service |
此用于捕获第 7 层协议/服务名称 |
keyword |
rsa.network.origin |
keyword |
|
rsa.network.packet_length |
keyword |
|
rsa.network.paddr |
已弃用 |
ip |
rsa.network.phost |
keyword |
|
rsa.network.port |
当方向不明确时,此键应仅用于捕获网络端口 |
long |
rsa.network.protocol_detail |
此键应用于捕获其他协议信息 |
keyword |
rsa.network.remote_domain_id |
keyword |
|
rsa.network.rpayload |
此键用于捕获在重新传输的数据包中看到的有效负载字节总数。 |
keyword |
rsa.network.sinterface |
此键应仅在它是源接口时使用 |
keyword |
rsa.network.smask |
此键用于捕获源网络掩码 |
keyword |
rsa.network.vlan |
此键应仅用于捕获虚拟 LAN 的 ID |
long |
rsa.network.vlan_name |
此键应仅用于捕获虚拟 LAN 的名称 |
keyword |
rsa.network.zone |
当区域的源或目标上下文不明确时,应使用此键 |
keyword |
rsa.network.zone_dst |
此键应仅在它是目标区域时使用。 |
keyword |
rsa.network.zone_src |
此键应仅在它是源区域时使用。 |
keyword |
rsa.physical.org_dst |
此用于捕获基于 GEOPIP Maxmind 数据库的目标组织。 |
keyword |
rsa.physical.org_src |
此用于捕获基于 GEOPIP Maxmind 数据库的源组织。 |
keyword |
rsa.storage.disk_volume |
分配给物理磁盘内逻辑单元(卷)的唯一名称 |
keyword |
rsa.storage.lun |
逻辑单元号。此键是存储中非常有用的概念。 |
keyword |
rsa.storage.pwwn |
这唯一标识 HBA 上的端口。 |
keyword |
rsa.threat.alert |
此键用于捕获警报的名称 |
keyword |
rsa.threat.threat_category |
此键捕获威胁名称/威胁类别/警报分类 |
keyword |
rsa.threat.threat_desc |
此键用于直接或推断捕获会话中的威胁描述 |
keyword |
rsa.threat.threat_source |
此键用于捕获威胁的来源 |
keyword |
rsa.time.date |
keyword |
|
rsa.time.datetime |
keyword |
|
rsa.time.day |
keyword |
|
rsa.time.duration_str |
持续时间的文本字符串版本 |
keyword |
rsa.time.duration_time |
此键用于捕获以秒为单位的标准化持续时间/生命周期。 |
double |
rsa.time.effective_time |
此键是标准时间戳格式中单个事件引用的有效时间 |
日期 |
rsa.time.endtime |
此键用于以标准形式捕获会话中提及的结束时间 |
日期 |
rsa.time.event_queue_time |
此键是事件排队的时间。 |
日期 |
rsa.time.event_time |
此键用于捕获原始会话中提及的、以标准标准化形式表示事件实际发生时间的时间 |
日期 |
rsa.time.event_time_str |
此键用于捕获会话中提及的、作为字符串的不完整时间 |
keyword |
rsa.time.eventtime |
keyword |
|
rsa.time.expire_time |
此键是明确指示过期的时戳。 |
日期 |
rsa.time.expire_time_str |
此键用于捕获明确指示过期的不完整时戳。 |
keyword |
rsa.time.gmtdate |
keyword |
|
rsa.time.gmttime |
keyword |
|
rsa.time.hour |
keyword |
|
rsa.time.min |
keyword |
|
rsa.time.month |
keyword |
|
rsa.time.p_date |
keyword |
|
rsa.time.p_month |
keyword |
|
rsa.time.p_time |
keyword |
|
rsa.time.p_time1 |
keyword |
|
rsa.time.p_time2 |
keyword |
|
rsa.time.p_year |
keyword |
|
rsa.time.process_time |
已弃用,请使用 duration.time |
keyword |
rsa.time.recorded_time |
系统记录的事件时间,事件是从该系统收集的。使用场景是一个多层应用程序,其中系统的管理层在从其子节点收集时记录其自己的时间戳。必须采用时间戳格式。 |
日期 |
rsa.time.stamp |
仅在表格映射中定义的已弃用键。 |
日期 |
rsa.time.starttime |
此键用于以标准形式捕获会话中提及的开始时间 |
日期 |
rsa.time.timestamp |
keyword |
|
rsa.time.timezone |
此键用于捕获事件时区 |
keyword |
rsa.time.tzone |
keyword |
|
rsa.time.year |
keyword |
|
rsa.web.alias_host |
keyword |
|
rsa.web.cn_asn_dst |
keyword |
|
rsa.web.cn_rpackets |
keyword |
|
rsa.web.fqdn |
完全限定域名 |
keyword |
rsa.web.p_url |
keyword |
|
rsa.web.p_user_agent |
keyword |
|
rsa.web.p_web_cookie |
keyword |
|
rsa.web.p_web_method |
keyword |
|
rsa.web.p_web_referer |
keyword |
|
rsa.web.remote_domain |
keyword |
|
rsa.web.reputation_num |
实体的信誉号。通常用于 Web 域 |
double |
rsa.web.urlpage |
keyword |
|
rsa.web.urlroot |
keyword |
|
rsa.web.web_cookie |
此键专门用于捕获 Web cookie。 |
keyword |
rsa.web.web_extension_tmp |
keyword |
|
rsa.web.web_page |
keyword |
|
rsa.web.web_ref_domain |
Web 引用页的域 |
keyword |
rsa.web.web_ref_page |
此键捕获 Web 引用页的信息 |
keyword |
rsa.web.web_ref_query |
此键捕获 URL 的 Web 引用页查询部分 |
keyword |
rsa.web.web_ref_root |
Web 引用页的根 URL 路径 |
keyword |
rsa.wireless.access_point |
此键用于捕获接入点名称。 |
keyword |
rsa.wireless.wlan_channel |
此项用于捕获频道名称 |
long |
rsa.wireless.wlan_name |
此键捕获 WLAN 编号/名称 |
keyword |
rsa.wireless.wlan_ssid |
此键用于捕获无线会话的 ssid |
keyword |
更新日志
编辑更新日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
0.22.0 |
增强 (查看拉取请求) |
— |
0.21.2 |
Bug 修复 (查看拉取请求) |
— |
0.21.1 |
Bug 修复 (查看拉取请求) |
— |
0.21.0 |
增强 (查看拉取请求) |
— |
0.20.0 |
增强 (查看拉取请求) |
— |
0.19.3 |
增强 (查看拉取请求) |
— |
0.19.2 |
增强 (查看拉取请求) |
— |
0.19.1 |
Bug 修复 (查看拉取请求) |
— |
0.19.0 |
增强 (查看拉取请求) |
— |
0.18.0 |
增强 (查看拉取请求) |
— |
0.17.0 |
增强 (查看拉取请求) |
— |
0.16.0 |
增强 (查看拉取请求) |
— |
0.15.0 |
增强 (查看拉取请求) |
— |
0.14.0 |
增强 (查看拉取请求) |
— |
0.13.0 |
增强 (查看拉取请求) |
— |
0.12.1 |
增强 (查看拉取请求) |
— |
0.12.0 |
增强 (查看拉取请求) |
— |
0.11.1 |
Bug 修复 (查看拉取请求) |
— |
0.11.0 |
增强 (查看拉取请求) |
— |
0.10.2 |
Bug 修复 (查看拉取请求) |
— |
0.10.1 |
增强 (查看拉取请求) |
— |
0.10.0 |
增强 (查看拉取请求) |
— |
0.9.1 |
增强 (查看拉取请求) |
— |
0.9.0 |
增强 (查看拉取请求) |
— |
0.8.1 |
Bug 修复 (查看拉取请求) |
— |
0.8.0 |
增强 (查看拉取请求) |
— |
0.7.0 |
增强 (查看拉取请求) |
— |
0.6.1 |
Bug 修复 (查看拉取请求) |
— |
0.6.0 |
增强 (查看拉取请求) |
— |
0.5.4 |
增强 (查看拉取请求) |
— |
0.5.3 |
增强 (查看拉取请求) |
— |
0.5.2 |
Bug 修复 (查看拉取请求) |
— |
0.5.1 |
Bug 修复 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.3 |
Bug 修复 (查看拉取请求) |
— |
0.4.2 |
增强 (查看拉取请求) |
— |
0.4.1 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.4 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |