Fortinet 集成(已弃用)
编辑Fortinet 集成(已弃用)
编辑此集成已弃用。请使用其他针对特定 Fortinet 产品的 Fortinet 集成之一。
此集成适用于以 syslog 格式发送的 Fortinet FortiOS 和 FortiClient 端点日志。它包括以下用于接收日志的数据集
-
firewall数据集:包含 Fortinet FortiGate 日志。 -
clientendpoint数据集:支持 Fortinet FortiClient 端点安全日志。 -
fortimail数据集:支持 Fortinet FortiMail 日志。 -
fortimanager数据集:支持 Fortinet Manager/Analyzer 日志。
兼容性
编辑此集成已针对 FortiOS 6.0.x 和 6.2.x 版本进行了测试。预计更高版本也能工作,但尚未经过测试。
日志
编辑防火墙
编辑包含来自 Fortinet FortiGate 设备的应用日志条目。
示例
一个 firewall 的示例事件如下
{
"@timestamp": "2019-05-15T18:03:36.000Z",
"agent": {
"ephemeral_id": "74b27709-c288-4314-b386-659dbc5a62ea",
"hostname": "docker-fleet-agent",
"id": "2164018d-05cd-45b4-979d-4032bdd775f6",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "7.14.0"
},
"data_stream": {
"dataset": "fortinet.firewall",
"namespace": "ep",
"type": "logs"
},
"destination": {
"as": {
"number": 41690,
"organization": {
"name": "Dailymotion S.A."
}
},
"geo": {
"continent_name": "Europe",
"country_iso_code": "FR",
"country_name": "France",
"location": {
"lat": 48.8582,
"lon": 2.3387
}
},
"ip": "195.8.215.136",
"port": 443
},
"ecs": {
"version": "8.3.0"
},
"elastic_agent": {
"id": "7cc48d16-ebf0-44b1-9094-fe2082d8f5a4",
"snapshot": true,
"version": "7.14.0"
},
"event": {
"action": "app-ctrl-all",
"category": [
"network"
],
"code": "1059028704",
"dataset": "fortinet.firewall",
"ingested": "2021-06-03T12:38:44.458586716Z",
"kind": "event",
"module": "fortinet",
"original": "\u003c190\u003edate=2019-05-15 time=18:03:36 logid=\"1059028704\" type=\"utm\" subtype=\"app-ctrl\" eventtype=\"app-ctrl-all\" level=\"information\" vd=\"root\" eventtime=1557968615 appid=40568 srcip=10.1.100.22 dstip=195.8.215.136 srcport=50798 dstport=443 srcintf=\"port10\" srcintfrole=\"lan\" dstintf=\"port9\" dstintfrole=\"wan\" proto=6 service=\"HTTPS\" direction=\"outgoing\" policyid=1 sessionid=4414 applist=\"block-social.media\" appcat=\"Web.Client\" app=\"HTTPS.BROWSER\" action=\"pass\" hostname=\"www.dailymotion.com\" incidentserialno=1962906680 url=\"/\" msg=\"Web.Client: HTTPS.BROWSER,\" apprisk=\"medium\" scertcname=\"*.dailymotion.com\" scertissuer=\"DigiCert SHA2 High Assurance Server CA\"\n",
"outcome": "success",
"start": "2019-05-16T01:03:35.000Z",
"type": [
"allowed"
]
},
"fortinet": {
"firewall": {
"action": "pass",
"appid": "40568",
"apprisk": "medium",
"dstintfrole": "wan",
"incidentserialno": "1962906680",
"sessionid": "4414",
"srcintfrole": "lan",
"subtype": "app-ctrl",
"type": "utm",
"vd": "root"
}
},
"input": {
"type": "udp"
},
"log": {
"level": "information",
"source": {
"address": "192.168.240.4:54617"
}
},
"message": "Web.Client: HTTPS.BROWSER,",
"network": {
"application": "HTTPS.BROWSER",
"direction": "outbound",
"iana_number": "6",
"transport": "tcp",
"protocol": "https"
},
"observer": {
"egress": {
"interface": {
"name": "port9"
}
},
"ingress": {
"interface": {
"name": "port10"
}
},
"product": "Fortigate",
"type": "firewall",
"vendor": "Fortinet"
},
"related": {
"ip": [
"10.1.100.22",
"195.8.215.136"
]
},
"rule": {
"category": "Web-Client",
"id": "1",
"ruleset": "block-social.media"
},
"source": {
"ip": "10.1.100.22",
"port": 50798
},
"tags": [
"fortinet-firewall",
"forwarded",
"preserve_original_event"
],
"tls": {
"server": {
"issuer": "DigiCert SHA2 High Assurance Server CA",
"x509": {
"issuer": {
"common_name": "DigiCert SHA2 High Assurance Server CA"
},
"subject": {
"common_name": "*.dailymotion.com"
}
}
}
},
"url": {
"domain": "www.dailymotion.com",
"path": "/"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.account.id |
云账户或组织 ID,用于在多租户环境中标识不同的实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
cloud.availability_zone |
此主机运行所在的可用区。 |
关键字 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
cloud.project.id |
Google Cloud 中项目的名称。 |
关键字 |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
cloud.region |
此主机运行所在的区域。 |
关键字 |
container.id |
唯一的容器 ID。 |
关键字 |
container.image.name |
构建容器所基于的镜像名称。 |
关键字 |
container.labels |
镜像标签。 |
对象 |
container.name |
容器名称。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 unix 套接字。您应始终将原始地址存储在 |
关键字 |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。 |
长整型 |
destination.as.organization.name |
组织名称。 |
关键字 |
destination.as.organization.name.text |
|
仅匹配文本 |
destination.bytes |
从目标发送到源的字节数。 |
长整型 |
destination.domain |
目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可以来自原始事件,也可以通过扩充添加。 |
关键字 |
destination.geo.city_name |
城市名称。 |
关键字 |
destination.geo.continent_name |
大洲名称。 |
关键字 |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键字 |
destination.geo.country_name |
国家/地区名称。 |
关键字 |
destination.geo.location |
经度和纬度。 |
地理点 |
destination.geo.name |
用户定义的位置描述,粒度级别由用户决定。可以是数据中心的名称、楼层号(如果描述的是本地物理实体)、城市名称。通常不用于自动地理定位。 |
关键字 |
destination.geo.region_iso_code |
地区 ISO 代码。 |
关键字 |
destination.geo.region_name |
地区名称。 |
关键字 |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.nat.ip |
基于 NAT 会话的目标转换 IP(例如,从互联网到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。 |
ip |
destination.nat.port |
源会话由 NAT 设备转换成的端口。通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
destination.packets |
从目标发送到源的数据包。 |
长整型 |
destination.port |
目标的端口。 |
长整型 |
destination.user.email |
用户电子邮件地址。 |
关键字 |
destination.user.name |
用户的简称或登录名。 |
关键字 |
destination.user.name.text |
|
仅匹配文本 |
dns.id |
生成查询的程序分配的 DNS 数据包标识符。该标识符被复制到响应中。 |
关键字 |
dns.question.class |
正在查询的记录的类。 |
关键字 |
dns.question.name |
正在查询的名称。如果名称字段包含不可打印字符(低于 32 或高于 126),这些字符应表示为转义的 10 进制整数 (\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。 |
关键字 |
dns.question.type |
正在查询的记录的类型。 |
关键字 |
dns.resolved_ip |
包含 |
ip |
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
email.cc.address |
抄送收件人的电子邮件地址 |
关键字 |
email.from.address |
发件人的电子邮件地址,通常来自 RFC 5322 |
关键字 |
email.sender.address |
根据 RFC 5322,指定负责实际传输消息的地址。 |
关键字 |
email.subject |
消息主题的简要概述。 |
关键字 |
email.subject.text |
|
仅匹配文本 |
email.to.address |
收件人的电子邮件地址 |
关键字 |
error.code |
描述错误的错误代码。 |
关键字 |
error.message |
错误消息。 |
仅匹配文本 |
event.category |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第二级。 |
关键字 |
event.code |
此事件的标识代码(如果存在)。某些事件源使用事件代码来明确标识消息,无论消息语言或措辞随时间如何调整。Windows 事件 ID 就是一个例子。 |
关键字 |
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则使用数据集来指定事件的来源。建议但不强制要求以模块名称开头,后跟一个点,然后是数据集名称。 |
关键字 |
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。 |
长整型 |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
日期 |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
关键字 |
event.message |
针对在日志查看器中查看进行了优化的日志消息。 |
文本 |
event.module |
事件模块 |
常量关键字 |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
关键字 |
event.reference |
指向有关此事件的附加信息的参考 URL。此 URL 链接到此事件的静态定义。由 |
关键字 |
event.start |
event.start 包含事件开始或首次观察到活动时的日期。 |
日期 |
event.timezone |
当事件的时间戳不包含时区信息时(例如,默认的 Syslog 时间戳),应填充此字段。否则,它是可选的。可接受的时区格式为:规范 ID(例如,“Europe/Amsterdam”)、缩写(例如,“EST”)或 HH:mm 差值(例如,“-05:00”)。 |
关键字 |
event.type |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。 |
关键字 |
file.extension |
文件扩展名,不包括前导点。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 |
关键字 |
file.name |
文件名,包括扩展名,不包括目录。 |
关键字 |
file.size |
文件大小,以字节为单位。仅当 |
长整型 |
fortinet.file.hash.crc32 |
文件的 CRC32 哈希值 |
关键字 |
fortinet.firewall.acct_stat |
记帐状态 (RADIUS) |
关键字 |
fortinet.firewall.acktime |
警报确认时间 |
关键字 |
fortinet.firewall.act |
操作 |
关键字 |
fortinet.firewall.action |
会话状态 |
关键字 |
fortinet.firewall.activity |
HA 活动消息 |
关键字 |
fortinet.firewall.addr |
IP 地址 |
ip |
fortinet.firewall.addr_type |
地址类型 |
关键字 |
fortinet.firewall.addrgrp |
地址组 |
关键字 |
fortinet.firewall.adgroup |
AD 组名称 |
关键字 |
fortinet.firewall.admin |
管理员用户 |
关键字 |
fortinet.firewall.age |
以秒为单位的时间 - 自上次看到后经过的时间 |
整数 |
fortinet.firewall.agent |
用户代理 - 例如 agent="Mozilla/5.0" |
关键字 |
fortinet.firewall.alarmid |
警报 ID |
整数 |
fortinet.firewall.alert |
警报 |
关键字 |
fortinet.firewall.analyticscksum |
提交进行分析的文件的校验和 |
关键字 |
fortinet.firewall.analyticssubmit |
用于分析提交的标志 |
关键字 |
fortinet.firewall.ap |
接入点 |
关键字 |
fortinet.firewall.app-type |
地址类型 |
关键字 |
fortinet.firewall.appact |
来自应用程序控制的安全操作 |
关键字 |
fortinet.firewall.appid |
应用程序 ID |
整数 |
fortinet.firewall.applist |
应用程序控制配置文件 |
关键字 |
fortinet.firewall.apprisk |
应用程序风险级别 |
关键字 |
fortinet.firewall.apscan |
扫描并检测到恶意 AP 的 AP 名称 |
关键字 |
fortinet.firewall.apsn |
接入点 |
关键字 |
fortinet.firewall.apstatus |
接入点状态 |
关键字 |
fortinet.firewall.aptype |
接入点类型 |
关键字 |
fortinet.firewall.assigned |
分配的 IP 地址 |
ip |
fortinet.firewall.assignip |
分配的 IP 地址 |
ip |
fortinet.firewall.attachment |
电子邮件附件的标志 |
关键字 |
fortinet.firewall.attack |
攻击名称 |
关键字 |
fortinet.firewall.attackcontext |
触发模式和带有 base64 编码的数据包数据 |
关键字 |
fortinet.firewall.attackcontextid |
攻击上下文 ID / 总数 |
关键字 |
fortinet.firewall.attackid |
攻击 ID |
整数 |
fortinet.firewall.auditid |
审计 ID |
长整型 |
fortinet.firewall.auditscore |
审计分数 |
关键字 |
fortinet.firewall.audittime |
审计时间 |
长整型 |
fortinet.firewall.authgrp |
授权组 |
关键字 |
fortinet.firewall.authid |
身份验证 ID |
关键字 |
fortinet.firewall.authproto |
启动身份验证的协议 |
关键字 |
fortinet.firewall.authserver |
身份验证服务器 |
关键字 |
fortinet.firewall.bandwidth |
带宽 |
关键字 |
fortinet.firewall.banned_rule |
NAC 隔离禁止规则名称 |
关键字 |
fortinet.firewall.banned_src |
NAC 隔离禁止源 IP |
关键字 |
fortinet.firewall.banword |
禁止的单词 |
关键字 |
fortinet.firewall.botnetdomain |
僵尸网络域名 |
关键字 |
fortinet.firewall.botnetip |
僵尸网络 IP 地址 |
ip |
fortinet.firewall.bssid |
服务集 ID |
关键字 |
fortinet.firewall.call_id |
呼叫者 ID |
关键字 |
fortinet.firewall.carrier_ep |
FortiOS 运营商端点标识 |
关键字 |
fortinet.firewall.cat |
DNS 类别 ID |
整数 |
fortinet.firewall.category |
身份验证类别 |
关键字 |
fortinet.firewall.cc |
抄送电子邮件地址 |
关键字 |
fortinet.firewall.cdrcontent |
Cdr 内容 |
关键字 |
fortinet.firewall.centralnatid |
中央 NAT ID |
整数 |
fortinet.firewall.cert |
证书 |
关键字 |
fortinet.firewall.cert-type |
证书类型 |
关键字 |
fortinet.firewall.certhash |
证书哈希值 |
关键字 |
fortinet.firewall.cfgattr |
配置属性 |
关键字 |
fortinet.firewall.cfgobj |
配置对象 |
关键字 |
fortinet.firewall.cfgpath |
配置路径 |
关键字 |
fortinet.firewall.cfgtid |
配置事务 ID |
关键字 |
fortinet.firewall.cfgtxpower |
配置 TX 功率 |
整数 |
fortinet.firewall.channel |
无线信道 |
整数 |
fortinet.firewall.channeltype |
SSH 信道类型 |
关键字 |
fortinet.firewall.chassisid |
机箱 ID |
整数 |
fortinet.firewall.checksum |
扫描文件的校验和 |
关键字 |
fortinet.firewall.chgheaders |
HTTP 标头 |
关键字 |
fortinet.firewall.cldobjid |
连接器对象 ID |
关键字 |
fortinet.firewall.client_addr |
Wifi 客户端地址 |
关键字 |
fortinet.firewall.cloudaction |
云操作 |
关键字 |
fortinet.firewall.clouduser |
云用户 |
关键字 |
fortinet.firewall.column |
VOIP 列 |
整数 |
fortinet.firewall.command |
CLI 命令 |
关键字 |
fortinet.firewall.community |
SNMP 社区 |
关键字 |
fortinet.firewall.configcountry |
配置国家/地区 |
关键字 |
fortinet.firewall.connection_type |
FortiClient 连接类型 |
关键字 |
fortinet.firewall.conserve |
保护模式的标志 |
关键字 |
fortinet.firewall.constraint |
WAF http 协议限制 |
关键字 |
fortinet.firewall.contentdisarmed |
扫描的电子邮件内容 |
关键字 |
fortinet.firewall.contenttype |
来自 HTTP 标头的内容类型 |
关键字 |
fortinet.firewall.cookies |
VPN Cookie |
关键字 |
fortinet.firewall.count |
操作类型的计数 |
整数 |
fortinet.firewall.countapp |
与会话关联的 App Ctrl 日志数量 |
整数 |
fortinet.firewall.countav |
与会话关联的 AV 日志数量 |
整数 |
fortinet.firewall.countcifs |
与会话关联的 CIFS 日志数量 |
整数 |
fortinet.firewall.countdlp |
与会话关联的 DLP 日志数量 |
整数 |
fortinet.firewall.countdns |
与会话关联的 DNS 日志数量 |
整数 |
fortinet.firewall.countemail |
与会话关联的电子邮件日志数量 |
整数 |
fortinet.firewall.countff |
与会话关联的 ff 日志数量 |
整数 |
fortinet.firewall.countips |
与会话关联的 IPS 日志数量 |
整数 |
fortinet.firewall.countssh |
与会话关联的 SSH 日志数量 |
整数 |
fortinet.firewall.countssl |
与会话关联的 SSL 日志数量 |
整数 |
fortinet.firewall.countwaf |
与会话关联的 WAF 日志数量 |
整数 |
fortinet.firewall.countweb |
与会话关联的 Web 过滤器日志数量 |
整数 |
fortinet.firewall.cpu |
CPU 使用率 |
整数 |
fortinet.firewall.craction |
客户端信誉操作 |
整数 |
fortinet.firewall.criticalcount |
严重评级数 |
整数 |
fortinet.firewall.crl |
客户端信誉级别 |
关键字 |
fortinet.firewall.crlevel |
客户端信誉级别 |
关键字 |
fortinet.firewall.crscore |
一些描述 |
整数 |
fortinet.firewall.cveid |
CVE ID |
关键字 |
fortinet.firewall.daemon |
守护进程名称 |
关键字 |
fortinet.firewall.datarange |
报告的数据范围 |
关键字 |
fortinet.firewall.date |
日期 |
关键字 |
fortinet.firewall.ddnsserver |
DDNS 服务器 |
ip |
fortinet.firewall.desc |
描述 |
关键字 |
fortinet.firewall.detectionmethod |
检测方法 |
关键字 |
fortinet.firewall.devcategory |
设备类别 |
关键字 |
fortinet.firewall.devintfname |
HA 设备接口名称 |
关键字 |
fortinet.firewall.devtype |
设备类型 |
关键字 |
fortinet.firewall.dhcp_msg |
DHCP 消息 |
关键字 |
fortinet.firewall.dintf |
目标接口 |
关键字 |
fortinet.firewall.disk |
关联的磁盘 |
关键字 |
fortinet.firewall.disklograte |
磁盘日志记录速率 |
长整型 |
fortinet.firewall.dlpextra |
DLP 额外信息 |
关键字 |
fortinet.firewall.docsource |
DLP 指纹文档源 |
关键字 |
fortinet.firewall.domainctrlauthstate |
CIFS 域身份验证状态 |
整数 |
fortinet.firewall.domainctrlauthtype |
CIFS 域身份验证类型 |
整数 |
fortinet.firewall.domainctrldomain |
CIFS 域身份验证域 |
关键字 |
fortinet.firewall.domainctrlip |
CIFS 域 IP |
ip |
fortinet.firewall.domainctrlname |
CIFS 域名 |
关键字 |
fortinet.firewall.domainctrlprotocoltype |
CIFS 域连接协议 |
整数 |
fortinet.firewall.domainctrlusername |
CIFS 域用户名 |
关键字 |
fortinet.firewall.domainfilteridx |
域过滤器 ID |
整数 |
fortinet.firewall.domainfilterlist |
域名过滤器名称 |
关键字 |
fortinet.firewall.ds |
带有分配系统的方向 |
关键字 |
fortinet.firewall.dst_int |
目标接口 |
关键字 |
fortinet.firewall.dstcountry |
目标国家/地区 |
关键字 |
fortinet.firewall.dstdevcategory |
目标设备类别 |
关键字 |
fortinet.firewall.dstdevtype |
目标设备类型 |
关键字 |
fortinet.firewall.dstfamily |
目标操作系统系列 |
关键字 |
fortinet.firewall.dsthwvendor |
目标硬件供应商 |
关键字 |
fortinet.firewall.dsthwversion |
目标硬件版本 |
关键字 |
fortinet.firewall.dstinetsvc |
目标接口服务 |
关键字 |
fortinet.firewall.dstintfrole |
目标接口角色 |
关键字 |
fortinet.firewall.dstosname |
目标操作系统名称 |
关键字 |
fortinet.firewall.dstosversion |
目标操作系统版本 |
关键字 |
fortinet.firewall.dstserver |
目标服务器 |
整数 |
fortinet.firewall.dstssid |
目标 SSID |
关键字 |
fortinet.firewall.dstswversion |
目标软件版本 |
关键字 |
fortinet.firewall.dstunauthusersource |
目标未认证源 |
关键字 |
fortinet.firewall.dstuuid |
目标 IP 地址的 UUID |
关键字 |
fortinet.firewall.duid |
DHCP UID |
关键字 |
fortinet.firewall.eapolcnt |
EAPOL 数据包计数 |
整数 |
fortinet.firewall.eapoltype |
EAPOL 数据包类型 |
关键字 |
fortinet.firewall.encrypt |
数据包是否加密 |
整数 |
fortinet.firewall.encryption |
加密方法 |
关键字 |
fortinet.firewall.epoch |
用于定位文件的 Epoch |
整数 |
fortinet.firewall.espauth |
ESP 身份验证 |
关键字 |
fortinet.firewall.esptransform |
ESP 转换 |
关键字 |
fortinet.firewall.exch |
来自 DNS 响应应答部分的邮件交换 |
关键字 |
fortinet.firewall.exchange |
来自 DNS 响应应答部分的邮件交换 |
关键字 |
fortinet.firewall.expectedsignature |
预期的 SSL 签名 |
关键字 |
fortinet.firewall.expiry |
FortiGuard 覆盖过期时间戳 |
关键字 |
fortinet.firewall.fams_pause |
Fortinet 分析和管理服务暂停 |
整数 |
fortinet.firewall.fazlograte |
FortiAnalyzer 日志记录速率 |
长整型 |
fortinet.firewall.fctemssn |
FortiClient 端点 SSN |
关键字 |
fortinet.firewall.fctuid |
FortiClient UID |
关键字 |
fortinet.firewall.field |
NTP 状态字段 |
关键字 |
fortinet.firewall.filefilter |
用于标识受影响文件的过滤器 |
关键字 |
fortinet.firewall.filehashsrc |
文件哈希源 |
关键字 |
fortinet.firewall.filtercat |
DLP 过滤器类别 |
关键字 |
fortinet.firewall.filteridx |
DLP 过滤器 ID |
整数 |
fortinet.firewall.filtername |
DLP 规则名称 |
关键字 |
fortinet.firewall.filtertype |
DLP 过滤器类型 |
关键字 |
fortinet.firewall.fortiguardresp |
反垃圾邮件 ESP 值 |
关键字 |
fortinet.firewall.forwardedfor |
转发的电子邮件地址 |
关键字 |
fortinet.firewall.fqdn |
FQDN |
关键字 |
fortinet.firewall.frametype |
无线帧类型 |
关键字 |
fortinet.firewall.freediskstorage |
可用磁盘整数 |
整数 |
fortinet.firewall.from |
发件人电子邮件地址 |
关键字 |
fortinet.firewall.from_vcluster |
源虚拟集群编号 |
整数 |
fortinet.firewall.fsaverdict |
FSA 裁决 |
关键字 |
fortinet.firewall.fwserver_name |
Web 代理服务器名称 |
关键字 |
fortinet.firewall.gateway |
PPPoE 状态报告的网关 IP 地址 |
ip |
fortinet.firewall.green |
内存状态 |
关键字 |
fortinet.firewall.groupid |
用户组 ID |
整数 |
fortinet.firewall.ha-prio |
HA 优先级 |
整数 |
fortinet.firewall.ha_group |
HA 组 |
关键字 |
fortinet.firewall.ha_role |
HA 角色 |
关键字 |
fortinet.firewall.handshake |
SSL 握手 |
关键字 |
fortinet.firewall.hash |
下载文件的哈希值 |
关键字 |
fortinet.firewall.hbdn_reason |
心跳关闭原因 |
关键字 |
fortinet.firewall.highcount |
Fabric 高计数摘要 |
整数 |
fortinet.firewall.host |
主机名 |
关键字 |
fortinet.firewall.iaid |
DHCPv6 ID |
关键字 |
fortinet.firewall.icmpcode |
ICMP 消息的目标端口 |
关键字 |
fortinet.firewall.icmpid |
ICMP 消息的源端口 |
关键字 |
fortinet.firewall.icmptype |
ICMP 消息的类型 |
关键字 |
fortinet.firewall.identifier |
网络流量标识符 |
整数 |
fortinet.firewall.in_spi |
IPSEC 入站 SPI |
关键字 |
fortinet.firewall.incidentserialno |
事件序列号 |
整数 |
fortinet.firewall.infected |
受感染的 MMS |
整数 |
fortinet.firewall.infectedfilelevel |
DLP 受感染文件级别 |
整数 |
fortinet.firewall.informationsource |
信息来源 |
关键字 |
fortinet.firewall.init |
IPSEC 初始化阶段 |
关键字 |
fortinet.firewall.initiator |
Fortiguard 覆盖的原始登录用户名 |
关键字 |
fortinet.firewall.interface |
相关接口 |
关键字 |
fortinet.firewall.intf |
相关接口 |
关键字 |
fortinet.firewall.invalidmac |
OUI 无效的 MAC 地址 |
关键字 |
fortinet.firewall.ip |
相关 IP |
ip |
fortinet.firewall.iptype |
相关 IP 类型 |
关键字 |
fortinet.firewall.keyword |
用于搜索的关键字 |
关键字 |
fortinet.firewall.kind |
VOIP 类型 |
关键字 |
fortinet.firewall.lanin |
LAN 入站流量(字节) |
长整型 |
fortinet.firewall.lanout |
LAN 出站流量(字节) |
长整型 |
fortinet.firewall.lease |
DHCP 租约 |
整数 |
fortinet.firewall.license_limit |
许可证允许的最大 FortiClient 数量 |
关键字 |
fortinet.firewall.limit |
虚拟域资源限制 |
整数 |
fortinet.firewall.line |
VOIP 线路 |
关键字 |
fortinet.firewall.live |
以秒为单位的时间 |
整数 |
fortinet.firewall.local |
PPPD 连接的本地 IP |
ip |
fortinet.firewall.log |
日志消息 |
关键字 |
fortinet.firewall.login |
SSH 登录 |
关键字 |
fortinet.firewall.lowcount |
Fabric 低计数 |
整数 |
fortinet.firewall.mac |
DHCP MAC 地址 |
关键字 |
fortinet.firewall.malform_data |
VOIP 格式错误的数据 |
整数 |
fortinet.firewall.malform_desc |
VOIP 格式错误的数据描述 |
关键字 |
fortinet.firewall.manuf |
制造商名称 |
关键字 |
fortinet.firewall.masterdstmac |
具有多个网络接口的主机的 Master MAC 地址 |
关键字 |
fortinet.firewall.mastersrcmac |
具有多个网络接口的主机的 Master MAC 地址 |
关键字 |
fortinet.firewall.mediumcount |
Fabric 中等计数 |
整数 |
fortinet.firewall.mem |
内存使用系统统计信息 |
整数 |
fortinet.firewall.meshmode |
无线网状模式 |
关键字 |
fortinet.firewall.message_type |
VOIP 消息类型 |
关键字 |
fortinet.firewall.method |
HTTP 方法 |
关键字 |
fortinet.firewall.mgmtcnt |
未授权客户端泛滥管理帧的数量 |
整数 |
fortinet.firewall.mode |
IPSEC 模式 |
关键字 |
fortinet.firewall.module |
PCI-DSS 模块 |
关键字 |
fortinet.firewall.monitor-name |
运行状况监视器名称 |
关键字 |
fortinet.firewall.monitor-type |
运行状况监视器类型 |
关键字 |
fortinet.firewall.mpsk |
无线 MPSK |
关键字 |
fortinet.firewall.msgproto |
消息协议号 |
关键字 |
fortinet.firewall.mtu |
最大传输单元值 |
整数 |
fortinet.firewall.name |
名称 |
关键字 |
fortinet.firewall.nat |
NAT IP 地址 |
关键字 |
fortinet.firewall.netid |
连接器 NetID |
关键字 |
fortinet.firewall.new_status |
用户更改后的新状态 |
关键字 |
fortinet.firewall.new_value |
新的虚拟域名称 |
关键字 |
fortinet.firewall.newchannel |
新通道号 |
整数 |
fortinet.firewall.newchassisid |
新机箱 ID |
整数 |
fortinet.firewall.newslot |
新插槽号 |
整数 |
fortinet.firewall.nextstat |
下一次统计的时间间隔(秒) |
整数 |
fortinet.firewall.nf_type |
通知类型 |
关键字 |
fortinet.firewall.noise |
Wifi 噪声 |
整数 |
fortinet.firewall.old_status |
原始状态 |
关键字 |
fortinet.firewall.old_value |
原始虚拟域名称 |
关键字 |
fortinet.firewall.oldchannel |
原始通道 |
整数 |
fortinet.firewall.oldchassisid |
原始机箱编号 |
整数 |
fortinet.firewall.oldslot |
原始插槽号 |
整数 |
fortinet.firewall.oldsn |
旧序列号 |
关键字 |
fortinet.firewall.oldwprof |
旧 Web 过滤配置文件 |
关键字 |
fortinet.firewall.onwire |
指示 AP 是否在线的标志 |
关键字 |
fortinet.firewall.opercountry |
操作国家/地区 |
关键字 |
fortinet.firewall.opertxpower |
操作 TX 功率 |
整数 |
fortinet.firewall.osname |
操作系统名称 |
关键字 |
fortinet.firewall.osversion |
操作系统版本 |
关键字 |
fortinet.firewall.out_spi |
输出 SPI |
关键字 |
fortinet.firewall.outintf |
输出接口 |
关键字 |
fortinet.firewall.passedcount |
Fabric 通过计数 |
整数 |
fortinet.firewall.passwd |
更改的用户密码信息 |
关键字 |
fortinet.firewall.path |
安全 Fabric 的循环配置路径 |
关键字 |
fortinet.firewall.peer |
WAN 优化对等方 |
关键字 |
fortinet.firewall.peer_notif |
VPN 对等方通知 |
关键字 |
fortinet.firewall.phase2_name |
VPN 阶段 2 名称 |
关键字 |
fortinet.firewall.phone |
VOIP 电话 |
关键字 |
fortinet.firewall.pid |
进程 ID |
整数 |
fortinet.firewall.policytype |
策略类型 |
关键字 |
fortinet.firewall.poolname |
IP 池名称 |
关键字 |
fortinet.firewall.port |
日志上传错误端口 |
整数 |
fortinet.firewall.portbegin |
IP 池起始端口号 |
整数 |
fortinet.firewall.portend |
IP 池结束端口号 |
整数 |
fortinet.firewall.probeproto |
链路监视器探测协议 |
关键字 |
fortinet.firewall.process |
URL 过滤器进程 |
关键字 |
fortinet.firewall.processtime |
报告处理时间 |
整数 |
fortinet.firewall.profile |
配置文件名称 |
关键字 |
fortinet.firewall.profile_vd |
虚拟域名称 |
关键字 |
fortinet.firewall.profilegroup |
配置文件组名称 |
关键字 |
fortinet.firewall.profiletype |
配置文件类型 |
关键字 |
fortinet.firewall.qtypeval |
DNS 查询类型值 |
整数 |
fortinet.firewall.quarskip |
隔离跳过说明 |
关键字 |
fortinet.firewall.quotaexceeded |
是否超过配额 |
关键字 |
fortinet.firewall.quotamax |
允许的最大配额 - 如果基于时间,则为秒;如果基于流量,则为字节 |
长整型 |
fortinet.firewall.quotatype |
配额类型 |
关键字 |
fortinet.firewall.quotaused |
已用配额 - 如果基于时间,则为秒;如果基于流量,则为字节 |
长整型 |
fortinet.firewall.radioband |
无线频段 |
关键字 |
fortinet.firewall.radioid |
无线 ID |
整数 |
fortinet.firewall.radioidclosest |
在距离非法 AP 最近的 AP 上的无线 ID |
整数 |
fortinet.firewall.radioiddetected |
在检测到非法 AP 的 AP 上的无线 ID |
整数 |
fortinet.firewall.rate |
无线非法速率值 |
关键字 |
fortinet.firewall.rawdata |
原始数据值 |
关键字 |
fortinet.firewall.rawdataid |
原始数据 ID |
关键字 |
fortinet.firewall.rcvddelta |
接收字节增量 |
关键字 |
fortinet.firewall.reason |
警报原因 |
关键字 |
fortinet.firewall.received |
接收的服务器密钥交换 |
整数 |
fortinet.firewall.receivedsignature |
接收的服务器密钥交换签名 |
关键字 |
fortinet.firewall.red |
红色内存信息 |
关键字 |
fortinet.firewall.referralurl |
Web 过滤器 referralurl |
关键字 |
fortinet.firewall.remote |
远程 PPP IP 地址 |
ip |
fortinet.firewall.remotewtptime |
远程 Wifi Radius 身份验证时间 |
关键字 |
fortinet.firewall.reporttype |
报告类型 |
关键字 |
fortinet.firewall.reqtype |
请求类型 |
关键字 |
fortinet.firewall.request_name |
VOIP 请求名称 |
关键字 |
fortinet.firewall.result |
VPN 阶段结果 |
关键字 |
fortinet.firewall.role |
VPN 阶段 2 角色 |
关键字 |
fortinet.firewall.rssi |
接收信号强度指示器 |
整数 |
fortinet.firewall.rsso_key |
RADIUS SSO 属性值 |
关键字 |
fortinet.firewall.ruledata |
规则数据 |
关键字 |
fortinet.firewall.ruletype |
规则类型 |
关键字 |
fortinet.firewall.scanned |
扫描的 MMS 数量 |
整数 |
fortinet.firewall.scantime |
扫描时间 |
长整型 |
fortinet.firewall.scope |
FortiGuard 覆盖范围 |
关键字 |
fortinet.firewall.security |
无线非法安全 |
关键字 |
fortinet.firewall.sensitivity |
文档指纹的灵敏度 |
关键字 |
fortinet.firewall.sensor |
NAC 传感器名称 |
关键字 |
fortinet.firewall.sentdelta |
发送字节增量 |
关键字 |
fortinet.firewall.seq |
序列号 |
关键字 |
fortinet.firewall.serial |
WAN 优化序列号 |
关键字 |
fortinet.firewall.serialno |
序列号 |
关键字 |
fortinet.firewall.server |
AD 服务器 FQDN 或 IP |
关键字 |
fortinet.firewall.session_id |
会话 ID |
关键字 |
fortinet.firewall.sessionid |
WAD 会话 ID |
整数 |
fortinet.firewall.setuprate |
会话建立速率 |
长整型 |
fortinet.firewall.severity |
严重性 |
关键字 |
fortinet.firewall.shaperdroprcvdbyte |
整形器丢弃的接收字节数 |
整数 |
fortinet.firewall.shaperdropsentbyte |
整形器丢弃的发送字节数 |
整数 |
fortinet.firewall.shaperperipdropbyte |
整形器按 IP 丢弃的字节数 |
整数 |
fortinet.firewall.shaperperipname |
流量整形器名称(按 IP) |
关键字 |
fortinet.firewall.shaperrcvdname |
接收流量的流量整形器名称 |
关键字 |
fortinet.firewall.shapersentname |
发送流量的流量整形器名称 |
关键字 |
fortinet.firewall.shapingpolicyid |
流量整形器策略 ID |
整数 |
fortinet.firewall.signal |
无线非法 API 信号 |
整数 |
fortinet.firewall.size |
电子邮件大小(字节) |
长整型 |
fortinet.firewall.slot |
插槽号 |
整数 |
fortinet.firewall.sn |
安全 Fabric 序列号 |
关键字 |
fortinet.firewall.snclosest |
距离非法 AP 最近的 AP 的 SN |
关键字 |
fortinet.firewall.sndetected |
检测到非法 AP 的 AP 的 SN |
关键字 |
fortinet.firewall.snmeshparent |
网状父设备的 SN |
关键字 |
fortinet.firewall.spi |
IPSEC SPI |
关键字 |
fortinet.firewall.src_int |
源接口 |
关键字 |
fortinet.firewall.srccountry |
源国家/地区 |
关键字 |
fortinet.firewall.srcfamily |
源系列 |
关键字 |
fortinet.firewall.srchwvendor |
源硬件供应商 |
关键字 |
fortinet.firewall.srchwversion |
源硬件版本 |
关键字 |
fortinet.firewall.srcinetsvc |
源接口服务 |
关键字 |
fortinet.firewall.srcintfrole |
源接口角色 |
关键字 |
fortinet.firewall.srcname |
源名称 |
关键字 |
fortinet.firewall.srcserver |
源服务器 |
整数 |
fortinet.firewall.srcssid |
源 SSID |
关键字 |
fortinet.firewall.srcswversion |
源软件版本 |
关键字 |
fortinet.firewall.srcuuid |
源 UUID |
关键字 |
fortinet.firewall.sscname |
SSC 名称 |
关键字 |
fortinet.firewall.ssid |
基本服务集 ID |
关键字 |
fortinet.firewall.sslaction |
SSL 操作 |
关键字 |
fortinet.firewall.ssllocal |
WAD SSL 本地 |
关键字 |
fortinet.firewall.sslremote |
WAD SSL 远程 |
关键字 |
fortinet.firewall.stacount |
站点/客户端数量 |
整数 |
fortinet.firewall.stage |
IPSEC 阶段 |
关键字 |
fortinet.firewall.stamac |
802.1x 站点 MAC |
关键字 |
fortinet.firewall.state |
管理登录状态 |
关键字 |
fortinet.firewall.status |
状态 |
关键字 |
fortinet.firewall.stitch |
触发的自动化编排 |
关键字 |
fortinet.firewall.subject |
电子邮件主题 |
关键字 |
fortinet.firewall.submodule |
配置子模块名称 |
关键字 |
fortinet.firewall.subservice |
AV 子服务 |
关键字 |
fortinet.firewall.subtype |
日志子类型 |
关键字 |
fortinet.firewall.suspicious |
可疑 MMS 的数量 |
整数 |
fortinet.firewall.switchproto |
协议更改信息 |
关键字 |
fortinet.firewall.sync_status |
与主设备的同步状态 |
关键字 |
fortinet.firewall.sync_type |
与主设备的同步类型 |
关键字 |
fortinet.firewall.sysuptime |
系统运行时间 |
关键字 |
fortinet.firewall.tamac |
发射器的 MAC 地址,如果没有,则为接收器 |
关键字 |
fortinet.firewall.threattype |
WIDS 威胁类型 |
关键字 |
fortinet.firewall.time |
事件发生时间 |
关键字 |
fortinet.firewall.to |
电子邮件“收件人”字段 |
关键字 |
fortinet.firewall.to_vcluster |
目标虚拟集群号 |
整数 |
fortinet.firewall.total |
总内存 |
整数 |
fortinet.firewall.totalsession |
会话总数 |
整数 |
fortinet.firewall.trace_id |
会话冲突跟踪 ID |
关键字 |
fortinet.firewall.trandisp |
NAT 转换类型 |
关键字 |
fortinet.firewall.transid |
HTTP 事务 ID |
整数 |
fortinet.firewall.translationid |
DNS 过滤器转换 ID |
关键字 |
fortinet.firewall.trigger |
自动化编排触发器 |
关键字 |
fortinet.firewall.trueclntip |
文件过滤器真实客户端 IP |
ip |
fortinet.firewall.tunnelid |
IPSEC 隧道 ID |
整数 |
fortinet.firewall.tunnelip |
IPSEC 隧道 IP |
ip |
fortinet.firewall.tunneltype |
IPSEC 隧道类型 |
关键字 |
fortinet.firewall.type |
模块类型 |
关键字 |
fortinet.firewall.ui |
管理身份验证 UI 类型 |
关键字 |
fortinet.firewall.unauthusersource |
未验证的用户源 |
关键字 |
fortinet.firewall.unit |
电源单元 |
整数 |
fortinet.firewall.urlfilteridx |
URL 过滤器 ID |
整数 |
fortinet.firewall.urlfilterlist |
URL 过滤器列表 |
关键字 |
fortinet.firewall.urlsource |
URL 过滤器源 |
关键字 |
fortinet.firewall.urltype |
URL 过滤器类型 |
关键字 |
fortinet.firewall.used |
已使用的 IP 数量 |
整数 |
fortinet.firewall.used_for_type |
用于该类型的连接 |
整数 |
fortinet.firewall.utmaction |
UTM 执行的安全操作 |
关键字 |
fortinet.firewall.vap |
虚拟 AP |
关键字 |
fortinet.firewall.vapmode |
虚拟 AP 模式 |
关键字 |
fortinet.firewall.vcluster |
虚拟集群 ID |
整数 |
fortinet.firewall.vcluster_member |
虚拟集群成员 |
整数 |
fortinet.firewall.vcluster_state |
虚拟集群状态 |
关键字 |
fortinet.firewall.vd |
虚拟域名称 |
关键字 |
fortinet.firewall.vdname |
虚拟域名称 |
关键字 |
fortinet.firewall.vendorurl |
漏洞扫描供应商名称 |
关键字 |
fortinet.firewall.version |
版本 |
关键字 |
fortinet.firewall.vip |
虚拟 IP |
关键字 |
fortinet.firewall.virus |
病毒名称 |
关键字 |
fortinet.firewall.virusid |
病毒 ID(唯一的病毒标识符) |
整数 |
fortinet.firewall.voip_proto |
VOIP 协议 |
关键字 |
fortinet.firewall.vpn |
VPN 描述 |
关键字 |
fortinet.firewall.vpntunnel |
IPsec VPN 隧道名称 |
关键字 |
fortinet.firewall.vpntype |
VPN 隧道的类型 |
关键字 |
fortinet.firewall.vrf |
VRF 编号 |
整数 |
fortinet.firewall.vulncat |
漏洞类别 |
关键字 |
fortinet.firewall.vulnid |
漏洞 ID |
整数 |
fortinet.firewall.vulnname |
漏洞名称 |
关键字 |
fortinet.firewall.vwlid |
VWL ID |
整数 |
fortinet.firewall.vwlquality |
VWL 质量 |
关键字 |
fortinet.firewall.vwlservice |
VWL 服务 |
关键字 |
fortinet.firewall.vwpvlanid |
VWP VLAN ID |
整数 |
fortinet.firewall.wanin |
WAN 入站流量(以字节为单位) |
长整型 |
fortinet.firewall.wanoptapptype |
WAN 优化应用程序类型 |
关键字 |
fortinet.firewall.wanout |
WAN 出站流量(以字节为单位) |
长整型 |
fortinet.firewall.weakwepiv |
弱 Wep 初始化向量 |
关键字 |
fortinet.firewall.xauthgroup |
XAuth 组名称 |
关键字 |
fortinet.firewall.xauthuser |
XAuth 用户名 |
关键字 |
fortinet.firewall.xid |
无线 X ID |
整数 |
host.architecture |
操作系统架构。 |
关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。 |
关键字 |
host.hostname |
主机的hostname。它通常包含主机上的 |
关键字 |
host.id |
唯一主机 ID。由于主机名并非始终唯一,请使用在您的环境中具有意义的值。例如:当前 |
关键字 |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。 |
关键字 |
host.name |
主机的名称。它可以包含 Unix 系统上的 |
关键字 |
host.os.build |
OS 构建信息。 |
关键字 |
host.os.codename |
OS 代码名称(如果有)。 |
关键字 |
host.os.family |
OS 系列(例如 redhat、debian、freebsd、windows)。 |
关键字 |
host.os.kernel |
操作系统内核版本,以原始字符串形式表示。 |
关键字 |
host.os.name |
操作系统名称,不含版本。 |
关键字 |
host.os.name.text |
|
文本 |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
host.os.version |
操作系统版本,以原始字符串形式表示。 |
关键字 |
host.type |
主机类型。对于云提供商,这可以是诸如 |
关键字 |
input.type |
Filebeat 输入类型。 |
关键字 |
log.file.path |
日志文件的路径。 |
关键字 |
log.flags |
日志文件的标志。 |
关键字 |
log.level |
日志事件的原始日志级别。如果事件源提供日志级别或文本严重性,则此级别或文本将进入 |
关键字 |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
log.source.address |
读取/发送日志事件的源地址。 |
关键字 |
message |
对于日志事件,message 字段包含日志消息,已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多条消息,可以将它们合并为一条消息。 |
仅匹配文本 |
network.application |
当从网络连接详细信息(源/目标 IP、端口、证书或线路格式)中识别出特定应用程序或服务时,此字段捕获应用程序或服务的名称。例如,原始事件标识来自 |
关键字 |
network.bytes |
在两个方向上传输的总字节数。如果 |
长整型 |
network.direction |
网络流量的方向。在映射基于主机的监控上下文中的事件时,请从主机的角度使用值“ingress”或“egress”填充此字段。在映射基于网络或边界的监控上下文中的事件时,请从网络边界的角度使用值“inbound”、“outbound”、“internal”或“external”填充此字段。请注意,“internal”不会跨越边界,而是用来描述边界内两个主机之间的通信。另请注意,“external”用来描述两个边界外部主机之间的流量。例如,这对 ISP 或 VPN 服务提供商可能很有用。 |
关键字 |
network.iana_number |
IANA 协议号(https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常一致。 |
关键字 |
network.packets |
在两个方向上传输的总数据包数。如果 |
长整型 |
network.protocol |
在 OSI 模型中,这应该是应用层协议。例如, |
关键字 |
network.transport |
与 network.iana_number 相同,但使用传输层的关键字名称(udp、tcp、ipv6-icmp 等)。字段值必须规范化为小写,以便于查询。 |
关键字 |
observer.egress.interface.name |
系统报告的接口名称。 |
关键字 |
observer.ingress.interface.name |
系统报告的接口名称。 |
关键字 |
observer.name |
观察者的自定义名称。这是一个可以分配给观察者的名称。例如,如果组织中使用多个相同型号的防火墙,则这很有帮助。如果不需要自定义名称,则可以使该字段为空。 |
关键字 |
observer.product |
观察者的产品名称。 |
关键字 |
observer.serial_number |
观察者序列号。 |
关键字 |
observer.type |
数据来源的观察者的类型。没有预定义的观察者类型列表。一些示例包括 |
关键字 |
observer.vendor |
观察者的供应商名称。 |
关键字 |
related.hash |
在您的事件中看到的所有哈希值。填充此字段,然后使用它搜索哈希值有助于您不确定哈希算法是什么(因此不知道要搜索哪个键名)的情况。 |
关键字 |
related.hosts |
在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 |
关键字 |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
在事件中看到的所有用户名或其他用户标识符。 |
关键字 |
rule.category |
实体使用规则检测此事件所使用的分类值关键字。 |
关键字 |
rule.description |
生成事件的规则的描述。 |
关键字 |
rule.id |
在代理、观察者或其他使用该规则检测此事件的实体的范围内唯一的规则 ID。 |
关键字 |
rule.name |
生成事件的规则或签名的名称。 |
关键字 |
rule.ruleset |
用于生成此事件的规则所属的规则集、策略、组或父类别的名称。 |
关键字 |
rule.uuid |
在代理、观察者或其他使用该规则检测此事件的实体的集合或组的范围内唯一的规则 ID。 |
关键字 |
source.address |
某些事件源地址的定义不明确。事件有时会列出 IP 地址、域名或 Unix 套接字。您应该始终将原始地址存储在 |
关键字 |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。 |
长整型 |
source.as.organization.name |
组织名称。 |
关键字 |
source.as.organization.name.text |
|
仅匹配文本 |
source.bytes |
从源发送到目标的字节数。 |
长整型 |
source.geo.city_name |
城市名称。 |
关键字 |
source.geo.continent_name |
大洲名称。 |
关键字 |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键字 |
source.geo.country_name |
国家/地区名称。 |
关键字 |
source.geo.location |
经度和纬度。 |
地理点 |
source.geo.name |
用户定义的位置描述,粒度级别由用户决定。可以是数据中心的名称、楼层号(如果描述的是本地物理实体)、城市名称。通常不用于自动地理定位。 |
关键字 |
source.geo.region_iso_code |
地区 ISO 代码。 |
关键字 |
source.geo.region_name |
地区名称。 |
关键字 |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
ip |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
source.nat.ip |
基于 NAT 会话的源的转换 IP(例如,内部客户端到互联网)。通常是遍历负载均衡器、防火墙或路由器的连接。 |
ip |
source.nat.port |
基于 NAT 会话的源的转换端口。(例如,内部客户端到互联网)通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
source.packets |
从源发送到目标的数据包数。 |
长整型 |
source.port |
源的端口。 |
长整型 |
source.user.email |
用户电子邮件地址。 |
关键字 |
source.user.group.name |
组的名称。 |
关键字 |
source.user.name |
用户的简称或登录名。 |
关键字 |
source.user.name.text |
|
仅匹配文本 |
tags |
用于标记每个事件的关键字列表。 |
关键字 |
tls.client.issuer |
客户端提供的 x.509 证书颁发者的主题的专有名称。 |
关键字 |
tls.client.server_name |
也称为 SNI,它告诉服务器客户端尝试连接的主机名。当此值可用时,应将其复制到 |
关键字 |
tls.client.x509.issuer.common_name |
颁发证书机构的常用名 (CN) 列表。 |
关键字 |
tls.server.issuer |
服务器提供的 x.509 证书颁发者的主题。 |
关键字 |
tls.server.x509.issuer.common_name |
颁发证书机构的常用名 (CN) 列表。 |
关键字 |
tls.server.x509.subject.common_name |
主题的常用名 (CN) 列表。 |
关键字 |
url.domain |
url 的域,例如 "https://elastic.ac.cn[www.elastic.co]"。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 |
关键字 |
url.path |
请求的路径,例如 "/search"。 |
wildcard |
user_agent.original |
未解析的 user_agent 字符串。 |
关键字 |
user_agent.original.text |
|
仅匹配文本 |
vulnerability.category |
漏洞影响的系统或架构类型。这些可能是特定于平台的(例如,Debian 或 SUSE)或通用的(例如,数据库或防火墙)。例如(Qualys[https://qualysguard.qualys.com/qwebhelp/fo_portal/knowledgebase/vulnerability_categories.htm[Qualys 漏洞类别])此字段必须是一个数组。 |
关键字 |
客户端端点
编辑clientendpoint 数据集收集 Fortinet FortiClient 端点安全日志。
示例
clientendpoint 的一个示例事件如下所示
{
"@timestamp": "2021-01-29T06:09:59.000Z",
"agent": {
"ephemeral_id": "e212d683-d4b4-42ac-ba98-c8414ff62188",
"id": "4e3f135a-d5f9-40b6-ae01-2c834ecbead0",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.0.0"
},
"data_stream": {
"dataset": "fortinet.clientendpoint",
"namespace": "ep",
"type": "logs"
},
"destination": {
"ip": [
"10.102.123.34"
],
"port": 3994
},
"ecs": {
"version": "8.3.0"
},
"elastic_agent": {
"id": "4e3f135a-d5f9-40b6-ae01-2c834ecbead0",
"snapshot": true,
"version": "8.0.0"
},
"event": {
"action": "deny",
"agent_id_status": "verified",
"code": "http",
"dataset": "fortinet.clientendpoint",
"ingested": "2022-01-25T12:25:45Z",
"original": "January 29 06:09:59 boNemoe4402.www.invalid proto=udp service=http status=deny src=10.150.92.220 dst=10.102.123.34 src_port=7178 dst_port=3994 server_app=reeufugi pid=7880 app_name=enderitq traff_direct=external block_count=5286 [email protected] msg=failure\n",
"outcome": "failure",
"timezone": "+00:00"
},
"host": {
"name": "boNemoe4402.www.invalid"
},
"input": {
"type": "udp"
},
"log": {
"source": {
"address": "172.30.0.4:54478"
}
},
"network": {
"direction": "external",
"protocol": "udp"
},
"observer": {
"product": "FortiClient",
"type": "Anti-Virus",
"vendor": "Fortinet"
},
"process": {
"pid": 7880
},
"related": {
"hosts": [
"litesse6379.api.domain",
"boNemoe4402.www.invalid"
],
"ip": [
"10.150.92.220",
"10.102.123.34"
],
"user": [
"sumdo"
]
},
"rsa": {
"counters": {
"dclass_c1": 5286,
"dclass_c1_str": "block_count"
},
"internal": {
"messageid": "http"
},
"investigations": {
"ec_outcome": "Failure",
"ec_subject": "NetworkComm",
"ec_theme": "ALM"
},
"misc": {
"action": [
"deny"
],
"result": "failure\n"
},
"network": {
"alias_host": [
"boNemoe4402.www.invalid"
],
"domain": "litesse6379.api.domain",
"network_service": "http"
},
"time": {
"event_time": "2021-01-29T06:09:59.000Z"
}
},
"server": {
"domain": "litesse6379.api.domain",
"registered_domain": "api.domain",
"subdomain": "litesse6379",
"top_level_domain": "domain"
},
"source": {
"ip": [
"10.150.92.220"
],
"port": 7178
},
"tags": [
"preserve_original_event",
"fortinet-clientendpoint",
"forwarded"
],
"user": {
"name": "sumdo"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
client.domain |
客户端系统的域名。此值可能是主机名、完全限定的域名或其他主机命名格式。该值可能来自原始事件或从富化添加。 |
关键字 |
client.registered_domain |
最高级别的注册客户端域,已去除子域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后两个标签来近似此值,对于诸如“co.uk”之类的 TLD 将无法很好地工作。 |
关键字 |
client.subdomain |
完全限定域名的子域部分包括注册域下所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,子域将包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
client.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
cloud.account.id |
云账户或组织 ID,用于在多租户环境中标识不同的实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
cloud.availability_zone |
此主机运行所在的可用区。 |
关键字 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
cloud.project.id |
Google Cloud 中项目的名称。 |
关键字 |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
cloud.region |
此主机运行所在的区域。 |
关键字 |
container.id |
唯一的容器 ID。 |
关键字 |
container.image.name |
构建容器所基于的镜像名称。 |
关键字 |
container.labels |
镜像标签。 |
对象 |
container.name |
容器名称。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 unix 套接字。您应始终将原始地址存储在 |
关键字 |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。 |
长整型 |
destination.as.organization.name |
组织名称。 |
关键字 |
destination.as.organization.name.text |
|
仅匹配文本 |
destination.bytes |
从目标发送到源的字节数。 |
长整型 |
destination.domain |
目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可以来自原始事件,也可以通过扩充添加。 |
关键字 |
destination.geo.city_name |
城市名称。 |
关键字 |
destination.geo.country_name |
国家/地区名称。 |
关键字 |
destination.geo.location |
经度和纬度。 |
地理点 |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.mac |
目标的 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
destination.nat.ip |
基于 NAT 会话的目标转换 IP(例如,从互联网到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。 |
ip |
destination.nat.port |
源会话由 NAT 设备转换成的端口。通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
destination.port |
目标的端口。 |
长整型 |
destination.registered_domain |
最高级别的注册目标域,已去除子域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后两个标签来近似此值,对于诸如“co.uk”之类的 TLD 将无法很好地工作。 |
关键字 |
destination.subdomain |
完全限定域名的子域部分包括注册域下所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,子域将包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
destination.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
dns.answers.name |
此资源记录所属的域名。如果要解析 CNAME 链,则每个答案的 |
关键字 |
dns.answers.type |
此资源记录中包含的数据类型。 |
关键字 |
dns.question.domain |
服务器域。 |
关键字 |
dns.question.registered_domain |
最高级别的注册域,已去除子域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后两个标签来近似此值,对于诸如“co.uk”之类的 TLD 将无法很好地工作。 |
关键字 |
dns.question.subdomain |
子域是注册域下的所有标签。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
dns.question.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
dns.question.type |
正在查询的记录的类型。 |
关键字 |
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
error.message |
错误消息。 |
仅匹配文本 |
event.action |
事件捕获的操作。这描述了事件中的信息。它比 |
关键字 |
event.code |
此事件的标识代码(如果存在)。某些事件源使用事件代码来明确标识消息,无论消息语言或措辞随时间如何调整。Windows 事件 ID 就是一个例子。 |
关键字 |
event.dataset |
事件数据集 |
常量关键字 |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
日期 |
event.module |
事件模块 |
常量关键字 |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或者在需要完整日志消息(将其拆分为多个部分之前)的情况下,例如,对于重新索引。此字段未索引,并且禁用 doc_values。它无法搜索,但可以从 |
关键字 |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
关键字 |
event.timezone |
当事件的时间戳不包含时区信息时(例如,默认的 Syslog 时间戳),应填充此字段。否则,它是可选的。可接受的时区格式为:规范 ID(例如,“Europe/Amsterdam”)、缩写(例如,“EST”)或 HH:mm 差值(例如,“-05:00”)。 |
关键字 |
file.attributes |
文件属性的数组。属性名称将因平台而异。以下是此字段中预期的值的非详尽列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。 |
关键字 |
file.directory |
文件所在的目录。应包括驱动器盘符(如果适用)。 |
关键字 |
file.extension |
文件扩展名,不包括前导点。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 |
关键字 |
file.name |
文件名,包括扩展名,不包括目录。 |
关键字 |
file.path |
文件的完整路径,包括文件名。应包括驱动器盘符(如果适用)。 |
关键字 |
file.path.text |
|
仅匹配文本 |
file.size |
文件大小,以字节为单位。仅当 |
长整型 |
file.type |
文件类型(file、dir 或 symlink)。 |
关键字 |
geo.city_name |
城市名称。 |
关键字 |
geo.country_name |
国家/地区名称。 |
关键字 |
geo.name |
用户定义的位置描述,粒度级别由用户决定。可以是数据中心的名称、楼层号(如果描述的是本地物理实体)、城市名称。通常不用于自动地理定位。 |
关键字 |
geo.region_name |
地区名称。 |
关键字 |
group.id |
系统/平台上组的唯一标识符。 |
关键字 |
group.name |
组的名称。 |
关键字 |
host.architecture |
操作系统架构。 |
关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。 |
关键字 |
host.hostname |
主机的hostname。它通常包含主机上的 |
关键字 |
host.id |
唯一主机 ID。由于主机名并非始终唯一,请使用在您的环境中具有意义的值。例如:当前 |
关键字 |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
host.name |
主机的名称。它可以包含 Unix 系统上的 |
关键字 |
host.os.build |
OS 构建信息。 |
关键字 |
host.os.codename |
OS 代码名称(如果有)。 |
关键字 |
host.os.family |
OS 系列(例如 redhat、debian、freebsd、windows)。 |
关键字 |
host.os.kernel |
操作系统内核版本,以原始字符串形式表示。 |
关键字 |
host.os.name |
操作系统名称,不含版本。 |
关键字 |
host.os.name.text |
|
文本 |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
host.os.version |
操作系统版本,以原始字符串形式表示。 |
关键字 |
host.type |
主机类型。对于云提供商,这可以是诸如 |
关键字 |
http.request.method |
HTTP 请求方法。该值应保留其来自原始事件的大小写。例如, |
关键字 |
http.request.referrer |
此 HTTP 请求的引用。 |
关键字 |
input.type |
Filebeat 输入类型。 |
关键字 |
log.file.path |
此事件来自的日志文件的完整路径。 |
关键字 |
log.flags |
日志文件的标志。 |
关键字 |
log.level |
日志事件的原始日志级别。如果事件源提供日志级别或文本严重性,则此级别或文本将进入 |
关键字 |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
log.source.address |
读取/发送日志事件的源地址。 |
关键字 |
log.syslog.facility.code |
日志事件的 Syslog 数字设备(如果可用)。根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。 |
长整型 |
log.syslog.priority |
事件的 Syslog 数字优先级(如果可用)。根据 RFC 5424 和 3164,优先级为 8 * 设备 + 严重性。因此,该数字应包含 0 到 191 之间的值。 |
长整型 |
log.syslog.severity.code |
日志事件的 Syslog 数字严重性(如果可用)。如果通过 Syslog 发布事件源提供了不同的数字严重性值(例如,防火墙、IDS),则源的数字严重性应进入 |
长整型 |
message |
对于日志事件,message 字段包含日志消息,已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多条消息,可以将它们合并为一条消息。 |
仅匹配文本 |
network.application |
当从网络连接详细信息(源/目标 IP、端口、证书或线路格式)中识别出特定应用程序或服务时,此字段捕获应用程序或服务的名称。例如,原始事件标识来自 |
关键字 |
network.bytes |
在两个方向上传输的总字节数。如果 |
长整型 |
network.direction |
网络流量的方向。在映射基于主机的监控上下文中的事件时,请从主机的角度使用值“ingress”或“egress”填充此字段。在映射基于网络或边界的监控上下文中的事件时,请从网络边界的角度使用值“inbound”、“outbound”、“internal”或“external”填充此字段。请注意,“internal”不会跨越边界,而是用来描述边界内两个主机之间的通信。另请注意,“external”用来描述两个边界外部主机之间的流量。例如,这对 ISP 或 VPN 服务提供商可能很有用。 |
关键字 |
network.forwarded_ip |
当源 IP 地址为代理时的主机 IP 地址。 |
ip |
network.interface.name |
关键字 |
|
network.packets |
在两个方向上传输的总数据包数。如果 |
长整型 |
network.protocol |
在 OSI 模型中,这应该是应用层协议。例如, |
关键字 |
observer.egress.interface.name |
系统报告的接口名称。 |
关键字 |
observer.ingress.interface.name |
系统报告的接口名称。 |
关键字 |
observer.product |
观察者的产品名称。 |
关键字 |
observer.type |
数据来源的观察者的类型。没有预定义的观察者类型列表。一些示例包括 |
关键字 |
observer.vendor |
观察者的供应商名称。 |
关键字 |
observer.version |
观察者版本。 |
关键字 |
process.name |
进程名称。有时称为程序名称或类似名称。 |
关键字 |
process.name.text |
|
仅匹配文本 |
process.parent.name |
进程名称。有时称为程序名称或类似名称。 |
关键字 |
process.parent.name.text |
|
仅匹配文本 |
process.parent.pid |
进程 ID。 |
长整型 |
process.parent.title |
进程标题。proctitle,有时与进程名称相同。也可以不同:例如,浏览器将其标题设置为当前打开的网页。 |
关键字 |
process.parent.title.text |
|
仅匹配文本 |
process.pid |
进程 ID。 |
长整型 |
process.title |
进程标题。proctitle,有时与进程名称相同。也可以不同:例如,浏览器将其标题设置为当前打开的网页。 |
关键字 |
process.title.text |
|
仅匹配文本 |
related.hosts |
在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 |
关键字 |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
在事件中看到的所有用户名或其他用户标识符。 |
关键字 |
rsa.counters.dclass_c1 |
这是一个通用计数器键,应仅与标签 dclass.c1.str 一起使用 |
长整型 |
rsa.counters.dclass_c1_str |
这是一个通用的计数器字符串键,应该只与标签 dclass.c1 一起使用 |
关键字 |
rsa.counters.dclass_c2 |
这是一个通用的计数器键,应该只与标签 dclass.c2.str 一起使用 |
长整型 |
rsa.counters.dclass_c2_str |
这是一个通用的计数器字符串键,应该只与标签 dclass.c2 一起使用 |
关键字 |
rsa.counters.dclass_c3 |
这是一个通用的计数器键,应该只与标签 dclass.c3.str 一起使用 |
长整型 |
rsa.counters.dclass_c3_str |
这是一个通用的计数器字符串键,应该只与标签 dclass.c3 一起使用 |
关键字 |
rsa.counters.dclass_r1 |
这是一个通用的比率键,应该只与标签 dclass.r1.str 一起使用 |
关键字 |
rsa.counters.dclass_r1_str |
这是一个通用的比率字符串键,应该只与标签 dclass.r1 一起使用 |
关键字 |
rsa.counters.dclass_r2 |
这是一个通用的比率键,应该只与标签 dclass.r2.str 一起使用 |
关键字 |
rsa.counters.dclass_r2_str |
这是一个通用的比率字符串键,应该只与标签 dclass.r2 一起使用 |
关键字 |
rsa.counters.dclass_r3 |
这是一个通用的比率键,应该只与标签 dclass.r3.str 一起使用 |
关键字 |
rsa.counters.dclass_r3_str |
这是一个通用的比率字符串键,应该只与标签 dclass.r3 一起使用 |
关键字 |
rsa.counters.event_counter |
用于捕获事件重复的次数 |
长整型 |
rsa.crypto.cert_ca |
此键仅用于捕获证书签名机构 |
关键字 |
rsa.crypto.cert_checksum |
关键字 |
|
rsa.crypto.cert_common |
此键仅用于捕获证书通用名称 |
关键字 |
rsa.crypto.cert_error |
此键捕获证书错误字符串 |
关键字 |
rsa.crypto.cert_host_cat |
此键用于证书的主机名类别值 |
关键字 |
rsa.crypto.cert_host_name |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.crypto.cert_issuer |
关键字 |
|
rsa.crypto.cert_keysize |
关键字 |
|
rsa.crypto.cert_serial |
此键仅用于捕获证书序列号 |
关键字 |
rsa.crypto.cert_status |
此键捕获证书验证状态 |
关键字 |
rsa.crypto.cert_subject |
此键仅用于捕获证书组织 |
关键字 |
rsa.crypto.cert_username |
关键字 |
|
rsa.crypto.cipher_dst |
此键用于目标(服务器)密码 |
关键字 |
rsa.crypto.cipher_size_dst |
此键捕获目标(服务器)密码大小 |
长整型 |
rsa.crypto.cipher_size_src |
此键捕获源(客户端)密码大小 |
长整型 |
rsa.crypto.cipher_src |
此键用于源(客户端)密码 |
关键字 |
rsa.crypto.crypto |
此键仅用于捕获加密类型或加密密钥 |
关键字 |
rsa.crypto.d_certauth |
关键字 |
|
rsa.crypto.https_insact |
关键字 |
|
rsa.crypto.https_valid |
关键字 |
|
rsa.crypto.ike |
IKE 协商阶段。 |
关键字 |
rsa.crypto.ike_cookie1 |
协商的 ID — 为 ISAKMP 第一阶段发送 |
关键字 |
rsa.crypto.ike_cookie2 |
协商的 ID — 为 ISAKMP 第二阶段发送 |
关键字 |
rsa.crypto.peer |
此键用于加密对等方的 IP 地址 |
关键字 |
rsa.crypto.peer_id |
此键用于加密对等方的身份 |
关键字 |
rsa.crypto.s_certauth |
关键字 |
|
rsa.crypto.scheme |
此键捕获使用的加密方案 |
关键字 |
rsa.crypto.sig_type |
此键捕获签名类型 |
关键字 |
rsa.crypto.ssl_ver_dst |
已弃用,请使用 version |
关键字 |
rsa.crypto.ssl_ver_src |
已弃用,请使用 version |
关键字 |
rsa.db.database |
此键用于捕获会话中看到的数据库或实例的名称 |
关键字 |
rsa.db.db_id |
此键用于捕获数据库的唯一标识符 |
关键字 |
rsa.db.db_pid |
此键捕获与数据库服务器连接的进程 ID |
长整型 |
rsa.db.index |
此键捕获索引的 IndexID。 |
关键字 |
rsa.db.instance |
此键用于捕获数据库服务器实例名称 |
关键字 |
rsa.db.lread |
此键用于逻辑读取次数 |
长整型 |
rsa.db.lwrite |
此键用于逻辑写入次数 |
长整型 |
rsa.db.permissions |
此键捕获分配给资源的权限或特权级别。 |
关键字 |
rsa.db.pread |
此键用于物理写入次数 |
长整型 |
rsa.db.table_name |
此键用于捕获表名称 |
关键字 |
rsa.db.transact_id |
此键捕获当前会话的 SQL 事务 ID |
关键字 |
rsa.email.email |
此键用于捕获通用电子邮件地址,其中源或目标上下文不明确 |
关键字 |
rsa.email.email_dst |
此键仅用于捕获目标电子邮件地址,当目标上下文不明确时,请使用 email |
关键字 |
rsa.email.email_src |
此键仅用于捕获源电子邮件地址,当源上下文不明确时,请使用 email |
关键字 |
rsa.email.subject |
此键仅用于捕获来自电子邮件的主题字符串。 |
关键字 |
rsa.email.trans_from |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.email.trans_to |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.endpoint.host_state |
此键用于捕获计算机的当前状态,例如 <strong>已列入黑名单</strong>、<strong>已感染</strong>、<strong>防火墙已禁用</strong> 等 |
关键字 |
rsa.endpoint.registry_key |
此键捕获注册表项的路径 |
关键字 |
rsa.endpoint.registry_value |
此键捕获注册表项中使用的值或修饰符 |
关键字 |
rsa.file.attachment |
此键捕获附件文件名 |
关键字 |
rsa.file.binary |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.file.directory_dst |
<span>此键用于捕获目标进程或文件的目录</span> |
关键字 |
rsa.file.directory_src |
此键用于捕获源进程或文件的目录 |
关键字 |
rsa.file.file_entropy |
用于捕获文件的熵值 |
double |
rsa.file.file_vendor |
用于捕获位于 version_info 中的文件公司名称 |
关键字 |
rsa.file.filename_dst |
用于捕获操作所针对的文件名 |
关键字 |
rsa.file.filename_src |
用于捕获执行操作的父文件名 |
关键字 |
rsa.file.filename_tmp |
关键字 |
|
rsa.file.filesystem |
关键字 |
|
rsa.file.privilege |
已弃用,请使用 permissions |
关键字 |
rsa.file.task_name |
用于捕获任务名称 |
关键字 |
rsa.healthcare.patient_fname |
此键仅用于名字,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.healthcare.patient_id |
此键捕获患者的唯一 ID |
关键字 |
rsa.healthcare.patient_lname |
此键仅用于姓氏,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.healthcare.patient_mname |
此键仅用于中间名,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.identity.accesses |
此键用于捕获访问对象时使用的实际特权 |
关键字 |
rsa.identity.auth_method |
此键仅用于捕获使用的身份验证方法 |
关键字 |
rsa.identity.dn |
X.500 (LDAP) 专有名称 |
关键字 |
rsa.identity.dn_dst |
在指示目标 dn 的上下文中使用 X.500 (LDAP) 专有名称 |
关键字 |
rsa.identity.dn_src |
在指示源 dn 的上下文中使用 X.500 (LDAP) 专有名称 |
关键字 |
rsa.identity.federated_idp |
此键是联合身份提供程序。这是提供身份验证的服务器。 |
关键字 |
rsa.identity.federated_sp |
此键是联合服务提供商。这是请求身份验证的应用程序。 |
关键字 |
rsa.identity.firstname |
此键仅用于名字,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.identity.host_role |
此键应仅用于捕获主机角色 |
关键字 |
rsa.identity.lastname |
此键仅用于姓氏,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.identity.ldap |
此键用于未解释的 LDAP 值。没有明确查询或响应上下文的 LDAP 值 |
关键字 |
rsa.identity.ldap_query |
此键是来自 LDAP 搜索的搜索条件 |
关键字 |
rsa.identity.ldap_response |
此键用于捕获来自 LDAP 搜索的结果 |
关键字 |
rsa.identity.logon_type |
此键用于捕获使用的登录方法类型。 |
关键字 |
rsa.identity.logon_type_desc |
此键用于捕获存储在元键 logon.type 中的整数登录类型的文本描述。 |
关键字 |
rsa.identity.middlename |
此键仅用于中间名,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.identity.org |
此键捕获用户组织 |
关键字 |
rsa.identity.owner |
用于捕获进程或服务运行的用户名,即任务的作者 |
关键字 |
rsa.identity.password |
此键用于在任何会话中看到的密码,纯文本或加密的密码 |
关键字 |
rsa.identity.profile |
此键用于捕获用户个人资料 |
关键字 |
rsa.identity.realm |
Radius 领域或类似的帐户分组 |
关键字 |
rsa.identity.service_account |
此键是 Windows 特定的键,用于捕获服务(在事件中引用)在其下运行的帐户名称。旧版用法 |
关键字 |
rsa.identity.user_dept |
仅用户部门名称 |
关键字 |
rsa.identity.user_role |
此键仅用于捕获用户的角色 |
关键字 |
rsa.identity.user_sid_dst |
此键捕获目标用户会话 ID |
关键字 |
rsa.identity.user_sid_src |
此键捕获源用户会话 ID |
关键字 |
rsa.internal.audit_class |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.cid |
这是用于标识 NetWitness Concentrator 的唯一标识符。此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.data |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.dead |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.device_class |
这是预定义的一组事件源分类下的日志事件源分类。此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.device_group |
此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.device_host |
这是将日志发送到 NetWitness 的日志事件源的主机名。此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.device_ip |
这是将日志发送到 NetWitness 的日志事件源的 IPv4 地址。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
ip |
rsa.internal.device_ipv6 |
这是将日志发送到 NetWitness 的日志事件源的 IPv6 地址。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
ip |
rsa.internal.device_type |
这是解析给定会话的日志解析器的名称。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.device_type_id |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.did |
这是用于标识 NetWitness 解码器的唯一标识符。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.entropy_req |
此键仅由熵解析器使用,元类型可以根据配置为 UInt16 或 Float32。 |
长整型 |
rsa.internal.entropy_res |
此键仅由熵解析器使用,元类型可以根据配置为 UInt16 或 Float32。 |
长整型 |
rsa.internal.entry |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.event_desc |
关键字 |
|
rsa.internal.event_name |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.feed_category |
用于捕获馈送的类别。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.feed_desc |
用于捕获馈送的描述。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.feed_name |
用于捕获馈送的名称。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.forward_ip |
此键用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV4 地址。 |
ip |
rsa.internal.forward_ipv6 |
此键用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV6 地址。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
ip |
rsa.internal.hcode |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.header_id |
这是标识解析特定日志会话的确切日志解析器标头定义的标头 ID 值。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.inode |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.lc_cid |
这是日志收集器的唯一标识符。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.lc_ctime |
这是在 NetWitness 日志收集器中收集日志的时间。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
日期 |
rsa.internal.level |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.mcb_req |
此键仅由熵解析器使用,最常见的字节请求只是对于每一侧(0 到 255)看到最多的字节。 |
长整型 |
rsa.internal.mcb_res |
此键仅由熵解析器使用,最常见的字节响应只是对于每一侧(0 到 255)看到最多的字节。 |
长整型 |
rsa.internal.mcbc_req |
此键仅由熵解析器使用,最常见的字节计数是在会话流中看到最常见的字节(以上)的次数。 |
长整型 |
rsa.internal.mcbc_res |
此键仅由熵解析器使用,最常见的字节计数是在会话流中看到最常见的字节(以上)的次数。 |
长整型 |
rsa.internal.medium |
此键用于标识它是日志/数据包会话还是第 2 层封装类型。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。32 = 日志,33 = 相关会话,< 32 是数据包会话 |
长整型 |
rsa.internal.message |
此键捕获即时消息的内容。 |
关键字 |
rsa.internal.messageid |
关键字 |
|
rsa.internal.msg |
此键用于捕获进入日志解码器的原始消息。 |
关键字 |
rsa.internal.msg_id |
这是标识解析特定日志会话的确切日志解析器定义的 Message ID1 值。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.msg_vid |
这是标识解析特定日志会话的确切日志解析器定义的 Message ID2 值。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.node_name |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.nwe_callback_id |
此键表示事件与端点相关。 |
关键字 |
rsa.internal.obj_id |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.obj_server |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.obj_val |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.parse_error |
这是一个特殊键,用于存储在解析日志会话时发现的任何元键验证错误。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.payload_req |
此键仅由熵解析器使用,有效负载大小指标是解析时每个会话侧的有效负载大小。但是,为了保持 |
长整型 |
rsa.internal.payload_res |
此键仅由熵解析器使用,有效负载大小指标是解析时每个会话侧的有效负载大小。但是,为了保持 |
长整型 |
rsa.internal.process_vid_dst |
端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示目标进程。 |
关键字 |
rsa.internal.process_vid_src |
端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示源进程。 |
关键字 |
rsa.internal.resource |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.resource_class |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.rid |
这是 NetWitness 解码器创建的远程会话的特殊 ID。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
长整型 |
rsa.internal.session_split |
此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.site |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.size |
这是 NetWitness 解码器看到的会话大小。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
长整型 |
rsa.internal.sourcefile |
这是可以导入 NetWitness 的日志文件或 PCAP 的名称。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.statement |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.time |
这是会话到达 NetWitness 解码器的时间。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
日期 |
rsa.internal.ubc_req |
此键仅由熵解析器使用,唯一字节计数是在每个流中看到的唯一字节数。256 表示至少看到了一次所有 0 到 255 的字节值。 |
长整型 |
rsa.internal.ubc_res |
此键仅由熵解析器使用,唯一字节计数是在每个流中看到的唯一字节数。256 表示至少看到了一次所有 0 到 255 的字节值。 |
长整型 |
rsa.internal.word |
Word Parsing 技术使用此项捕获未解析日志中每个单词的前 5 个字符。 |
关键字 |
rsa.investigations.analysis_file |
用于捕获文件分析中使用的所有指标。此键应用于捕获文件的分析。 |
关键字 |
rsa.investigations.analysis_service |
用于捕获服务分析中使用的所有指标。此键应用于捕获服务的分析。 |
关键字 |
rsa.investigations.analysis_session |
用于捕获会话分析中使用的所有指标。此键应用于捕获会话的分析。 |
关键字 |
rsa.investigations.boc |
用于捕获泄露行为。 |
关键字 |
rsa.investigations.ec_activity |
此键捕获特定事件活动(例如:注销)。 |
关键字 |
rsa.investigations.ec_outcome |
此键捕获特定事件的结果(例如:成功)。 |
关键字 |
rsa.investigations.ec_subject |
此键捕获特定事件的主题(例如:用户)。 |
关键字 |
rsa.investigations.ec_theme |
此键捕获特定事件的主题(例如:身份验证)。 |
关键字 |
rsa.investigations.eoc |
用于捕获泄露的促成因素。 |
关键字 |
rsa.investigations.event_cat |
此键捕获事件类别编号。 |
长整型 |
rsa.investigations.event_cat_name |
此键捕获与事件类别代码对应的事件类别名称。 |
关键字 |
rsa.investigations.event_vcat |
这是供应商提供的类别。当供应商采用自己的 event_category 分类法时,应使用此项。 |
关键字 |
rsa.investigations.inv_category |
用于捕获调查类别。 |
关键字 |
rsa.investigations.inv_context |
用于捕获调查上下文。 |
关键字 |
rsa.investigations.ioc |
此键捕获泄露指标。 |
关键字 |
rsa.misc.OS |
此键捕获操作系统的名称。 |
关键字 |
rsa.misc.acl_id |
关键字 |
|
rsa.misc.acl_op |
关键字 |
|
rsa.misc.acl_pos |
关键字 |
|
rsa.misc.acl_table |
关键字 |
|
rsa.misc.action |
关键字 |
|
rsa.misc.admin |
关键字 |
|
rsa.misc.agent_id |
此键用于捕获代理 ID。 |
关键字 |
rsa.misc.alarm_id |
关键字 |
|
rsa.misc.alarmname |
关键字 |
|
rsa.misc.alert_id |
已弃用,新的狩猎模型(inv.、ioc、boc、eoc、analysis。)。 |
关键字 |
rsa.misc.app_id |
关键字 |
|
rsa.misc.audit |
关键字 |
|
rsa.misc.audit_object |
关键字 |
|
rsa.misc.auditdata |
关键字 |
|
rsa.misc.autorun_type |
用于捕获自动运行类型。 |
关键字 |
rsa.misc.benchmark |
关键字 |
|
rsa.misc.bypass |
关键字 |
|
rsa.misc.cache |
关键字 |
|
rsa.misc.cache_hit |
关键字 |
|
rsa.misc.category |
此键用于捕获会话中由供应商提供的事件类别。 |
关键字 |
rsa.misc.cc_number |
仅限有效的信用卡号码。 |
长整型 |
rsa.misc.cefversion |
关键字 |
|
rsa.misc.cfg_attr |
关键字 |
|
rsa.misc.cfg_obj |
关键字 |
|
rsa.misc.cfg_path |
关键字 |
|
rsa.misc.change_attrib |
此键用于捕获会话中正在更改的属性的名称。 |
关键字 |
rsa.misc.change_new |
此键用于捕获会话中正在更改的属性的新值。 |
关键字 |
rsa.misc.change_old |
此键用于捕获会话中正在更改的属性的旧值。 |
关键字 |
rsa.misc.changes |
关键字 |
|
rsa.misc.checksum |
此键用于捕获实体(如文件或进程)的校验和或哈希值。当不清楚实体是操作的源还是目标时,应使用校验和而不是 checksum.src 或 checksum.dst。 |
关键字 |
rsa.misc.checksum_dst |
此键用于捕获目标实体(如进程或文件)的校验和或哈希值。 |
关键字 |
rsa.misc.checksum_src |
此键用于捕获源实体(如文件或进程)的校验和或哈希值。 |
关键字 |
rsa.misc.client |
此键用于仅捕获请求服务器资源的客户端应用程序的名称。有关捕获特定用户代理标识符或浏览器标识字符串的信息,请参见 user.agent 元键。 |
关键字 |
rsa.misc.client_ip |
关键字 |
|
rsa.misc.clustermembers |
关键字 |
|
rsa.misc.cmd |
关键字 |
|
rsa.misc.cn_acttimeout |
关键字 |
|
rsa.misc.cn_asn_src |
关键字 |
|
rsa.misc.cn_bgpv4nxthop |
关键字 |
|
rsa.misc.cn_ctr_dst_code |
关键字 |
|
rsa.misc.cn_dst_tos |
关键字 |
|
rsa.misc.cn_dst_vlan |
关键字 |
|
rsa.misc.cn_engine_id |
关键字 |
|
rsa.misc.cn_engine_type |
关键字 |
|
rsa.misc.cn_f_switch |
关键字 |
|
rsa.misc.cn_flowsampid |
关键字 |
|
rsa.misc.cn_flowsampintv |
关键字 |
|
rsa.misc.cn_flowsampmode |
关键字 |
|
rsa.misc.cn_inacttimeout |
关键字 |
|
rsa.misc.cn_inpermbyts |
关键字 |
|
rsa.misc.cn_inpermpckts |
关键字 |
|
rsa.misc.cn_invalid |
关键字 |
|
rsa.misc.cn_ip_proto_ver |
关键字 |
|
rsa.misc.cn_ipv4_ident |
关键字 |
|
rsa.misc.cn_l_switch |
关键字 |
|
rsa.misc.cn_log_did |
关键字 |
|
rsa.misc.cn_log_rid |
关键字 |
|
rsa.misc.cn_max_ttl |
关键字 |
|
rsa.misc.cn_maxpcktlen |
关键字 |
|
rsa.misc.cn_min_ttl |
关键字 |
|
rsa.misc.cn_minpcktlen |
关键字 |
|
rsa.misc.cn_mpls_lbl_1 |
关键字 |
|
rsa.misc.cn_mpls_lbl_10 |
关键字 |
|
rsa.misc.cn_mpls_lbl_2 |
关键字 |
|
rsa.misc.cn_mpls_lbl_3 |
关键字 |
|
rsa.misc.cn_mpls_lbl_4 |
关键字 |
|
rsa.misc.cn_mpls_lbl_5 |
关键字 |
|
rsa.misc.cn_mpls_lbl_6 |
关键字 |
|
rsa.misc.cn_mpls_lbl_7 |
关键字 |
|
rsa.misc.cn_mpls_lbl_8 |
关键字 |
|
rsa.misc.cn_mpls_lbl_9 |
关键字 |
|
rsa.misc.cn_mplstoplabel |
关键字 |
|
rsa.misc.cn_mplstoplabip |
关键字 |
|
rsa.misc.cn_mul_dst_byt |
关键字 |
|
rsa.misc.cn_mul_dst_pks |
关键字 |
|
rsa.misc.cn_muligmptype |
关键字 |
|
rsa.misc.cn_sampalgo |
关键字 |
|
rsa.misc.cn_sampint |
关键字 |
|
rsa.misc.cn_seqctr |
关键字 |
|
rsa.misc.cn_spackets |
关键字 |
|
rsa.misc.cn_src_tos |
关键字 |
|
rsa.misc.cn_src_vlan |
关键字 |
|
rsa.misc.cn_sysuptime |
关键字 |
|
rsa.misc.cn_template_id |
关键字 |
|
rsa.misc.cn_totbytsexp |
关键字 |
|
rsa.misc.cn_totflowexp |
关键字 |
|
rsa.misc.cn_totpcktsexp |
关键字 |
|
rsa.misc.cn_unixnanosecs |
关键字 |
|
rsa.misc.cn_v6flowlabel |
关键字 |
|
rsa.misc.cn_v6optheaders |
关键字 |
|
rsa.misc.code |
关键字 |
|
rsa.misc.command |
关键字 |
|
rsa.misc.comments |
日志消息中提供的注释信息 |
关键字 |
rsa.misc.comp_class |
关键字 |
|
rsa.misc.comp_name |
关键字 |
|
rsa.misc.comp_rbytes |
关键字 |
|
rsa.misc.comp_sbytes |
关键字 |
|
rsa.misc.comp_version |
此键捕获产品的子组件的版本级别。 |
关键字 |
rsa.misc.connection_id |
此键捕获连接 ID |
关键字 |
rsa.misc.content |
此键捕获协议头中的内容类型 |
关键字 |
rsa.misc.content_type |
此键仅用于捕获内容类型。 |
关键字 |
rsa.misc.content_version |
此键捕获签名或数据库内容的版本级别。 |
关键字 |
rsa.misc.context |
此键捕获为事件添加额外上下文的信息。 |
关键字 |
rsa.misc.context_subject |
此键用于审计上下文中,其中主体是被标识的对象 |
关键字 |
rsa.misc.context_target |
关键字 |
|
rsa.misc.count |
关键字 |
|
rsa.misc.cpu |
此键是记录事件执行中使用的 CPU 时间。 |
长整型 |
rsa.misc.cpu_data |
关键字 |
|
rsa.misc.criticality |
关键字 |
|
rsa.misc.cs_agency_dst |
关键字 |
|
rsa.misc.cs_analyzedby |
关键字 |
|
rsa.misc.cs_av_other |
关键字 |
|
rsa.misc.cs_av_primary |
关键字 |
|
rsa.misc.cs_av_secondary |
关键字 |
|
rsa.misc.cs_bgpv6nxthop |
关键字 |
|
rsa.misc.cs_bit9status |
关键字 |
|
rsa.misc.cs_context |
关键字 |
|
rsa.misc.cs_control |
关键字 |
|
rsa.misc.cs_data |
关键字 |
|
rsa.misc.cs_datecret |
关键字 |
|
rsa.misc.cs_dst_tld |
关键字 |
|
rsa.misc.cs_eth_dst_ven |
关键字 |
|
rsa.misc.cs_eth_src_ven |
关键字 |
|
rsa.misc.cs_event_uuid |
关键字 |
|
rsa.misc.cs_filetype |
关键字 |
|
rsa.misc.cs_fld |
关键字 |
|
rsa.misc.cs_if_desc |
关键字 |
|
rsa.misc.cs_if_name |
关键字 |
|
rsa.misc.cs_ip_next_hop |
关键字 |
|
rsa.misc.cs_ipv4dstpre |
关键字 |
|
rsa.misc.cs_ipv4srcpre |
关键字 |
|
rsa.misc.cs_lifetime |
关键字 |
|
rsa.misc.cs_log_medium |
关键字 |
|
rsa.misc.cs_loginname |
关键字 |
|
rsa.misc.cs_modulescore |
关键字 |
|
rsa.misc.cs_modulesign |
关键字 |
|
rsa.misc.cs_opswatresult |
关键字 |
|
rsa.misc.cs_payload |
关键字 |
|
rsa.misc.cs_registrant |
关键字 |
|
rsa.misc.cs_registrar |
关键字 |
|
rsa.misc.cs_represult |
关键字 |
|
rsa.misc.cs_rpayload |
关键字 |
|
rsa.misc.cs_sampler_name |
关键字 |
|
rsa.misc.cs_sourcemodule |
关键字 |
|
rsa.misc.cs_streams |
关键字 |
|
rsa.misc.cs_targetmodule |
关键字 |
|
rsa.misc.cs_v6nxthop |
关键字 |
|
rsa.misc.cs_whois_server |
关键字 |
|
rsa.misc.cs_yararesult |
关键字 |
|
rsa.misc.cve |
此键捕获 CVE(通用漏洞和披露)- 已知信息安全漏洞的标识符。 |
关键字 |
rsa.misc.data_type |
关键字 |
|
rsa.misc.description |
关键字 |
|
rsa.misc.device_name |
用于捕获与节点关联的设备的名称,例如:物理磁盘、打印机等 |
关键字 |
rsa.misc.devvendor |
关键字 |
|
rsa.misc.disposition |
此键捕获操作的最终状态。 |
关键字 |
rsa.misc.distance |
关键字 |
|
rsa.misc.doc_number |
此键捕获文件标识号 |
长整型 |
rsa.misc.dstburb |
关键字 |
|
rsa.misc.edomain |
关键字 |
|
rsa.misc.edomaub |
关键字 |
|
rsa.misc.ein_number |
仅限员工识别号 |
长整型 |
rsa.misc.error |
此键捕获所有不成功的错误代码或响应 |
关键字 |
rsa.misc.euid |
关键字 |
|
rsa.misc.event_category |
关键字 |
|
rsa.misc.event_computer |
此键是 Windows 独有的概念,其中此键用于捕获 Windows 日志中的完全限定域名。 |
关键字 |
rsa.misc.event_desc |
此键用于捕获直接可用或推断的事件描述 |
关键字 |
rsa.misc.event_id |
关键字 |
|
rsa.misc.event_log |
此键捕获事件日志的名称 |
关键字 |
rsa.misc.event_source |
此键捕获事件的来源,而不是主机名 |
关键字 |
rsa.misc.event_state |
此键捕获事件中引用的对象/项目的当前状态。描述正在进行的事件。 |
关键字 |
rsa.misc.event_type |
此键捕获事件源指定的事件类别类型。 |
关键字 |
rsa.misc.event_user |
此键是 Windows 独有的概念,其中此键用于捕获 Windows 日志中的域名和用户名的组合。 |
关键字 |
rsa.misc.expected_val |
此键捕获预期值(从生成日志的设备角度来看)。 |
关键字 |
rsa.misc.facility |
关键字 |
|
rsa.misc.facilityname |
关键字 |
|
rsa.misc.fcatnum |
此键捕获过滤器类别号。旧版用法 |
关键字 |
rsa.misc.filter |
此键捕获用于减少结果集的过滤器 |
关键字 |
rsa.misc.finterface |
关键字 |
|
rsa.misc.flags |
关键字 |
|
rsa.misc.forensic_info |
关键字 |
|
rsa.misc.found |
用于捕获正则表达式匹配的结果 |
关键字 |
rsa.misc.fresult |
此键捕获过滤器结果 |
长整型 |
rsa.misc.gaddr |
关键字 |
|
rsa.misc.group |
此键捕获组名称值 |
关键字 |
rsa.misc.group_id |
此键捕获组 ID 号(与组名称相关) |
关键字 |
rsa.misc.group_object |
此键捕获实体集合/分组。特定用法 |
关键字 |
rsa.misc.hardware_id |
此键用于捕获设备或系统的唯一标识符(不是 Mac 地址) |
关键字 |
rsa.misc.id3 |
关键字 |
|
rsa.misc.im_buddyid |
关键字 |
|
rsa.misc.im_buddyname |
关键字 |
|
rsa.misc.im_client |
关键字 |
|
rsa.misc.im_croomid |
关键字 |
|
rsa.misc.im_croomtype |
关键字 |
|
rsa.misc.im_members |
关键字 |
|
rsa.misc.im_userid |
关键字 |
|
rsa.misc.im_username |
关键字 |
|
rsa.misc.index |
关键字 |
|
rsa.misc.inout |
关键字 |
|
rsa.misc.ipkt |
关键字 |
|
rsa.misc.ipscat |
关键字 |
|
rsa.misc.ipspri |
关键字 |
|
rsa.misc.job_num |
此键捕获作业编号 |
关键字 |
rsa.misc.jobname |
关键字 |
|
rsa.misc.language |
用于捕获客户端支持的语言列表及其首选语言 |
关键字 |
rsa.misc.latitude |
关键字 |
|
rsa.misc.library |
此键用于捕获大型机设备中的库信息 |
关键字 |
rsa.misc.lifetime |
此键用于捕获会话生命周期(以秒为单位)。 |
长整型 |
rsa.misc.linenum |
关键字 |
|
rsa.misc.link |
此键用于链接会话。此键绝不应直接用于解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.misc.list_name |
关键字 |
|
rsa.misc.listnum |
此键用于捕获列表名称或列表编号,主要用于收集访问列表 |
关键字 |
rsa.misc.load_data |
关键字 |
|
rsa.misc.location_floor |
关键字 |
|
rsa.misc.location_mark |
关键字 |
|
rsa.misc.log_id |
关键字 |
|
rsa.misc.log_session_id |
此键用于直接从会话中捕获会话 ID |
关键字 |
rsa.misc.log_session_id1 |
此键用于直接从会话中捕获链接的(相关的)会话 ID |
关键字 |
rsa.misc.log_type |
关键字 |
|
rsa.misc.logid |
关键字 |
|
rsa.misc.logip |
关键字 |
|
rsa.misc.logname |
关键字 |
|
rsa.misc.longitude |
关键字 |
|
rsa.misc.lport |
关键字 |
|
rsa.misc.mail_id |
此键用于捕获邮箱 ID/名称 |
关键字 |
rsa.misc.match |
此键用于来自 search.ini 的正则表达式匹配名称 |
关键字 |
rsa.misc.mbug_data |
关键字 |
|
rsa.misc.message_body |
此键捕获消息正文的内容。 |
关键字 |
rsa.misc.misc |
关键字 |
|
rsa.misc.misc_name |
关键字 |
|
rsa.misc.mode |
关键字 |
|
rsa.misc.msgIdPart1 |
关键字 |
|
rsa.misc.msgIdPart2 |
关键字 |
|
rsa.misc.msgIdPart3 |
关键字 |
|
rsa.misc.msgIdPart4 |
关键字 |
|
rsa.misc.msg_type |
关键字 |
|
rsa.misc.msgid |
关键字 |
|
rsa.misc.name |
关键字 |
|
rsa.misc.netsessid |
关键字 |
|
rsa.misc.node |
常见用例是集群中的节点名称。集群名称由主机名反映。 |
关键字 |
rsa.misc.ntype |
关键字 |
|
rsa.misc.num |
关键字 |
|
rsa.misc.number |
关键字 |
|
rsa.misc.number1 |
关键字 |
|
rsa.misc.number2 |
关键字 |
|
rsa.misc.nwwn |
关键字 |
|
rsa.misc.obj_name |
用于捕获对象名称 |
关键字 |
rsa.misc.obj_type |
用于捕获对象类型 |
关键字 |
rsa.misc.object |
关键字 |
|
rsa.misc.observed_val |
此键捕获观察到的值(从生成日志的设备角度来看)。 |
关键字 |
rsa.misc.operation |
关键字 |
|
rsa.misc.operation_id |
警报编号或操作编号。这些值应是唯一的且不重复的。 |
关键字 |
rsa.misc.opkt |
关键字 |
|
rsa.misc.orig_from |
关键字 |
|
rsa.misc.owner_id |
关键字 |
|
rsa.misc.p_action |
关键字 |
|
rsa.misc.p_filter |
关键字 |
|
rsa.misc.p_group_object |
关键字 |
|
rsa.misc.p_id |
关键字 |
|
rsa.misc.p_msgid |
关键字 |
|
rsa.misc.p_msgid1 |
关键字 |
|
rsa.misc.p_msgid2 |
关键字 |
|
rsa.misc.p_result1 |
关键字 |
|
rsa.misc.param |
此键是作为命令或应用程序等一部分传递的参数。 |
关键字 |
rsa.misc.param_dst |
此键捕获目标进程或文件的命令行/启动参数 |
关键字 |
rsa.misc.param_src |
此键捕获源参数 |
关键字 |
rsa.misc.parent_node |
此键捕获父节点名称。必须与节点变量相关。 |
关键字 |
rsa.misc.password_chg |
关键字 |
|
rsa.misc.password_expire |
关键字 |
|
rsa.misc.payload_dst |
此键用于捕获目标负载 |
关键字 |
rsa.misc.payload_src |
此键用于捕获源负载 |
关键字 |
rsa.misc.permgranted |
关键字 |
|
rsa.misc.permwanted |
关键字 |
|
rsa.misc.pgid |
关键字 |
|
rsa.misc.phone |
关键字 |
|
rsa.misc.pid |
关键字 |
|
rsa.misc.policy |
关键字 |
|
rsa.misc.policyUUID |
关键字 |
|
rsa.misc.policy_id |
此键仅用于捕获策略 ID,这应该是一个数值,否则请使用 policy.name |
关键字 |
rsa.misc.policy_name |
此键仅用于捕获策略名称。 |
关键字 |
rsa.misc.policy_value |
此键捕获策略的内容。其中包含有关策略的详细信息 |
关键字 |
rsa.misc.policy_waiver |
关键字 |
|
rsa.misc.pool_id |
此键捕获资源池的标识符(通常为数字字段) |
关键字 |
rsa.misc.pool_name |
此键捕获资源池的名称 |
关键字 |
rsa.misc.port_name |
此键用于物理或逻辑端口连接,但不包括网络端口。(示例:打印机端口名称)。 |
关键字 |
rsa.misc.priority |
关键字 |
|
rsa.misc.process_id_val |
当进程 ID 不是整数值时,此键是进程 ID 的失败键 |
关键字 |
rsa.misc.prog_asp_num |
关键字 |
|
rsa.misc.program |
关键字 |
|
rsa.misc.real_data |
关键字 |
|
rsa.misc.reason |
关键字 |
|
rsa.misc.rec_asp_device |
关键字 |
|
rsa.misc.rec_asp_num |
关键字 |
|
rsa.misc.rec_library |
关键字 |
|
rsa.misc.recordnum |
关键字 |
|
rsa.misc.reference_id |
此键用于直接从会话中捕获事件 ID |
关键字 |
rsa.misc.reference_id1 |
此键用于链接 ID,作为 "reference.id" 的补充 |
关键字 |
rsa.misc.reference_id2 |
此键用于第二个链接 ID。可以链接到 "reference.id" 或 "reference.id1" 值,但除非其他两个变量在起作用,否则不应使用。 |
关键字 |
rsa.misc.result |
此键用于捕获会话中操作的结果/结果字符串值。 |
关键字 |
rsa.misc.result_code |
此键用于捕获会话中操作的结果/结果数值 |
关键字 |
rsa.misc.risk |
此键捕获非数值风险值 |
关键字 |
rsa.misc.risk_info |
已弃用,请使用新的狩猎模型 (inv., ioc, boc, eoc, analysis.) |
关键字 |
rsa.misc.risk_num |
此键捕获数值风险值 |
double |
rsa.misc.risk_num_comm |
此键捕获风险编号社区 |
double |
rsa.misc.risk_num_next |
此键捕获风险编号 NextGen |
double |
rsa.misc.risk_num_sand |
此键捕获风险编号沙盒 |
double |
rsa.misc.risk_num_static |
此键捕获风险编号静态 |
double |
rsa.misc.risk_suspicious |
已弃用,请使用新的狩猎模型 (inv., ioc, boc, eoc, analysis.) |
关键字 |
rsa.misc.risk_warning |
已弃用,请使用新的狩猎模型 (inv., ioc, boc, eoc, analysis.) |
关键字 |
rsa.misc.ruid |
关键字 |
|
rsa.misc.rule |
此键捕获规则编号 |
关键字 |
rsa.misc.rule_group |
此键捕获规则组名称 |
关键字 |
rsa.misc.rule_name |
此键捕获规则名称 |
关键字 |
rsa.misc.rule_template |
一组默认参数,这些参数会叠加到规则(或规则名称)上,从而构成一个模板 |
关键字 |
rsa.misc.rule_uid |
此键是规则的唯一标识符。 |
关键字 |
rsa.misc.sburb |
关键字 |
|
rsa.misc.sdomain_fld |
关键字 |
|
rsa.misc.search_text |
此键捕获使用的搜索文本 |
关键字 |
rsa.misc.sec |
关键字 |
|
rsa.misc.second |
关键字 |
|
rsa.misc.sensor |
此键捕获传感器的名称。通常用于基于 IDS/IPS 的设备中 |
关键字 |
rsa.misc.sensorname |
关键字 |
|
rsa.misc.seqnum |
关键字 |
|
rsa.misc.serial_number |
此键是与物理资产关联的序列号。 |
关键字 |
rsa.misc.session |
关键字 |
|
rsa.misc.sessiontype |
关键字 |
|
rsa.misc.severity |
此键用于捕获会话的严重性 |
关键字 |
rsa.misc.sigUUID |
关键字 |
|
rsa.misc.sig_id |
此键捕获 IDS/IPS 入侵签名 ID |
长整型 |
rsa.misc.sig_id1 |
此键捕获 IDS/IPS 入侵签名 ID。这必须链接到 sig.id |
长整型 |
rsa.misc.sig_id_str |
此键捕获 sigid 变量的字符串对象。 |
关键字 |
rsa.misc.sig_name |
此键仅用于捕获签名名称。 |
关键字 |
rsa.misc.sigcat |
关键字 |
|
rsa.misc.snmp_oid |
SNMP 对象标识符 |
关键字 |
rsa.misc.snmp_value |
SNMP 设置请求值 |
关键字 |
rsa.misc.space |
关键字 |
|
rsa.misc.space1 |
关键字 |
|
rsa.misc.spi |
关键字 |
|
rsa.misc.spi_dst |
目标 SPI 索引 |
关键字 |
rsa.misc.spi_src |
源 SPI 索引 |
关键字 |
rsa.misc.sql |
此键捕获 SQL 查询 |
关键字 |
rsa.misc.srcburb |
关键字 |
|
rsa.misc.srcdom |
关键字 |
|
rsa.misc.srcservice |
关键字 |
|
rsa.misc.state |
关键字 |
|
rsa.misc.status |
关键字 |
|
rsa.misc.status1 |
关键字 |
|
rsa.misc.streams |
此键捕获会话中的流数 |
长整型 |
rsa.misc.subcategory |
关键字 |
|
rsa.misc.svcno |
关键字 |
|
rsa.misc.system |
关键字 |
|
rsa.misc.tbdstr1 |
关键字 |
|
rsa.misc.tbdstr2 |
关键字 |
|
rsa.misc.tcp_flags |
此键捕获会话中任何数据包中设置的 TCP 标志 |
长整型 |
rsa.misc.terminal |
此键仅捕获终端名称 |
关键字 |
rsa.misc.tgtdom |
关键字 |
|
rsa.misc.tgtdomain |
关键字 |
|
rsa.misc.threshold |
关键字 |
|
rsa.misc.tos |
此键描述服务类型 |
长整型 |
rsa.misc.trigger_desc |
此键捕获触发器或阈值条件的描述。 |
关键字 |
rsa.misc.trigger_val |
此键捕获触发器或阈值条件的值。 |
关键字 |
rsa.misc.type |
关键字 |
|
rsa.misc.type1 |
关键字 |
|
rsa.misc.udb_class |
关键字 |
|
rsa.misc.url_fld |
关键字 |
|
rsa.misc.user_div |
关键字 |
|
rsa.misc.userid |
关键字 |
|
rsa.misc.username_fld |
关键字 |
|
rsa.misc.utcstamp |
关键字 |
|
rsa.misc.v_instafname |
关键字 |
|
rsa.misc.version |
此键捕获生成事件的应用程序或操作系统的版本。 |
关键字 |
rsa.misc.virt_data |
关键字 |
|
rsa.misc.virusname |
此键捕获病毒的名称 |
关键字 |
rsa.misc.vm_target |
VMWare 目标 仅限 VMWARE 变量。 |
关键字 |
rsa.misc.vpnid |
关键字 |
|
rsa.misc.vsys |
此键捕获虚拟系统名称 |
关键字 |
rsa.misc.vuln_ref |
此键捕获漏洞参考详细信息 |
关键字 |
rsa.misc.workspace |
此键捕获工作区描述 |
关键字 |
rsa.network.ad_computer_dst |
已弃用,请使用 host.dst |
关键字 |
rsa.network.addr |
关键字 |
|
rsa.network.alias_host |
当主机名的源或目标上下文不明确时,应使用此键。它还捕获设备主机名。任何不是 ad.computer 的主机名。 |
关键字 |
rsa.network.dinterface |
此键仅应在它是目标接口时使用 |
关键字 |
rsa.network.dmask |
此键用于目标设备网络掩码 |
关键字 |
rsa.network.dns_a_record |
关键字 |
|
rsa.network.dns_cname_record |
关键字 |
|
rsa.network.dns_id |
关键字 |
|
rsa.network.dns_opcode |
关键字 |
|
rsa.network.dns_ptr_record |
关键字 |
|
rsa.network.dns_resp |
关键字 |
|
rsa.network.dns_type |
关键字 |
|
rsa.network.domain |
关键字 |
|
rsa.network.domain1 |
关键字 |
|
rsa.network.eth_host |
已弃用,请使用 alias.mac |
关键字 |
rsa.network.eth_type |
此键用于捕获以太网类型,仅用于第 3 层协议 |
长整型 |
rsa.network.faddr |
关键字 |
|
rsa.network.fhost |
关键字 |
|
rsa.network.fport |
关键字 |
|
rsa.network.gateway |
此键用于捕获网关的 IP 地址 |
关键字 |
rsa.network.host_dst |
此键仅应在它是目标主机名时使用 |
关键字 |
rsa.network.host_orig |
用于在转发代理或代理之间的情况下捕获原始主机名。 |
关键字 |
rsa.network.host_type |
关键字 |
|
rsa.network.icmp_code |
此键仅用于捕获 ICMP 代码 |
长整型 |
rsa.network.icmp_type |
此键仅用于捕获 ICMP 类型 |
长整型 |
rsa.network.interface |
当接口的源或目标上下文不明确时,应使用此键 |
关键字 |
rsa.network.ip_proto |
此键应用于捕获协议号,所有协议号在 UI 中都转换为字符串 |
长整型 |
rsa.network.laddr |
关键字 |
|
rsa.network.lhost |
关键字 |
|
rsa.network.linterface |
关键字 |
|
rsa.network.mask |
此键用于捕获设备网络 IP 掩码。 |
关键字 |
rsa.network.netname |
此键用于捕获与 IP 范围关联的网络名称。这是由最终用户配置的。 |
关键字 |
rsa.network.network_port |
已弃用,请使用 port。注意:当前使用的类型存在差异,TM:Int32,INDEX:UInt64(为什么两者都未选择正确的 UInt16?!) |
长整型 |
rsa.network.network_service |
用于捕获第 7 层协议/服务名称 |
关键字 |
rsa.network.origin |
关键字 |
|
rsa.network.packet_length |
关键字 |
|
rsa.network.paddr |
已弃用 |
ip |
rsa.network.phost |
关键字 |
|
rsa.network.port |
当方向性不明确时,此键仅应用于捕获网络端口 |
长整型 |
rsa.network.protocol_detail |
此键应用于捕获其他协议信息 |
关键字 |
rsa.network.remote_domain_id |
关键字 |
|
rsa.network.rpayload |
此键用于捕获在重新传输的数据包中看到的有效负载字节总数。 |
关键字 |
rsa.network.sinterface |
此键仅应在它是源接口时使用 |
关键字 |
rsa.network.smask |
此键用于捕获源网络掩码 |
关键字 |
rsa.network.vlan |
此键仅应用于捕获虚拟 LAN 的 ID |
长整型 |
rsa.network.vlan_name |
此键仅应用于捕获虚拟 LAN 的名称 |
关键字 |
rsa.network.zone |
当区域的源或目标上下文不明确时,应使用此键 |
关键字 |
rsa.network.zone_dst |
此键仅应在它是目标区域时使用。 |
关键字 |
rsa.network.zone_src |
此键仅应在它是源区域时使用。 |
关键字 |
rsa.physical.org_dst |
用于根据 GEOPIP Maxmind 数据库捕获目标组织。 |
关键字 |
rsa.physical.org_src |
用于根据 GEOPIP Maxmind 数据库捕获源组织。 |
关键字 |
rsa.storage.disk_volume |
分配给物理磁盘内逻辑单元(卷)的唯一名称 |
关键字 |
rsa.storage.lun |
逻辑单元号。此键是存储中非常有用的概念。 |
关键字 |
rsa.storage.pwwn |
这唯一标识 HBA 上的端口。 |
关键字 |
rsa.threat.alert |
此键用于捕获警报的名称 |
关键字 |
rsa.threat.threat_category |
此键捕获威胁名称/威胁类别/警报分类 |
关键字 |
rsa.threat.threat_desc |
此键用于直接或推断地捕获会话中的威胁描述 |
关键字 |
rsa.threat.threat_source |
此键用于捕获威胁的来源 |
关键字 |
rsa.time.date |
关键字 |
|
rsa.time.datetime |
关键字 |
|
rsa.time.day |
关键字 |
|
rsa.time.duration_str |
持续时间的文本字符串版本 |
关键字 |
rsa.time.duration_time |
此键用于捕获标准化的持续时间/生存时间(以秒为单位)。 |
double |
rsa.time.effective_time |
此键是标准时间戳格式的单个事件引用的有效时间 |
日期 |
rsa.time.endtime |
此键用于以标准形式捕获会话中提到的结束时间 |
日期 |
rsa.time.event_queue_time |
此键是事件排队的时间。 |
日期 |
rsa.time.event_time |
此键用于捕获原始会话中提到的时间,该时间以标准化的形式表示事件发生的实际时间 |
日期 |
rsa.time.event_time_str |
此键用于捕获会话中提到的不完整时间,以字符串形式 |
关键字 |
rsa.time.eventtime |
关键字 |
|
rsa.time.expire_time |
此键是明确引用到期的时间戳。 |
日期 |
rsa.time.expire_time_str |
此键用于捕获明确引用到期的不完整时间戳。 |
关键字 |
rsa.time.gmtdate |
关键字 |
|
rsa.time.gmttime |
关键字 |
|
rsa.time.hour |
关键字 |
|
rsa.time.min |
关键字 |
|
rsa.time.month |
关键字 |
|
rsa.time.p_date |
关键字 |
|
rsa.time.p_month |
关键字 |
|
rsa.time.p_time |
关键字 |
|
rsa.time.p_time1 |
关键字 |
|
rsa.time.p_time2 |
关键字 |
|
rsa.time.p_year |
关键字 |
|
rsa.time.process_time |
已弃用,请使用 duration.time |
关键字 |
rsa.time.recorded_time |
系统记录事件时收集的事件时间。 使用场景是多层应用程序,其中系统的管理层在从其子节点收集时记录自己的时间戳。 必须采用时间戳格式。 |
日期 |
rsa.time.stamp |
已弃用的键,仅在表映射中定义。 |
日期 |
rsa.time.starttime |
此键用于以标准形式捕获会话中提到的开始时间 |
日期 |
rsa.time.timestamp |
关键字 |
|
rsa.time.timezone |
此键用于捕获事件时间的时区 |
关键字 |
rsa.time.tzone |
关键字 |
|
rsa.time.year |
关键字 |
|
rsa.web.alias_host |
关键字 |
|
rsa.web.cn_asn_dst |
关键字 |
|
rsa.web.cn_rpackets |
关键字 |
|
rsa.web.fqdn |
完全限定域名 |
关键字 |
rsa.web.p_url |
关键字 |
|
rsa.web.p_user_agent |
关键字 |
|
rsa.web.p_web_cookie |
关键字 |
|
rsa.web.p_web_method |
关键字 |
|
rsa.web.p_web_referer |
关键字 |
|
rsa.web.remote_domain |
关键字 |
|
rsa.web.reputation_num |
实体的信誉编号。通常用于 Web 域 |
double |
rsa.web.urlpage |
关键字 |
|
rsa.web.urlroot |
关键字 |
|
rsa.web.web_cookie |
此键专门用于捕获 Web cookie。 |
关键字 |
rsa.web.web_extension_tmp |
关键字 |
|
rsa.web.web_page |
关键字 |
|
rsa.web.web_ref_domain |
Web 引荐来源的域 |
关键字 |
rsa.web.web_ref_page |
此键捕获 Web 引荐来源的页面信息 |
关键字 |
rsa.web.web_ref_query |
此键捕获 Web 引荐来源的 URL 的查询部分 |
关键字 |
rsa.web.web_ref_root |
Web 引荐来源的根 URL 路径 |
关键字 |
rsa.wireless.access_point |
此键用于捕获接入点名称。 |
关键字 |
rsa.wireless.wlan_channel |
用于捕获通道名称 |
长整型 |
rsa.wireless.wlan_name |
此键捕获 WLAN 编号/名称 |
关键字 |
rsa.wireless.wlan_ssid |
此键用于捕获无线会话的 ssid |
关键字 |
rule.name |
生成事件的规则或签名的名称。 |
关键字 |
server.domain |
服务器系统的域名。 此值可以是主机名、完全限定域名或其他主机命名格式。 该值可以来自原始事件或从富化中添加。 |
关键字 |
server.registered_domain |
最高的已注册服务器域,已去除子域。 例如,“foo.example.com”的已注册域是“example.com”。 可以使用诸如公共后缀列表(http://publicsuffix.org)之类的列表来精确确定此值。 尝试通过简单地取最后两个标签来近似处理此问题对于诸如“co.uk”之类的 TLD 将不起作用。 |
关键字 |
server.subdomain |
完全限定域名的子域部分包括注册域下所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,子域将包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
server.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
service.name |
从中收集服务数据的服务名称。服务名称通常由用户给定。这允许在多个主机上运行的分布式服务基于名称关联相关的实例。在 Elasticsearch 的情况下, |
关键字 |
source.address |
某些事件源地址的定义不明确。事件有时会列出 IP 地址、域名或 Unix 套接字。您应该始终将原始地址存储在 |
关键字 |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。 |
长整型 |
source.as.organization.name |
组织名称。 |
关键字 |
source.as.organization.name.text |
|
仅匹配文本 |
source.bytes |
从源发送到目标的字节数。 |
长整型 |
source.domain |
源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件,也可能来自富化。 |
关键字 |
source.geo.city_name |
城市名称。 |
关键字 |
source.geo.country_name |
国家/地区名称。 |
关键字 |
source.geo.location |
经度和纬度。 |
地理点 |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
ip |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
source.nat.ip |
基于 NAT 会话的源的转换 IP(例如,内部客户端到互联网)。通常是遍历负载均衡器、防火墙或路由器的连接。 |
ip |
source.nat.port |
基于 NAT 会话的源的转换端口。(例如,内部客户端到互联网)通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
source.port |
源的端口。 |
长整型 |
source.registered_domain |
最高的已注册源域名,已去除子域名。例如,“foo.example.com”的已注册域名是“example.com”。可以使用公共后缀列表 (http://publicsuffix.org) 等列表精确确定此值。尝试简单地取最后两个标签来近似此值对于“co.uk”等顶级域名效果不佳。 |
关键字 |
source.subdomain |
完全限定域名的子域部分包括注册域下所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,子域将包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
source.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
tags |
用于标记每个事件的关键字列表。 |
关键字 |
url.domain |
url 的域,例如 "https://elastic.ac.cn[www.elastic.co]"。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 |
关键字 |
url.original |
事件源中看到的未修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。 |
wildcard |
url.original.text |
|
仅匹配文本 |
url.path |
请求的路径,例如 "/search"。 |
wildcard |
url.query |
query 字段描述请求的查询字符串,例如“q=elasticsearch”。 |
关键字 |
url.registered_domain |
最高的已注册 URL 域名,已去除子域名。例如,“foo.example.com”的已注册域名是“example.com”。可以使用公共后缀列表 (http://publicsuffix.org) 等列表精确确定此值。尝试简单地取最后两个标签来近似此值对于“co.uk”等顶级域名效果不佳。 |
关键字 |
url.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
user.domain |
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。 |
关键字 |
user.full_name |
用户的全名(如果可用)。 |
关键字 |
user.full_name.text |
|
仅匹配文本 |
user.id |
用户的唯一标识符。 |
关键字 |
user.name |
用户的简称或登录名。 |
关键字 |
user.name.text |
|
仅匹配文本 |
user_agent.original |
未解析的 user_agent 字符串。 |
关键字 |
user_agent.original.text |
|
仅匹配文本 |
Fortimail
编辑fortimail 数据集收集 Fortinet FortiMail 日志。
示例
fortimail 的示例事件如下所示
{
"@timestamp": "2016-01-29T06:09:59.000Z",
"agent": {
"ephemeral_id": "821504b9-6e80-4572-aae7-c5bb3cf38906",
"id": "4e3f135a-d5f9-40b6-ae01-2c834ecbead0",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.0.0"
},
"data_stream": {
"dataset": "fortinet.fortimail",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.3.0"
},
"elastic_agent": {
"id": "4e3f135a-d5f9-40b6-ae01-2c834ecbead0",
"snapshot": true,
"version": "8.0.0"
},
"event": {
"action": "event",
"agent_id_status": "verified",
"code": "nes",
"dataset": "fortinet.fortimail",
"ingested": "2022-01-25T12:29:32Z",
"original": "date=2016-1-29 time=06:09:59 device_id=pexe log_id=nes log_part=eab type=event subtype=update pri=high msg=\"boNemoe\"\n",
"timezone": "+00:00"
},
"input": {
"type": "udp"
},
"log": {
"level": "high",
"source": {
"address": "172.30.0.4:44540"
}
},
"observer": {
"product": "FortiMail",
"type": "Firewall",
"vendor": "Fortinet"
},
"rsa": {
"internal": {
"event_desc": "boNemoe",
"messageid": "event_update"
},
"misc": {
"category": "update",
"event_type": "event",
"hardware_id": "pexe",
"msgIdPart1": "event",
"msgIdPart2": "update",
"reference_id": "nes",
"reference_id1": "eab",
"severity": "high"
},
"time": {
"event_time": "2016-01-29T06:09:59.000Z"
}
},
"tags": [
"preserve_original_event",
"fortinet-fortimail",
"forwarded"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
client.domain |
客户端系统的域名。此值可能是主机名、完全限定的域名或其他主机命名格式。该值可能来自原始事件或从富化添加。 |
关键字 |
client.registered_domain |
最高级别的注册客户端域,已去除子域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后两个标签来近似此值,对于诸如“co.uk”之类的 TLD 将无法很好地工作。 |
关键字 |
client.subdomain |
完全限定域名的子域部分包括注册域下所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,子域将包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
client.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
cloud.account.id |
云账户或组织 ID,用于在多租户环境中标识不同的实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
cloud.availability_zone |
此主机运行所在的可用区。 |
关键字 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
cloud.project.id |
Google Cloud 中项目的名称。 |
关键字 |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
cloud.region |
此主机运行所在的区域。 |
关键字 |
container.id |
唯一的容器 ID。 |
关键字 |
container.image.name |
构建容器所基于的镜像名称。 |
关键字 |
container.labels |
镜像标签。 |
对象 |
container.name |
容器名称。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 unix 套接字。您应始终将原始地址存储在 |
关键字 |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。 |
长整型 |
destination.as.organization.name |
组织名称。 |
关键字 |
destination.as.organization.name.text |
|
仅匹配文本 |
destination.bytes |
从目标发送到源的字节数。 |
长整型 |
destination.domain |
目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可以来自原始事件,也可以通过扩充添加。 |
关键字 |
destination.geo.city_name |
城市名称。 |
关键字 |
destination.geo.country_name |
国家/地区名称。 |
关键字 |
destination.geo.location |
经度和纬度。 |
地理点 |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.mac |
目标的 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
destination.nat.ip |
基于 NAT 会话的目标转换 IP(例如,从互联网到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。 |
ip |
destination.nat.port |
源会话由 NAT 设备转换成的端口。通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
destination.port |
目标的端口。 |
长整型 |
destination.registered_domain |
最高级别的注册目标域,已去除子域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后两个标签来近似此值,对于诸如“co.uk”之类的 TLD 将无法很好地工作。 |
关键字 |
destination.subdomain |
完全限定域名的子域部分包括注册域下所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,子域将包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
destination.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
dns.answers.name |
此资源记录所属的域名。如果要解析 CNAME 链,则每个答案的 |
关键字 |
dns.answers.type |
此资源记录中包含的数据类型。 |
关键字 |
dns.question.domain |
服务器域。 |
关键字 |
dns.question.registered_domain |
最高级别的注册域,已去除子域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后两个标签来近似此值,对于诸如“co.uk”之类的 TLD 将无法很好地工作。 |
关键字 |
dns.question.subdomain |
子域是注册域下的所有标签。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
dns.question.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
dns.question.type |
正在查询的记录的类型。 |
关键字 |
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
error.message |
错误消息。 |
仅匹配文本 |
event.action |
事件捕获的操作。这描述了事件中的信息。它比 |
关键字 |
event.code |
此事件的标识代码(如果存在)。某些事件源使用事件代码来明确标识消息,无论消息语言或措辞随时间如何调整。Windows 事件 ID 就是一个例子。 |
关键字 |
event.dataset |
事件数据集 |
常量关键字 |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
日期 |
event.module |
事件模块 |
常量关键字 |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或者在需要完整日志消息(将其拆分为多个部分之前)的情况下,例如,对于重新索引。此字段未索引,并且禁用 doc_values。它无法搜索,但可以从 |
关键字 |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
关键字 |
event.timezone |
当事件的时间戳不包含时区信息时(例如,默认的 Syslog 时间戳),应填充此字段。否则,它是可选的。可接受的时区格式为:规范 ID(例如,“Europe/Amsterdam”)、缩写(例如,“EST”)或 HH:mm 差值(例如,“-05:00”)。 |
关键字 |
file.attributes |
文件属性的数组。属性名称将因平台而异。以下是此字段中预期的值的非详尽列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。 |
关键字 |
file.directory |
文件所在的目录。应包括驱动器盘符(如果适用)。 |
关键字 |
file.extension |
文件扩展名,不包括前导点。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 |
关键字 |
file.name |
文件名,包括扩展名,不包括目录。 |
关键字 |
file.path |
文件的完整路径,包括文件名。应包括驱动器盘符(如果适用)。 |
关键字 |
file.path.text |
|
仅匹配文本 |
file.size |
文件大小,以字节为单位。仅当 |
长整型 |
file.type |
文件类型(file、dir 或 symlink)。 |
关键字 |
geo.city_name |
城市名称。 |
关键字 |
geo.country_name |
国家/地区名称。 |
关键字 |
geo.name |
用户定义的位置描述,粒度级别由用户决定。可以是数据中心的名称、楼层号(如果描述的是本地物理实体)、城市名称。通常不用于自动地理定位。 |
关键字 |
geo.region_name |
地区名称。 |
关键字 |
group.id |
系统/平台上组的唯一标识符。 |
关键字 |
group.name |
组的名称。 |
关键字 |
host.architecture |
操作系统架构。 |
关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。 |
关键字 |
host.hostname |
主机的hostname。它通常包含主机上的 |
关键字 |
host.id |
唯一主机 ID。由于主机名并非始终唯一,请使用在您的环境中具有意义的值。例如:当前 |
关键字 |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
host.name |
主机的名称。它可以包含 Unix 系统上的 |
关键字 |
host.os.build |
OS 构建信息。 |
关键字 |
host.os.codename |
OS 代码名称(如果有)。 |
关键字 |
host.os.family |
OS 系列(例如 redhat、debian、freebsd、windows)。 |
关键字 |
host.os.kernel |
操作系统内核版本,以原始字符串形式表示。 |
关键字 |
host.os.name |
操作系统名称,不含版本。 |
关键字 |
host.os.name.text |
|
文本 |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
host.os.version |
操作系统版本,以原始字符串形式表示。 |
关键字 |
host.type |
主机类型。对于云提供商,这可以是诸如 |
关键字 |
http.request.method |
HTTP 请求方法。该值应保留其来自原始事件的大小写。例如, |
关键字 |
http.request.referrer |
此 HTTP 请求的引用。 |
关键字 |
input.type |
Filebeat 输入类型。 |
关键字 |
log.file.path |
此事件来自的日志文件的完整路径。 |
关键字 |
log.flags |
日志文件的标志。 |
关键字 |
log.level |
日志事件的原始日志级别。如果事件源提供日志级别或文本严重性,则此级别或文本将进入 |
关键字 |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
log.source.address |
读取/发送日志事件的源地址。 |
关键字 |
log.syslog.facility.code |
日志事件的 Syslog 数字设备(如果可用)。根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。 |
长整型 |
log.syslog.priority |
事件的 Syslog 数字优先级(如果可用)。根据 RFC 5424 和 3164,优先级为 8 * 设备 + 严重性。因此,该数字应包含 0 到 191 之间的值。 |
长整型 |
log.syslog.severity.code |
日志事件的 Syslog 数字严重性(如果可用)。如果通过 Syslog 发布事件源提供了不同的数字严重性值(例如,防火墙、IDS),则源的数字严重性应进入 |
长整型 |
message |
对于日志事件,message 字段包含日志消息,已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多条消息,可以将它们合并为一条消息。 |
仅匹配文本 |
network.application |
当从网络连接详细信息(源/目标 IP、端口、证书或线路格式)中识别出特定应用程序或服务时,此字段捕获应用程序或服务的名称。例如,原始事件标识来自 |
关键字 |
network.bytes |
在两个方向上传输的总字节数。如果 |
长整型 |
network.direction |
网络流量的方向。在映射基于主机的监控上下文中的事件时,请从主机的角度使用值“ingress”或“egress”填充此字段。在映射基于网络或边界的监控上下文中的事件时,请从网络边界的角度使用值“inbound”、“outbound”、“internal”或“external”填充此字段。请注意,“internal”不会跨越边界,而是用来描述边界内两个主机之间的通信。另请注意,“external”用来描述两个边界外部主机之间的流量。例如,这对 ISP 或 VPN 服务提供商可能很有用。 |
关键字 |
network.forwarded_ip |
当源 IP 地址为代理时的主机 IP 地址。 |
ip |
network.interface.name |
关键字 |
|
network.packets |
在两个方向上传输的总数据包数。如果 |
长整型 |
network.protocol |
在 OSI 模型中,这应该是应用层协议。例如, |
关键字 |
observer.egress.interface.name |
系统报告的接口名称。 |
关键字 |
observer.ingress.interface.name |
系统报告的接口名称。 |
关键字 |
observer.product |
观察者的产品名称。 |
关键字 |
observer.type |
数据来源的观察者的类型。没有预定义的观察者类型列表。一些示例包括 |
关键字 |
observer.vendor |
观察者的供应商名称。 |
关键字 |
observer.version |
观察者版本。 |
关键字 |
process.name |
进程名称。有时称为程序名称或类似名称。 |
关键字 |
process.name.text |
|
仅匹配文本 |
process.parent.name |
进程名称。有时称为程序名称或类似名称。 |
关键字 |
process.parent.name.text |
|
仅匹配文本 |
process.parent.pid |
进程 ID。 |
长整型 |
process.parent.title |
进程标题。proctitle,有时与进程名称相同。也可以不同:例如,浏览器将其标题设置为当前打开的网页。 |
关键字 |
process.parent.title.text |
|
仅匹配文本 |
process.pid |
进程 ID。 |
长整型 |
process.title |
进程标题。proctitle,有时与进程名称相同。也可以不同:例如,浏览器将其标题设置为当前打开的网页。 |
关键字 |
process.title.text |
|
仅匹配文本 |
related.hosts |
在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 |
关键字 |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
在事件中看到的所有用户名或其他用户标识符。 |
关键字 |
rsa.counters.dclass_c1 |
这是一个通用计数器键,应仅与标签 dclass.c1.str 一起使用 |
长整型 |
rsa.counters.dclass_c1_str |
这是一个通用的计数器字符串键,应该只与标签 dclass.c1 一起使用 |
关键字 |
rsa.counters.dclass_c2 |
这是一个通用的计数器键,应该只与标签 dclass.c2.str 一起使用 |
长整型 |
rsa.counters.dclass_c2_str |
这是一个通用的计数器字符串键,应该只与标签 dclass.c2 一起使用 |
关键字 |
rsa.counters.dclass_c3 |
这是一个通用的计数器键,应该只与标签 dclass.c3.str 一起使用 |
长整型 |
rsa.counters.dclass_c3_str |
这是一个通用的计数器字符串键,应该只与标签 dclass.c3 一起使用 |
关键字 |
rsa.counters.dclass_r1 |
这是一个通用的比率键,应该只与标签 dclass.r1.str 一起使用 |
关键字 |
rsa.counters.dclass_r1_str |
这是一个通用的比率字符串键,应该只与标签 dclass.r1 一起使用 |
关键字 |
rsa.counters.dclass_r2 |
这是一个通用的比率键,应该只与标签 dclass.r2.str 一起使用 |
关键字 |
rsa.counters.dclass_r2_str |
这是一个通用的比率字符串键,应该只与标签 dclass.r2 一起使用 |
关键字 |
rsa.counters.dclass_r3 |
这是一个通用的比率键,应该只与标签 dclass.r3.str 一起使用 |
关键字 |
rsa.counters.dclass_r3_str |
这是一个通用的比率字符串键,应该只与标签 dclass.r3 一起使用 |
关键字 |
rsa.counters.event_counter |
用于捕获事件重复的次数 |
长整型 |
rsa.crypto.cert_ca |
此键仅用于捕获证书签名机构 |
关键字 |
rsa.crypto.cert_checksum |
关键字 |
|
rsa.crypto.cert_common |
此键仅用于捕获证书通用名称 |
关键字 |
rsa.crypto.cert_error |
此键捕获证书错误字符串 |
关键字 |
rsa.crypto.cert_host_cat |
此键用于证书的主机名类别值 |
关键字 |
rsa.crypto.cert_host_name |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.crypto.cert_issuer |
关键字 |
|
rsa.crypto.cert_keysize |
关键字 |
|
rsa.crypto.cert_serial |
此键仅用于捕获证书序列号 |
关键字 |
rsa.crypto.cert_status |
此键捕获证书验证状态 |
关键字 |
rsa.crypto.cert_subject |
此键仅用于捕获证书组织 |
关键字 |
rsa.crypto.cert_username |
关键字 |
|
rsa.crypto.cipher_dst |
此键用于目标(服务器)密码 |
关键字 |
rsa.crypto.cipher_size_dst |
此键捕获目标(服务器)密码大小 |
长整型 |
rsa.crypto.cipher_size_src |
此键捕获源(客户端)密码大小 |
长整型 |
rsa.crypto.cipher_src |
此键用于源(客户端)密码 |
关键字 |
rsa.crypto.crypto |
此键仅用于捕获加密类型或加密密钥 |
关键字 |
rsa.crypto.d_certauth |
关键字 |
|
rsa.crypto.https_insact |
关键字 |
|
rsa.crypto.https_valid |
关键字 |
|
rsa.crypto.ike |
IKE 协商阶段。 |
关键字 |
rsa.crypto.ike_cookie1 |
协商的 ID — 为 ISAKMP 第一阶段发送 |
关键字 |
rsa.crypto.ike_cookie2 |
协商的 ID — 为 ISAKMP 第二阶段发送 |
关键字 |
rsa.crypto.peer |
此键用于加密对等方的 IP 地址 |
关键字 |
rsa.crypto.peer_id |
此键用于加密对等方的身份 |
关键字 |
rsa.crypto.s_certauth |
关键字 |
|
rsa.crypto.scheme |
此键捕获使用的加密方案 |
关键字 |
rsa.crypto.sig_type |
此键捕获签名类型 |
关键字 |
rsa.crypto.ssl_ver_dst |
已弃用,请使用 version |
关键字 |
rsa.crypto.ssl_ver_src |
已弃用,请使用 version |
关键字 |
rsa.db.database |
此键用于捕获会话中看到的数据库或实例的名称 |
关键字 |
rsa.db.db_id |
此键用于捕获数据库的唯一标识符 |
关键字 |
rsa.db.db_pid |
此键捕获与数据库服务器连接的进程 ID |
长整型 |
rsa.db.index |
此键捕获索引的 IndexID。 |
关键字 |
rsa.db.instance |
此键用于捕获数据库服务器实例名称 |
关键字 |
rsa.db.lread |
此键用于逻辑读取次数 |
长整型 |
rsa.db.lwrite |
此键用于逻辑写入次数 |
长整型 |
rsa.db.permissions |
此键捕获分配给资源的权限或特权级别。 |
关键字 |
rsa.db.pread |
此键用于物理写入次数 |
长整型 |
rsa.db.table_name |
此键用于捕获表名称 |
关键字 |
rsa.db.transact_id |
此键捕获当前会话的 SQL 事务 ID |
关键字 |
rsa.email.email |
此键用于捕获通用电子邮件地址,其中源或目标上下文不明确 |
关键字 |
rsa.email.email_dst |
此键仅用于捕获目标电子邮件地址,当目标上下文不明确时,请使用 email |
关键字 |
rsa.email.email_src |
此键仅用于捕获源电子邮件地址,当源上下文不明确时,请使用 email |
关键字 |
rsa.email.subject |
此键仅用于捕获来自电子邮件的主题字符串。 |
关键字 |
rsa.email.trans_from |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.email.trans_to |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.endpoint.host_state |
此键用于捕获计算机的当前状态,例如 <strong>已列入黑名单</strong>、<strong>已感染</strong>、<strong>防火墙已禁用</strong> 等 |
关键字 |
rsa.endpoint.registry_key |
此键捕获注册表项的路径 |
关键字 |
rsa.endpoint.registry_value |
此键捕获注册表项中使用的值或修饰符 |
关键字 |
rsa.file.attachment |
此键捕获附件文件名 |
关键字 |
rsa.file.binary |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.file.directory_dst |
<span>此键用于捕获目标进程或文件的目录</span> |
关键字 |
rsa.file.directory_src |
此键用于捕获源进程或文件的目录 |
关键字 |
rsa.file.file_entropy |
用于捕获文件的熵值 |
double |
rsa.file.file_vendor |
用于捕获位于 version_info 中的文件公司名称 |
关键字 |
rsa.file.filename_dst |
用于捕获操作所针对的文件名 |
关键字 |
rsa.file.filename_src |
用于捕获执行操作的父文件名 |
关键字 |
rsa.file.filename_tmp |
关键字 |
|
rsa.file.filesystem |
关键字 |
|
rsa.file.privilege |
已弃用,请使用 permissions |
关键字 |
rsa.file.task_name |
用于捕获任务名称 |
关键字 |
rsa.healthcare.patient_fname |
此键仅用于名字,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.healthcare.patient_id |
此键捕获患者的唯一 ID |
关键字 |
rsa.healthcare.patient_lname |
此键仅用于姓氏,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.healthcare.patient_mname |
此键仅用于中间名,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.identity.accesses |
此键用于捕获访问对象时使用的实际特权 |
关键字 |
rsa.identity.auth_method |
此键仅用于捕获使用的身份验证方法 |
关键字 |
rsa.identity.dn |
X.500 (LDAP) 专有名称 |
关键字 |
rsa.identity.dn_dst |
在指示目标 dn 的上下文中使用 X.500 (LDAP) 专有名称 |
关键字 |
rsa.identity.dn_src |
在指示源 dn 的上下文中使用 X.500 (LDAP) 专有名称 |
关键字 |
rsa.identity.federated_idp |
此键是联合身份提供程序。这是提供身份验证的服务器。 |
关键字 |
rsa.identity.federated_sp |
此键是联合服务提供商。这是请求身份验证的应用程序。 |
关键字 |
rsa.identity.firstname |
此键仅用于名字,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.identity.host_role |
此键应仅用于捕获主机角色 |
关键字 |
rsa.identity.lastname |
此键仅用于姓氏,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.identity.ldap |
此键用于未解释的 LDAP 值。没有明确查询或响应上下文的 LDAP 值 |
关键字 |
rsa.identity.ldap_query |
此键是来自 LDAP 搜索的搜索条件 |
关键字 |
rsa.identity.ldap_response |
此键用于捕获来自 LDAP 搜索的结果 |
关键字 |
rsa.identity.logon_type |
此键用于捕获使用的登录方法类型。 |
关键字 |
rsa.identity.logon_type_desc |
此键用于捕获存储在元键 logon.type 中的整数登录类型的文本描述。 |
关键字 |
rsa.identity.middlename |
此键仅用于中间名,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.identity.org |
此键捕获用户组织 |
关键字 |
rsa.identity.owner |
用于捕获进程或服务运行的用户名,即任务的作者 |
关键字 |
rsa.identity.password |
此键用于在任何会话中看到的密码,纯文本或加密的密码 |
关键字 |
rsa.identity.profile |
此键用于捕获用户个人资料 |
关键字 |
rsa.identity.realm |
Radius 领域或类似的帐户分组 |
关键字 |
rsa.identity.service_account |
此键是 Windows 特定的键,用于捕获服务(在事件中引用)在其下运行的帐户名称。旧版用法 |
关键字 |
rsa.identity.user_dept |
仅用户部门名称 |
关键字 |
rsa.identity.user_role |
此键仅用于捕获用户的角色 |
关键字 |
rsa.identity.user_sid_dst |
此键捕获目标用户会话 ID |
关键字 |
rsa.identity.user_sid_src |
此键捕获源用户会话 ID |
关键字 |
rsa.internal.audit_class |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.cid |
这是用于标识 NetWitness Concentrator 的唯一标识符。此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.data |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.dead |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.device_class |
这是预定义的一组事件源分类下的日志事件源分类。此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.device_group |
此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.device_host |
这是将日志发送到 NetWitness 的日志事件源的主机名。此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.device_ip |
这是将日志发送到 NetWitness 的日志事件源的 IPv4 地址。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
ip |
rsa.internal.device_ipv6 |
这是将日志发送到 NetWitness 的日志事件源的 IPv6 地址。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
ip |
rsa.internal.device_type |
这是解析给定会话的日志解析器的名称。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.device_type_id |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.did |
这是用于标识 NetWitness 解码器的唯一标识符。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.entropy_req |
此键仅由熵解析器使用,元类型可以根据配置为 UInt16 或 Float32。 |
长整型 |
rsa.internal.entropy_res |
此键仅由熵解析器使用,元类型可以根据配置为 UInt16 或 Float32。 |
长整型 |
rsa.internal.entry |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.event_desc |
关键字 |
|
rsa.internal.event_name |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.feed_category |
用于捕获馈送的类别。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.feed_desc |
用于捕获馈送的描述。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.feed_name |
用于捕获馈送的名称。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.forward_ip |
此键用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV4 地址。 |
ip |
rsa.internal.forward_ipv6 |
此键用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV6 地址。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
ip |
rsa.internal.hcode |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.header_id |
这是标识解析特定日志会话的确切日志解析器标头定义的标头 ID 值。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.inode |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.lc_cid |
这是日志收集器的唯一标识符。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.lc_ctime |
这是在 NetWitness 日志收集器中收集日志的时间。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
日期 |
rsa.internal.level |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.mcb_req |
此键仅由熵解析器使用,最常见的字节请求只是对于每一侧(0 到 255)看到最多的字节。 |
长整型 |
rsa.internal.mcb_res |
此键仅由熵解析器使用,最常见的字节响应只是对于每一侧(0 到 255)看到最多的字节。 |
长整型 |
rsa.internal.mcbc_req |
此键仅由熵解析器使用,最常见的字节计数是在会话流中看到最常见的字节(以上)的次数。 |
长整型 |
rsa.internal.mcbc_res |
此键仅由熵解析器使用,最常见的字节计数是在会话流中看到最常见的字节(以上)的次数。 |
长整型 |
rsa.internal.medium |
此键用于标识它是日志/数据包会话还是第 2 层封装类型。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。32 = 日志,33 = 相关会话,< 32 是数据包会话 |
长整型 |
rsa.internal.message |
此键捕获即时消息的内容。 |
关键字 |
rsa.internal.messageid |
关键字 |
|
rsa.internal.msg |
此键用于捕获进入日志解码器的原始消息。 |
关键字 |
rsa.internal.msg_id |
这是标识解析特定日志会话的确切日志解析器定义的 Message ID1 值。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.msg_vid |
这是标识解析特定日志会话的确切日志解析器定义的 Message ID2 值。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.node_name |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.nwe_callback_id |
此键表示事件与端点相关。 |
关键字 |
rsa.internal.obj_id |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.obj_server |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.obj_val |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.parse_error |
这是一个特殊键,用于存储在解析日志会话时发现的任何元键验证错误。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.payload_req |
此键仅由熵解析器使用,有效负载大小指标是解析时每个会话侧的有效负载大小。但是,为了保持 |
长整型 |
rsa.internal.payload_res |
此键仅由熵解析器使用,有效负载大小指标是解析时每个会话侧的有效负载大小。但是,为了保持 |
长整型 |
rsa.internal.process_vid_dst |
端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示目标进程。 |
关键字 |
rsa.internal.process_vid_src |
端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示源进程。 |
关键字 |
rsa.internal.resource |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.resource_class |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.rid |
这是 NetWitness 解码器创建的远程会话的特殊 ID。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
长整型 |
rsa.internal.session_split |
此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.site |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.size |
这是 NetWitness 解码器看到的会话大小。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
长整型 |
rsa.internal.sourcefile |
这是可以导入 NetWitness 的日志文件或 PCAP 的名称。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.statement |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.time |
这是会话到达 NetWitness 解码器的时间。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
日期 |
rsa.internal.ubc_req |
此键仅由熵解析器使用,唯一字节计数是在每个流中看到的唯一字节数。256 表示至少看到了一次所有 0 到 255 的字节值。 |
长整型 |
rsa.internal.ubc_res |
此键仅由熵解析器使用,唯一字节计数是在每个流中看到的唯一字节数。256 表示至少看到了一次所有 0 到 255 的字节值。 |
长整型 |
rsa.internal.word |
Word Parsing 技术使用此项捕获未解析日志中每个单词的前 5 个字符。 |
关键字 |
rsa.investigations.analysis_file |
用于捕获文件分析中使用的所有指标。此键应用于捕获文件的分析。 |
关键字 |
rsa.investigations.analysis_service |
用于捕获服务分析中使用的所有指标。此键应用于捕获服务的分析。 |
关键字 |
rsa.investigations.analysis_session |
用于捕获会话分析中使用的所有指标。此键应用于捕获会话的分析。 |
关键字 |
rsa.investigations.boc |
用于捕获泄露行为。 |
关键字 |
rsa.investigations.ec_activity |
此键捕获特定事件活动(例如:注销)。 |
关键字 |
rsa.investigations.ec_outcome |
此键捕获特定事件的结果(例如:成功)。 |
关键字 |
rsa.investigations.ec_subject |
此键捕获特定事件的主题(例如:用户)。 |
关键字 |
rsa.investigations.ec_theme |
此键捕获特定事件的主题(例如:身份验证)。 |
关键字 |
rsa.investigations.eoc |
用于捕获泄露的促成因素。 |
关键字 |
rsa.investigations.event_cat |
此键捕获事件类别编号。 |
长整型 |
rsa.investigations.event_cat_name |
此键捕获与事件类别代码对应的事件类别名称。 |
关键字 |
rsa.investigations.event_vcat |
这是供应商提供的类别。当供应商采用自己的 event_category 分类法时,应使用此项。 |
关键字 |
rsa.investigations.inv_category |
用于捕获调查类别。 |
关键字 |
rsa.investigations.inv_context |
用于捕获调查上下文。 |
关键字 |
rsa.investigations.ioc |
此键捕获泄露指标。 |
关键字 |
rsa.misc.OS |
此键捕获操作系统的名称。 |
关键字 |
rsa.misc.acl_id |
关键字 |
|
rsa.misc.acl_op |
关键字 |
|
rsa.misc.acl_pos |
关键字 |
|
rsa.misc.acl_table |
关键字 |
|
rsa.misc.action |
关键字 |
|
rsa.misc.admin |
关键字 |
|
rsa.misc.agent_id |
此键用于捕获代理 ID。 |
关键字 |
rsa.misc.alarm_id |
关键字 |
|
rsa.misc.alarmname |
关键字 |
|
rsa.misc.alert_id |
已弃用,新的狩猎模型(inv.、ioc、boc、eoc、analysis。)。 |
关键字 |
rsa.misc.app_id |
关键字 |
|
rsa.misc.audit |
关键字 |
|
rsa.misc.audit_object |
关键字 |
|
rsa.misc.auditdata |
关键字 |
|
rsa.misc.autorun_type |
用于捕获自动运行类型。 |
关键字 |
rsa.misc.benchmark |
关键字 |
|
rsa.misc.bypass |
关键字 |
|
rsa.misc.cache |
关键字 |
|
rsa.misc.cache_hit |
关键字 |
|
rsa.misc.category |
此键用于捕获会话中由供应商提供的事件类别。 |
关键字 |
rsa.misc.cc_number |
仅限有效的信用卡号码。 |
长整型 |
rsa.misc.cefversion |
关键字 |
|
rsa.misc.cfg_attr |
关键字 |
|
rsa.misc.cfg_obj |
关键字 |
|
rsa.misc.cfg_path |
关键字 |
|
rsa.misc.change_attrib |
此键用于捕获会话中正在更改的属性的名称。 |
关键字 |
rsa.misc.change_new |
此键用于捕获会话中正在更改的属性的新值。 |
关键字 |
rsa.misc.change_old |
此键用于捕获会话中正在更改的属性的旧值。 |
关键字 |
rsa.misc.changes |
关键字 |
|
rsa.misc.checksum |
此键用于捕获实体(如文件或进程)的校验和或哈希值。当不清楚实体是操作的源还是目标时,应使用校验和而不是 checksum.src 或 checksum.dst。 |
关键字 |
rsa.misc.checksum_dst |
此键用于捕获目标实体(如进程或文件)的校验和或哈希值。 |
关键字 |
rsa.misc.checksum_src |
此键用于捕获源实体(如文件或进程)的校验和或哈希值。 |
关键字 |
rsa.misc.client |
此键用于仅捕获请求服务器资源的客户端应用程序的名称。有关捕获特定用户代理标识符或浏览器标识字符串的信息,请参见 user.agent 元键。 |
关键字 |
rsa.misc.client_ip |
关键字 |
|
rsa.misc.clustermembers |
关键字 |
|
rsa.misc.cmd |
关键字 |
|
rsa.misc.cn_acttimeout |
关键字 |
|
rsa.misc.cn_asn_src |
关键字 |
|
rsa.misc.cn_bgpv4nxthop |
关键字 |
|
rsa.misc.cn_ctr_dst_code |
关键字 |
|
rsa.misc.cn_dst_tos |
关键字 |
|
rsa.misc.cn_dst_vlan |
关键字 |
|
rsa.misc.cn_engine_id |
关键字 |
|
rsa.misc.cn_engine_type |
关键字 |
|
rsa.misc.cn_f_switch |
关键字 |
|
rsa.misc.cn_flowsampid |
关键字 |
|
rsa.misc.cn_flowsampintv |
关键字 |
|
rsa.misc.cn_flowsampmode |
关键字 |
|
rsa.misc.cn_inacttimeout |
关键字 |
|
rsa.misc.cn_inpermbyts |
关键字 |
|
rsa.misc.cn_inpermpckts |
关键字 |
|
rsa.misc.cn_invalid |
关键字 |
|
rsa.misc.cn_ip_proto_ver |
关键字 |
|
rsa.misc.cn_ipv4_ident |
关键字 |
|
rsa.misc.cn_l_switch |
关键字 |
|
rsa.misc.cn_log_did |
关键字 |
|
rsa.misc.cn_log_rid |
关键字 |
|
rsa.misc.cn_max_ttl |
关键字 |
|
rsa.misc.cn_maxpcktlen |
关键字 |
|
rsa.misc.cn_min_ttl |
关键字 |
|
rsa.misc.cn_minpcktlen |
关键字 |
|
rsa.misc.cn_mpls_lbl_1 |
关键字 |
|
rsa.misc.cn_mpls_lbl_10 |
关键字 |
|
rsa.misc.cn_mpls_lbl_2 |
关键字 |
|
rsa.misc.cn_mpls_lbl_3 |
关键字 |
|
rsa.misc.cn_mpls_lbl_4 |
关键字 |
|
rsa.misc.cn_mpls_lbl_5 |
关键字 |
|
rsa.misc.cn_mpls_lbl_6 |
关键字 |
|
rsa.misc.cn_mpls_lbl_7 |
关键字 |
|
rsa.misc.cn_mpls_lbl_8 |
关键字 |
|
rsa.misc.cn_mpls_lbl_9 |
关键字 |
|
rsa.misc.cn_mplstoplabel |
关键字 |
|
rsa.misc.cn_mplstoplabip |
关键字 |
|
rsa.misc.cn_mul_dst_byt |
关键字 |
|
rsa.misc.cn_mul_dst_pks |
关键字 |
|
rsa.misc.cn_muligmptype |
关键字 |
|
rsa.misc.cn_sampalgo |
关键字 |
|
rsa.misc.cn_sampint |
关键字 |
|
rsa.misc.cn_seqctr |
关键字 |
|
rsa.misc.cn_spackets |
关键字 |
|
rsa.misc.cn_src_tos |
关键字 |
|
rsa.misc.cn_src_vlan |
关键字 |
|
rsa.misc.cn_sysuptime |
关键字 |
|
rsa.misc.cn_template_id |
关键字 |
|
rsa.misc.cn_totbytsexp |
关键字 |
|
rsa.misc.cn_totflowexp |
关键字 |
|
rsa.misc.cn_totpcktsexp |
关键字 |
|
rsa.misc.cn_unixnanosecs |
关键字 |
|
rsa.misc.cn_v6flowlabel |
关键字 |
|
rsa.misc.cn_v6optheaders |
关键字 |
|
rsa.misc.code |
关键字 |
|
rsa.misc.command |
关键字 |
|
rsa.misc.comments |
日志消息中提供的注释信息 |
关键字 |
rsa.misc.comp_class |
关键字 |
|
rsa.misc.comp_name |
关键字 |
|
rsa.misc.comp_rbytes |
关键字 |
|
rsa.misc.comp_sbytes |
关键字 |
|
rsa.misc.comp_version |
此键捕获产品的子组件的版本级别。 |
关键字 |
rsa.misc.connection_id |
此键捕获连接 ID |
关键字 |
rsa.misc.content |
此键捕获协议头中的内容类型 |
关键字 |
rsa.misc.content_type |
此键仅用于捕获内容类型。 |
关键字 |
rsa.misc.content_version |
此键捕获签名或数据库内容的版本级别。 |
关键字 |
rsa.misc.context |
此键捕获为事件添加额外上下文的信息。 |
关键字 |
rsa.misc.context_subject |
此键用于审计上下文中,其中主体是被标识的对象 |
关键字 |
rsa.misc.context_target |
关键字 |
|
rsa.misc.count |
关键字 |
|
rsa.misc.cpu |
此键是记录事件执行中使用的 CPU 时间。 |
长整型 |
rsa.misc.cpu_data |
关键字 |
|
rsa.misc.criticality |
关键字 |
|
rsa.misc.cs_agency_dst |
关键字 |
|
rsa.misc.cs_analyzedby |
关键字 |
|
rsa.misc.cs_av_other |
关键字 |
|
rsa.misc.cs_av_primary |
关键字 |
|
rsa.misc.cs_av_secondary |
关键字 |
|
rsa.misc.cs_bgpv6nxthop |
关键字 |
|
rsa.misc.cs_bit9status |
关键字 |
|
rsa.misc.cs_context |
关键字 |
|
rsa.misc.cs_control |
关键字 |
|
rsa.misc.cs_data |
关键字 |
|
rsa.misc.cs_datecret |
关键字 |
|
rsa.misc.cs_dst_tld |
关键字 |
|
rsa.misc.cs_eth_dst_ven |
关键字 |
|
rsa.misc.cs_eth_src_ven |
关键字 |
|
rsa.misc.cs_event_uuid |
关键字 |
|
rsa.misc.cs_filetype |
关键字 |
|
rsa.misc.cs_fld |
关键字 |
|
rsa.misc.cs_if_desc |
关键字 |
|
rsa.misc.cs_if_name |
关键字 |
|
rsa.misc.cs_ip_next_hop |
关键字 |
|
rsa.misc.cs_ipv4dstpre |
关键字 |
|
rsa.misc.cs_ipv4srcpre |
关键字 |
|
rsa.misc.cs_lifetime |
关键字 |
|
rsa.misc.cs_log_medium |
关键字 |
|
rsa.misc.cs_loginname |
关键字 |
|
rsa.misc.cs_modulescore |
关键字 |
|
rsa.misc.cs_modulesign |
关键字 |
|
rsa.misc.cs_opswatresult |
关键字 |
|
rsa.misc.cs_payload |
关键字 |
|
rsa.misc.cs_registrant |
关键字 |
|
rsa.misc.cs_registrar |
关键字 |
|
rsa.misc.cs_represult |
关键字 |
|
rsa.misc.cs_rpayload |
关键字 |
|
rsa.misc.cs_sampler_name |
关键字 |
|
rsa.misc.cs_sourcemodule |
关键字 |
|
rsa.misc.cs_streams |
关键字 |
|
rsa.misc.cs_targetmodule |
关键字 |
|
rsa.misc.cs_v6nxthop |
关键字 |
|
rsa.misc.cs_whois_server |
关键字 |
|
rsa.misc.cs_yararesult |
关键字 |
|
rsa.misc.cve |
此键捕获 CVE(通用漏洞和披露)- 已知信息安全漏洞的标识符。 |
关键字 |
rsa.misc.data_type |
关键字 |
|
rsa.misc.description |
关键字 |
|
rsa.misc.device_name |
用于捕获与节点关联的设备的名称,例如:物理磁盘、打印机等 |
关键字 |
rsa.misc.devvendor |
关键字 |
|
rsa.misc.disposition |
此键捕获操作的最终状态。 |
关键字 |
rsa.misc.distance |
关键字 |
|
rsa.misc.doc_number |
此键捕获文件标识号 |
长整型 |
rsa.misc.dstburb |
关键字 |
|
rsa.misc.edomain |
关键字 |
|
rsa.misc.edomaub |
关键字 |
|
rsa.misc.ein_number |
仅限员工识别号 |
长整型 |
rsa.misc.error |
此键捕获所有不成功的错误代码或响应 |
关键字 |
rsa.misc.euid |
关键字 |
|
rsa.misc.event_category |
关键字 |
|
rsa.misc.event_computer |
此键是 Windows 独有的概念,其中此键用于捕获 Windows 日志中的完全限定域名。 |
关键字 |
rsa.misc.event_desc |
此键用于捕获直接可用或推断的事件描述 |
关键字 |
rsa.misc.event_id |
关键字 |
|
rsa.misc.event_log |
此键捕获事件日志的名称 |
关键字 |
rsa.misc.event_source |
此键捕获事件的来源,而不是主机名 |
关键字 |
rsa.misc.event_state |
此键捕获事件中引用的对象/项目的当前状态。描述正在进行的事件。 |
关键字 |
rsa.misc.event_type |
此键捕获事件源指定的事件类别类型。 |
关键字 |
rsa.misc.event_user |
此键是 Windows 独有的概念,其中此键用于捕获 Windows 日志中的域名和用户名的组合。 |
关键字 |
rsa.misc.expected_val |
此键捕获预期值(从生成日志的设备角度来看)。 |
关键字 |
rsa.misc.facility |
关键字 |
|
rsa.misc.facilityname |
关键字 |
|
rsa.misc.fcatnum |
此键捕获过滤器类别号。旧版用法 |
关键字 |
rsa.misc.filter |
此键捕获用于减少结果集的过滤器 |
关键字 |
rsa.misc.finterface |
关键字 |
|
rsa.misc.flags |
关键字 |
|
rsa.misc.forensic_info |
关键字 |
|
rsa.misc.found |
用于捕获正则表达式匹配的结果 |
关键字 |
rsa.misc.fresult |
此键捕获过滤器结果 |
长整型 |
rsa.misc.gaddr |
关键字 |
|
rsa.misc.group |
此键捕获组名称值 |
关键字 |
rsa.misc.group_id |
此键捕获组 ID 号(与组名称相关) |
关键字 |
rsa.misc.group_object |
此键捕获实体集合/分组。特定用法 |
关键字 |
rsa.misc.hardware_id |
此键用于捕获设备或系统的唯一标识符(不是 Mac 地址) |
关键字 |
rsa.misc.id3 |
关键字 |
|
rsa.misc.im_buddyid |
关键字 |
|
rsa.misc.im_buddyname |
关键字 |
|
rsa.misc.im_client |
关键字 |
|
rsa.misc.im_croomid |
关键字 |
|
rsa.misc.im_croomtype |
关键字 |
|
rsa.misc.im_members |
关键字 |
|
rsa.misc.im_userid |
关键字 |
|
rsa.misc.im_username |
关键字 |
|
rsa.misc.index |
关键字 |
|
rsa.misc.inout |
关键字 |
|
rsa.misc.ipkt |
关键字 |
|
rsa.misc.ipscat |
关键字 |
|
rsa.misc.ipspri |
关键字 |
|
rsa.misc.job_num |
此键捕获作业编号 |
关键字 |
rsa.misc.jobname |
关键字 |
|
rsa.misc.language |
用于捕获客户端支持的语言列表及其首选语言 |
关键字 |
rsa.misc.latitude |
关键字 |
|
rsa.misc.library |
此键用于捕获大型机设备中的库信息 |
关键字 |
rsa.misc.lifetime |
此键用于捕获会话生命周期(以秒为单位)。 |
长整型 |
rsa.misc.linenum |
关键字 |
|
rsa.misc.link |
此键用于链接会话。此键绝不应直接用于解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.misc.list_name |
关键字 |
|
rsa.misc.listnum |
此键用于捕获列表名称或列表编号,主要用于收集访问列表 |
关键字 |
rsa.misc.load_data |
关键字 |
|
rsa.misc.location_floor |
关键字 |
|
rsa.misc.location_mark |
关键字 |
|
rsa.misc.log_id |
关键字 |
|
rsa.misc.log_session_id |
此键用于直接从会话中捕获会话 ID |
关键字 |
rsa.misc.log_session_id1 |
此键用于直接从会话中捕获链接的(相关的)会话 ID |
关键字 |
rsa.misc.log_type |
关键字 |
|
rsa.misc.logid |
关键字 |
|
rsa.misc.logip |
关键字 |
|
rsa.misc.logname |
关键字 |
|
rsa.misc.longitude |
关键字 |
|
rsa.misc.lport |
关键字 |
|
rsa.misc.mail_id |
此键用于捕获邮箱 ID/名称 |
关键字 |
rsa.misc.match |
此键用于来自 search.ini 的正则表达式匹配名称 |
关键字 |
rsa.misc.mbug_data |
关键字 |
|
rsa.misc.message_body |
此键捕获消息正文的内容。 |
关键字 |
rsa.misc.misc |
关键字 |
|
rsa.misc.misc_name |
关键字 |
|
rsa.misc.mode |
关键字 |
|
rsa.misc.msgIdPart1 |
关键字 |
|
rsa.misc.msgIdPart2 |
关键字 |
|
rsa.misc.msgIdPart3 |
关键字 |
|
rsa.misc.msgIdPart4 |
关键字 |
|
rsa.misc.msg_type |
关键字 |
|
rsa.misc.msgid |
关键字 |
|
rsa.misc.name |
关键字 |
|
rsa.misc.netsessid |
关键字 |
|
rsa.misc.node |
常见用例是集群中的节点名称。集群名称由主机名反映。 |
关键字 |
rsa.misc.ntype |
关键字 |
|
rsa.misc.num |
关键字 |
|
rsa.misc.number |
关键字 |
|
rsa.misc.number1 |
关键字 |
|
rsa.misc.number2 |
关键字 |
|
rsa.misc.nwwn |
关键字 |
|
rsa.misc.obj_name |
用于捕获对象名称 |
关键字 |
rsa.misc.obj_type |
用于捕获对象类型 |
关键字 |
rsa.misc.object |
关键字 |
|
rsa.misc.observed_val |
此键捕获观察到的值(从生成日志的设备角度来看)。 |
关键字 |
rsa.misc.operation |
关键字 |
|
rsa.misc.operation_id |
警报编号或操作编号。这些值应是唯一的且不重复的。 |
关键字 |
rsa.misc.opkt |
关键字 |
|
rsa.misc.orig_from |
关键字 |
|
rsa.misc.owner_id |
关键字 |
|
rsa.misc.p_action |
关键字 |
|
rsa.misc.p_filter |
关键字 |
|
rsa.misc.p_group_object |
关键字 |
|
rsa.misc.p_id |
关键字 |
|
rsa.misc.p_msgid |
关键字 |
|
rsa.misc.p_msgid1 |
关键字 |
|
rsa.misc.p_msgid2 |
关键字 |
|
rsa.misc.p_result1 |
关键字 |
|
rsa.misc.param |
此键是作为命令或应用程序等一部分传递的参数。 |
关键字 |
rsa.misc.param_dst |
此键捕获目标进程或文件的命令行/启动参数 |
关键字 |
rsa.misc.param_src |
此键捕获源参数 |
关键字 |
rsa.misc.parent_node |
此键捕获父节点名称。必须与节点变量相关。 |
关键字 |
rsa.misc.password_chg |
关键字 |
|
rsa.misc.password_expire |
关键字 |
|
rsa.misc.payload_dst |
此键用于捕获目标负载 |
关键字 |
rsa.misc.payload_src |
此键用于捕获源负载 |
关键字 |
rsa.misc.permgranted |
关键字 |
|
rsa.misc.permwanted |
关键字 |
|
rsa.misc.pgid |
关键字 |
|
rsa.misc.phone |
关键字 |
|
rsa.misc.pid |
关键字 |
|
rsa.misc.policy |
关键字 |
|
rsa.misc.policyUUID |
关键字 |
|
rsa.misc.policy_id |
此键仅用于捕获策略 ID,这应该是一个数值,否则请使用 policy.name |
关键字 |
rsa.misc.policy_name |
此键仅用于捕获策略名称。 |
关键字 |
rsa.misc.policy_value |
此键捕获策略的内容。其中包含有关策略的详细信息 |
关键字 |
rsa.misc.policy_waiver |
关键字 |
|
rsa.misc.pool_id |
此键捕获资源池的标识符(通常为数字字段) |
关键字 |
rsa.misc.pool_name |
此键捕获资源池的名称 |
关键字 |
rsa.misc.port_name |
此键用于物理或逻辑端口连接,但不包括网络端口。(示例:打印机端口名称)。 |
关键字 |
rsa.misc.priority |
关键字 |
|
rsa.misc.process_id_val |
当进程 ID 不是整数值时,此键是进程 ID 的失败键 |
关键字 |
rsa.misc.prog_asp_num |
关键字 |
|
rsa.misc.program |
关键字 |
|
rsa.misc.real_data |
关键字 |
|
rsa.misc.reason |
关键字 |
|
rsa.misc.rec_asp_device |
关键字 |
|
rsa.misc.rec_asp_num |
关键字 |
|
rsa.misc.rec_library |
关键字 |
|
rsa.misc.recordnum |
关键字 |
|
rsa.misc.reference_id |
此键用于直接从会话中捕获事件 ID |
关键字 |
rsa.misc.reference_id1 |
此键用于链接 ID,作为 "reference.id" 的补充 |
关键字 |
rsa.misc.reference_id2 |
此键用于第二个链接 ID。可以链接到 "reference.id" 或 "reference.id1" 值,但除非其他两个变量在起作用,否则不应使用。 |
关键字 |
rsa.misc.result |
此键用于捕获会话中操作的结果/结果字符串值。 |
关键字 |
rsa.misc.result_code |
此键用于捕获会话中操作的结果/结果数值 |
关键字 |
rsa.misc.risk |
此键捕获非数值风险值 |
关键字 |
rsa.misc.risk_info |
已弃用,请使用新的狩猎模型 (inv., ioc, boc, eoc, analysis.) |
关键字 |
rsa.misc.risk_num |
此键捕获数值风险值 |
double |
rsa.misc.risk_num_comm |
此键捕获风险编号社区 |
double |
rsa.misc.risk_num_next |
此键捕获风险编号 NextGen |
double |
rsa.misc.risk_num_sand |
此键捕获风险编号沙盒 |
double |
rsa.misc.risk_num_static |
此键捕获风险编号静态 |
double |
rsa.misc.risk_suspicious |
已弃用,请使用新的狩猎模型 (inv., ioc, boc, eoc, analysis.) |
关键字 |
rsa.misc.risk_warning |
已弃用,请使用新的狩猎模型 (inv., ioc, boc, eoc, analysis.) |
关键字 |
rsa.misc.ruid |
关键字 |
|
rsa.misc.rule |
此键捕获规则编号 |
关键字 |
rsa.misc.rule_group |
此键捕获规则组名称 |
关键字 |
rsa.misc.rule_name |
此键捕获规则名称 |
关键字 |
rsa.misc.rule_template |
一组默认参数,这些参数会叠加到规则(或规则名称)上,从而构成一个模板 |
关键字 |
rsa.misc.rule_uid |
此键是规则的唯一标识符。 |
关键字 |
rsa.misc.sburb |
关键字 |
|
rsa.misc.sdomain_fld |
关键字 |
|
rsa.misc.search_text |
此键捕获使用的搜索文本 |
关键字 |
rsa.misc.sec |
关键字 |
|
rsa.misc.second |
关键字 |
|
rsa.misc.sensor |
此键捕获传感器的名称。通常用于基于 IDS/IPS 的设备中 |
关键字 |
rsa.misc.sensorname |
关键字 |
|
rsa.misc.seqnum |
关键字 |
|
rsa.misc.serial_number |
此键是与物理资产关联的序列号。 |
关键字 |
rsa.misc.session |
关键字 |
|
rsa.misc.sessiontype |
关键字 |
|
rsa.misc.severity |
此键用于捕获会话的严重性 |
关键字 |
rsa.misc.sigUUID |
关键字 |
|
rsa.misc.sig_id |
此键捕获 IDS/IPS 入侵签名 ID |
长整型 |
rsa.misc.sig_id1 |
此键捕获 IDS/IPS 入侵签名 ID。这必须链接到 sig.id |
长整型 |
rsa.misc.sig_id_str |
此键捕获 sigid 变量的字符串对象。 |
关键字 |
rsa.misc.sig_name |
此键仅用于捕获签名名称。 |
关键字 |
rsa.misc.sigcat |
关键字 |
|
rsa.misc.snmp_oid |
SNMP 对象标识符 |
关键字 |
rsa.misc.snmp_value |
SNMP 设置请求值 |
关键字 |
rsa.misc.space |
关键字 |
|
rsa.misc.space1 |
关键字 |
|
rsa.misc.spi |
关键字 |
|
rsa.misc.spi_dst |
目标 SPI 索引 |
关键字 |
rsa.misc.spi_src |
源 SPI 索引 |
关键字 |
rsa.misc.sql |
此键捕获 SQL 查询 |
关键字 |
rsa.misc.srcburb |
关键字 |
|
rsa.misc.srcdom |
关键字 |
|
rsa.misc.srcservice |
关键字 |
|
rsa.misc.state |
关键字 |
|
rsa.misc.status |
关键字 |
|
rsa.misc.status1 |
关键字 |
|
rsa.misc.streams |
此键捕获会话中的流数 |
长整型 |
rsa.misc.subcategory |
关键字 |
|
rsa.misc.svcno |
关键字 |
|
rsa.misc.system |
关键字 |
|
rsa.misc.tbdstr1 |
关键字 |
|
rsa.misc.tbdstr2 |
关键字 |
|
rsa.misc.tcp_flags |
此键捕获会话中任何数据包中设置的 TCP 标志 |
长整型 |
rsa.misc.terminal |
此键仅捕获终端名称 |
关键字 |
rsa.misc.tgtdom |
关键字 |
|
rsa.misc.tgtdomain |
关键字 |
|
rsa.misc.threshold |
关键字 |
|
rsa.misc.tos |
此键描述服务类型 |
长整型 |
rsa.misc.trigger_desc |
此键捕获触发器或阈值条件的描述。 |
关键字 |
rsa.misc.trigger_val |
此键捕获触发器或阈值条件的值。 |
关键字 |
rsa.misc.type |
关键字 |
|
rsa.misc.type1 |
关键字 |
|
rsa.misc.udb_class |
关键字 |
|
rsa.misc.url_fld |
关键字 |
|
rsa.misc.user_div |
关键字 |
|
rsa.misc.userid |
关键字 |
|
rsa.misc.username_fld |
关键字 |
|
rsa.misc.utcstamp |
关键字 |
|
rsa.misc.v_instafname |
关键字 |
|
rsa.misc.version |
此键捕获生成事件的应用程序或操作系统的版本。 |
关键字 |
rsa.misc.virt_data |
关键字 |
|
rsa.misc.virusname |
此键捕获病毒的名称 |
关键字 |
rsa.misc.vm_target |
VMWare 目标 仅限 VMWARE 变量。 |
关键字 |
rsa.misc.vpnid |
关键字 |
|
rsa.misc.vsys |
此键捕获虚拟系统名称 |
关键字 |
rsa.misc.vuln_ref |
此键捕获漏洞参考详细信息 |
关键字 |
rsa.misc.workspace |
此键捕获工作区描述 |
关键字 |
rsa.network.ad_computer_dst |
已弃用,请使用 host.dst |
关键字 |
rsa.network.addr |
关键字 |
|
rsa.network.alias_host |
当主机名的源或目标上下文不明确时,应使用此键。它还捕获设备主机名。任何不是 ad.computer 的主机名。 |
关键字 |
rsa.network.dinterface |
此键仅应在它是目标接口时使用 |
关键字 |
rsa.network.dmask |
此键用于目标设备网络掩码 |
关键字 |
rsa.network.dns_a_record |
关键字 |
|
rsa.network.dns_cname_record |
关键字 |
|
rsa.network.dns_id |
关键字 |
|
rsa.network.dns_opcode |
关键字 |
|
rsa.network.dns_ptr_record |
关键字 |
|
rsa.network.dns_resp |
关键字 |
|
rsa.network.dns_type |
关键字 |
|
rsa.network.domain |
关键字 |
|
rsa.network.domain1 |
关键字 |
|
rsa.network.eth_host |
已弃用,请使用 alias.mac |
关键字 |
rsa.network.eth_type |
此键用于捕获以太网类型,仅用于第 3 层协议 |
长整型 |
rsa.network.faddr |
关键字 |
|
rsa.network.fhost |
关键字 |
|
rsa.network.fport |
关键字 |
|
rsa.network.gateway |
此键用于捕获网关的 IP 地址 |
关键字 |
rsa.network.host_dst |
此键仅应在它是目标主机名时使用 |
关键字 |
rsa.network.host_orig |
用于在转发代理或代理之间的情况下捕获原始主机名。 |
关键字 |
rsa.network.host_type |
关键字 |
|
rsa.network.icmp_code |
此键仅用于捕获 ICMP 代码 |
长整型 |
rsa.network.icmp_type |
此键仅用于捕获 ICMP 类型 |
长整型 |
rsa.network.interface |
当接口的源或目标上下文不明确时,应使用此键 |
关键字 |
rsa.network.ip_proto |
此键应用于捕获协议号,所有协议号在 UI 中都转换为字符串 |
长整型 |
rsa.network.laddr |
关键字 |
|
rsa.network.lhost |
关键字 |
|
rsa.network.linterface |
关键字 |
|
rsa.network.mask |
此键用于捕获设备网络 IP 掩码。 |
关键字 |
rsa.network.netname |
此键用于捕获与 IP 范围关联的网络名称。这是由最终用户配置的。 |
关键字 |
rsa.network.network_port |
已弃用,请使用 port。注意:当前使用的类型存在差异,TM:Int32,INDEX:UInt64(为什么两者都未选择正确的 UInt16?!) |
长整型 |
rsa.network.network_service |
用于捕获第 7 层协议/服务名称 |
关键字 |
rsa.network.origin |
关键字 |
|
rsa.network.packet_length |
关键字 |
|
rsa.network.paddr |
已弃用 |
ip |
rsa.network.phost |
关键字 |
|
rsa.network.port |
当方向性不明确时,此键仅应用于捕获网络端口 |
长整型 |
rsa.network.protocol_detail |
此键应用于捕获其他协议信息 |
关键字 |
rsa.network.remote_domain_id |
关键字 |
|
rsa.network.rpayload |
此键用于捕获在重新传输的数据包中看到的有效负载字节总数。 |
关键字 |
rsa.network.sinterface |
此键仅应在它是源接口时使用 |
关键字 |
rsa.network.smask |
此键用于捕获源网络掩码 |
关键字 |
rsa.network.vlan |
此键仅应用于捕获虚拟 LAN 的 ID |
长整型 |
rsa.network.vlan_name |
此键仅应用于捕获虚拟 LAN 的名称 |
关键字 |
rsa.network.zone |
当区域的源或目标上下文不明确时,应使用此键 |
关键字 |
rsa.network.zone_dst |
此键仅应在它是目标区域时使用。 |
关键字 |
rsa.network.zone_src |
此键仅应在它是源区域时使用。 |
关键字 |
rsa.physical.org_dst |
用于根据 GEOPIP Maxmind 数据库捕获目标组织。 |
关键字 |
rsa.physical.org_src |
用于根据 GEOPIP Maxmind 数据库捕获源组织。 |
关键字 |
rsa.storage.disk_volume |
分配给物理磁盘内逻辑单元(卷)的唯一名称 |
关键字 |
rsa.storage.lun |
逻辑单元号。此键是存储中非常有用的概念。 |
关键字 |
rsa.storage.pwwn |
这唯一标识 HBA 上的端口。 |
关键字 |
rsa.threat.alert |
此键用于捕获警报的名称 |
关键字 |
rsa.threat.threat_category |
此键捕获威胁名称/威胁类别/警报分类 |
关键字 |
rsa.threat.threat_desc |
此键用于直接或推断地捕获会话中的威胁描述 |
关键字 |
rsa.threat.threat_source |
此键用于捕获威胁的来源 |
关键字 |
rsa.time.date |
关键字 |
|
rsa.time.datetime |
关键字 |
|
rsa.time.day |
关键字 |
|
rsa.time.duration_str |
持续时间的文本字符串版本 |
关键字 |
rsa.time.duration_time |
此键用于捕获标准化的持续时间/生存时间(以秒为单位)。 |
double |
rsa.time.effective_time |
此键是标准时间戳格式的单个事件引用的有效时间 |
日期 |
rsa.time.endtime |
此键用于以标准形式捕获会话中提到的结束时间 |
日期 |
rsa.time.event_queue_time |
此键是事件排队的时间。 |
日期 |
rsa.time.event_time |
此键用于捕获原始会话中提到的时间,该时间以标准化的形式表示事件发生的实际时间 |
日期 |
rsa.time.event_time_str |
此键用于捕获会话中提到的不完整时间,以字符串形式 |
关键字 |
rsa.time.eventtime |
关键字 |
|
rsa.time.expire_time |
此键是明确引用到期的时间戳。 |
日期 |
rsa.time.expire_time_str |
此键用于捕获明确引用到期的不完整时间戳。 |
关键字 |
rsa.time.gmtdate |
关键字 |
|
rsa.time.gmttime |
关键字 |
|
rsa.time.hour |
关键字 |
|
rsa.time.min |
关键字 |
|
rsa.time.month |
关键字 |
|
rsa.time.p_date |
关键字 |
|
rsa.time.p_month |
关键字 |
|
rsa.time.p_time |
关键字 |
|
rsa.time.p_time1 |
关键字 |
|
rsa.time.p_time2 |
关键字 |
|
rsa.time.p_year |
关键字 |
|
rsa.time.process_time |
已弃用,请使用 duration.time |
关键字 |
rsa.time.recorded_time |
系统记录事件时收集的事件时间。 使用场景是多层应用程序,其中系统的管理层在从其子节点收集时记录自己的时间戳。 必须采用时间戳格式。 |
日期 |
rsa.time.stamp |
已弃用的键,仅在表映射中定义。 |
日期 |
rsa.time.starttime |
此键用于以标准形式捕获会话中提到的开始时间 |
日期 |
rsa.time.timestamp |
关键字 |
|
rsa.time.timezone |
此键用于捕获事件时间的时区 |
关键字 |
rsa.time.tzone |
关键字 |
|
rsa.time.year |
关键字 |
|
rsa.web.alias_host |
关键字 |
|
rsa.web.cn_asn_dst |
关键字 |
|
rsa.web.cn_rpackets |
关键字 |
|
rsa.web.fqdn |
完全限定域名 |
关键字 |
rsa.web.p_url |
关键字 |
|
rsa.web.p_user_agent |
关键字 |
|
rsa.web.p_web_cookie |
关键字 |
|
rsa.web.p_web_method |
关键字 |
|
rsa.web.p_web_referer |
关键字 |
|
rsa.web.remote_domain |
关键字 |
|
rsa.web.reputation_num |
实体的信誉编号。通常用于 Web 域 |
double |
rsa.web.urlpage |
关键字 |
|
rsa.web.urlroot |
关键字 |
|
rsa.web.web_cookie |
此键专门用于捕获 Web cookie。 |
关键字 |
rsa.web.web_extension_tmp |
关键字 |
|
rsa.web.web_page |
关键字 |
|
rsa.web.web_ref_domain |
Web 引荐来源的域 |
关键字 |
rsa.web.web_ref_page |
此键捕获 Web 引荐来源的页面信息 |
关键字 |
rsa.web.web_ref_query |
此键捕获 Web 引荐来源的 URL 的查询部分 |
关键字 |
rsa.web.web_ref_root |
Web 引荐来源的根 URL 路径 |
关键字 |
rsa.wireless.access_point |
此键用于捕获接入点名称。 |
关键字 |
rsa.wireless.wlan_channel |
用于捕获通道名称 |
长整型 |
rsa.wireless.wlan_name |
此键捕获 WLAN 编号/名称 |
关键字 |
rsa.wireless.wlan_ssid |
此键用于捕获无线会话的 ssid |
关键字 |
rule.name |
生成事件的规则或签名的名称。 |
关键字 |
server.domain |
服务器系统的域名。 此值可以是主机名、完全限定域名或其他主机命名格式。 该值可以来自原始事件或从富化中添加。 |
关键字 |
server.registered_domain |
最高的已注册服务器域,已去除子域。 例如,“foo.example.com”的已注册域是“example.com”。 可以使用诸如公共后缀列表(http://publicsuffix.org)之类的列表来精确确定此值。 尝试通过简单地取最后两个标签来近似处理此问题对于诸如“co.uk”之类的 TLD 将不起作用。 |
关键字 |
server.subdomain |
完全限定域名的子域部分包括注册域下所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,子域将包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
server.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
service.name |
从中收集服务数据的服务名称。服务名称通常由用户给定。这允许在多个主机上运行的分布式服务基于名称关联相关的实例。在 Elasticsearch 的情况下, |
关键字 |
source.address |
某些事件源地址的定义不明确。事件有时会列出 IP 地址、域名或 Unix 套接字。您应该始终将原始地址存储在 |
关键字 |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。 |
长整型 |
source.as.organization.name |
组织名称。 |
关键字 |
source.as.organization.name.text |
|
仅匹配文本 |
source.bytes |
从源发送到目标的字节数。 |
长整型 |
source.domain |
源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件,也可能来自富化。 |
关键字 |
source.geo.city_name |
城市名称。 |
关键字 |
source.geo.country_name |
国家/地区名称。 |
关键字 |
source.geo.location |
经度和纬度。 |
地理点 |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
ip |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
source.nat.ip |
基于 NAT 会话的源的转换 IP(例如,内部客户端到互联网)。通常是遍历负载均衡器、防火墙或路由器的连接。 |
ip |
source.nat.port |
基于 NAT 会话的源的转换端口。(例如,内部客户端到互联网)通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
source.port |
源的端口。 |
长整型 |
source.registered_domain |
最高的已注册源域名,已去除子域名。例如,“foo.example.com”的已注册域名是“example.com”。可以使用公共后缀列表 (http://publicsuffix.org) 等列表精确确定此值。尝试简单地取最后两个标签来近似此值对于“co.uk”等顶级域名效果不佳。 |
关键字 |
source.subdomain |
完全限定域名的子域部分包括注册域下所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,子域将包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
source.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
tags |
用于标记每个事件的关键字列表。 |
关键字 |
url.domain |
url 的域,例如 "https://elastic.ac.cn[www.elastic.co]"。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 |
关键字 |
url.original |
事件源中看到的未修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。 |
wildcard |
url.original.text |
|
仅匹配文本 |
url.path |
请求的路径,例如 "/search"。 |
wildcard |
url.query |
query 字段描述请求的查询字符串,例如“q=elasticsearch”。 |
关键字 |
url.registered_domain |
最高的已注册 URL 域名,已去除子域名。例如,“foo.example.com”的已注册域名是“example.com”。可以使用公共后缀列表 (http://publicsuffix.org) 等列表精确确定此值。尝试简单地取最后两个标签来近似此值对于“co.uk”等顶级域名效果不佳。 |
关键字 |
url.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
user.domain |
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。 |
关键字 |
user.full_name |
用户的全名(如果可用)。 |
关键字 |
user.full_name.text |
|
仅匹配文本 |
user.id |
用户的唯一标识符。 |
关键字 |
user.name |
用户的简称或登录名。 |
关键字 |
user.name.text |
|
仅匹配文本 |
user_agent.original |
未解析的 user_agent 字符串。 |
关键字 |
user_agent.original.text |
|
仅匹配文本 |
Fortimanager
编辑fortimanager 数据集收集 Fortinet Manager/Analyzer 日志。
示例
fortimanager 的示例事件如下所示
{
"@timestamp": "2016-01-29T06:09:59.000Z",
"agent": {
"ephemeral_id": "607e3bda-a938-4637-8dd4-02613e9144ac",
"id": "4e3f135a-d5f9-40b6-ae01-2c834ecbead0",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.0.0"
},
"data_stream": {
"dataset": "fortinet.fortimanager",
"namespace": "ep",
"type": "logs"
},
"destination": {
"bytes": 449,
"geo": {
"country_name": "sequa"
},
"ip": [
"10.44.173.44"
],
"nat": {
"ip": "10.189.58.145",
"port": 5273
},
"port": 6125
},
"ecs": {
"version": "8.3.0"
},
"elastic_agent": {
"id": "4e3f135a-d5f9-40b6-ae01-2c834ecbead0",
"snapshot": true,
"version": "8.0.0"
},
"event": {
"action": "allow",
"agent_id_status": "verified",
"code": "sse",
"dataset": "fortinet.fortimanager",
"ingested": "2022-01-25T12:33:50Z",
"original": "logver=iusm devname=\"modtempo\" devid=\"olab\" vd=nto date=2016-1-29 time=6:09:59 logid=sse type=exercita subtype=der level=very-high eventtime=odoco logtime=ria srcip=10.20.234.169 srcport=1001 srcintf=eth5722 srcintfrole=vol dstip=10.44.173.44 dstport=6125 dstintf=enp0s3068 dstintfrole=nseq poluuid=itinvol sessionid=psa proto=21 action=allow policyid=ntium policytype=psaq crscore=13.800000 craction=eab crlevel=aliqu appcat=Ute service=lupt srccountry=dolore dstcountry=sequa trandisp=abo tranip=10.189.58.145 tranport=5273 duration=14.119000 sentbyte=7880 rcvdbyte=449 sentpkt=mqui app=nci\n",
"timezone": "+00:00"
},
"input": {
"type": "udp"
},
"log": {
"level": "very-high",
"source": {
"address": "172.30.0.4:60997"
}
},
"network": {
"bytes": 8329
},
"observer": {
"egress": {
"interface": {
"name": "enp0s3068"
}
},
"ingress": {
"interface": {
"name": "eth5722"
}
},
"product": "FortiManager",
"type": "Configuration",
"vendor": "Fortinet"
},
"related": {
"hosts": [
"modtempo"
],
"ip": [
"10.189.58.145",
"10.20.234.169",
"10.44.173.44"
]
},
"rsa": {
"internal": {
"messageid": "generic_fortinetmgr_1"
},
"misc": {
"action": [
"allow"
],
"category": "der",
"context": "abo",
"event_source": "modtempo",
"event_type": "exercita",
"hardware_id": "olab",
"log_session_id": "psa",
"policy_id": "ntium",
"reference_id": "sse",
"severity": "very-high",
"vsys": "nto"
},
"network": {
"dinterface": "enp0s3068",
"network_service": "lupt",
"sinterface": "eth5722"
},
"time": {
"duration_time": 14.119,
"event_time": "2016-01-29T06:09:59.000Z",
"event_time_str": "odoco"
},
"web": {
"reputation_num": 13.8
}
},
"source": {
"bytes": 7880,
"geo": {
"country_name": "dolore"
},
"ip": [
"10.20.234.169"
],
"port": 1001
},
"tags": [
"preserve_original_event",
"fortinet-fortimanager",
"forwarded"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
client.domain |
客户端系统的域名。此值可能是主机名、完全限定的域名或其他主机命名格式。该值可能来自原始事件或从富化添加。 |
关键字 |
client.registered_domain |
最高级别的注册客户端域,已去除子域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后两个标签来近似此值,对于诸如“co.uk”之类的 TLD 将无法很好地工作。 |
关键字 |
client.subdomain |
完全限定域名的子域部分包括注册域下所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,子域将包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
client.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
cloud.account.id |
云账户或组织 ID,用于在多租户环境中标识不同的实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
cloud.availability_zone |
此主机运行所在的可用区。 |
关键字 |
cloud.image.id |
云实例的镜像 ID。 |
关键字 |
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
cloud.project.id |
Google Cloud 中项目的名称。 |
关键字 |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
cloud.region |
此主机运行所在的区域。 |
关键字 |
container.id |
唯一的容器 ID。 |
关键字 |
container.image.name |
构建容器所基于的镜像名称。 |
关键字 |
container.labels |
镜像标签。 |
对象 |
container.name |
容器名称。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
常量关键字 |
data_stream.namespace |
数据流命名空间。 |
常量关键字 |
data_stream.type |
数据流类型。 |
常量关键字 |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 unix 套接字。您应始终将原始地址存储在 |
关键字 |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。 |
长整型 |
destination.as.organization.name |
组织名称。 |
关键字 |
destination.as.organization.name.text |
|
仅匹配文本 |
destination.bytes |
从目标发送到源的字节数。 |
长整型 |
destination.domain |
目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可以来自原始事件,也可以通过扩充添加。 |
关键字 |
destination.geo.city_name |
城市名称。 |
关键字 |
destination.geo.country_name |
国家/地区名称。 |
关键字 |
destination.geo.location |
经度和纬度。 |
地理点 |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.mac |
目标的 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
destination.nat.ip |
基于 NAT 会话的目标转换 IP(例如,从互联网到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。 |
ip |
destination.nat.port |
源会话由 NAT 设备转换成的端口。通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
destination.port |
目标的端口。 |
长整型 |
destination.registered_domain |
最高级别的注册目标域,已去除子域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后两个标签来近似此值,对于诸如“co.uk”之类的 TLD 将无法很好地工作。 |
关键字 |
destination.subdomain |
完全限定域名的子域部分包括注册域下所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,子域将包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
destination.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
dns.answers.name |
此资源记录所属的域名。如果要解析 CNAME 链,则每个答案的 |
关键字 |
dns.answers.type |
此资源记录中包含的数据类型。 |
关键字 |
dns.question.domain |
服务器域。 |
关键字 |
dns.question.registered_domain |
最高级别的注册域,已去除子域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后两个标签来近似此值,对于诸如“co.uk”之类的 TLD 将无法很好地工作。 |
关键字 |
dns.question.subdomain |
子域是注册域下的所有标签。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
dns.question.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
dns.question.type |
正在查询的记录的类型。 |
关键字 |
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
error.message |
错误消息。 |
仅匹配文本 |
event.action |
事件捕获的操作。这描述了事件中的信息。它比 |
关键字 |
event.code |
此事件的标识代码(如果存在)。某些事件源使用事件代码来明确标识消息,无论消息语言或措辞随时间如何调整。Windows 事件 ID 就是一个例子。 |
关键字 |
event.dataset |
事件数据集 |
常量关键字 |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
日期 |
event.module |
事件模块 |
常量关键字 |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或者在需要完整日志消息(将其拆分为多个部分之前)的情况下,例如,对于重新索引。此字段未索引,并且禁用 doc_values。它无法搜索,但可以从 |
关键字 |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
关键字 |
event.timezone |
当事件的时间戳不包含时区信息时(例如,默认的 Syslog 时间戳),应填充此字段。否则,它是可选的。可接受的时区格式为:规范 ID(例如,“Europe/Amsterdam”)、缩写(例如,“EST”)或 HH:mm 差值(例如,“-05:00”)。 |
关键字 |
file.attributes |
文件属性的数组。属性名称将因平台而异。以下是此字段中预期的值的非详尽列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。 |
关键字 |
file.directory |
文件所在的目录。应包括驱动器盘符(如果适用)。 |
关键字 |
file.extension |
文件扩展名,不包括前导点。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 |
关键字 |
file.name |
文件名,包括扩展名,不包括目录。 |
关键字 |
file.path |
文件的完整路径,包括文件名。应包括驱动器盘符(如果适用)。 |
关键字 |
file.path.text |
|
仅匹配文本 |
file.size |
文件大小,以字节为单位。仅当 |
长整型 |
file.type |
文件类型(file、dir 或 symlink)。 |
关键字 |
geo.city_name |
城市名称。 |
关键字 |
geo.country_name |
国家/地区名称。 |
关键字 |
geo.name |
用户定义的位置描述,粒度级别由用户决定。可以是数据中心的名称、楼层号(如果描述的是本地物理实体)、城市名称。通常不用于自动地理定位。 |
关键字 |
geo.region_name |
地区名称。 |
关键字 |
group.id |
系统/平台上组的唯一标识符。 |
关键字 |
group.name |
组的名称。 |
关键字 |
host.architecture |
操作系统架构。 |
关键字 |
host.containerized |
主机是否为容器。 |
布尔值 |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。 |
关键字 |
host.hostname |
主机的hostname。它通常包含主机上的 |
关键字 |
host.id |
唯一主机 ID。由于主机名并非始终唯一,请使用在您的环境中具有意义的值。例如:当前 |
关键字 |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
host.name |
主机的名称。它可以包含 Unix 系统上的 |
关键字 |
host.os.build |
OS 构建信息。 |
关键字 |
host.os.codename |
OS 代码名称(如果有)。 |
关键字 |
host.os.family |
OS 系列(例如 redhat、debian、freebsd、windows)。 |
关键字 |
host.os.kernel |
操作系统内核版本,以原始字符串形式表示。 |
关键字 |
host.os.name |
操作系统名称,不含版本。 |
关键字 |
host.os.name.text |
|
文本 |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
host.os.version |
操作系统版本,以原始字符串形式表示。 |
关键字 |
host.type |
主机类型。对于云提供商,这可以是诸如 |
关键字 |
http.request.method |
HTTP 请求方法。该值应保留其来自原始事件的大小写。例如, |
关键字 |
http.request.referrer |
此 HTTP 请求的引用。 |
关键字 |
input.type |
Filebeat 输入类型。 |
关键字 |
log.file.path |
此事件来自的日志文件的完整路径。 |
关键字 |
log.flags |
日志文件的标志。 |
关键字 |
log.level |
日志事件的原始日志级别。如果事件源提供日志级别或文本严重性,则此级别或文本将进入 |
关键字 |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
log.source.address |
读取/发送日志事件的源地址。 |
关键字 |
log.syslog.facility.code |
日志事件的 Syslog 数字设备(如果可用)。根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。 |
长整型 |
log.syslog.priority |
事件的 Syslog 数字优先级(如果可用)。根据 RFC 5424 和 3164,优先级为 8 * 设备 + 严重性。因此,该数字应包含 0 到 191 之间的值。 |
长整型 |
log.syslog.severity.code |
日志事件的 Syslog 数字严重性(如果可用)。如果通过 Syslog 发布事件源提供了不同的数字严重性值(例如,防火墙、IDS),则源的数字严重性应进入 |
长整型 |
message |
对于日志事件,message 字段包含日志消息,已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多条消息,可以将它们合并为一条消息。 |
仅匹配文本 |
network.application |
当从网络连接详细信息(源/目标 IP、端口、证书或线路格式)中识别出特定应用程序或服务时,此字段捕获应用程序或服务的名称。例如,原始事件标识来自 |
关键字 |
network.bytes |
在两个方向上传输的总字节数。如果 |
长整型 |
network.direction |
网络流量的方向。在映射基于主机的监控上下文中的事件时,请从主机的角度使用值“ingress”或“egress”填充此字段。在映射基于网络或边界的监控上下文中的事件时,请从网络边界的角度使用值“inbound”、“outbound”、“internal”或“external”填充此字段。请注意,“internal”不会跨越边界,而是用来描述边界内两个主机之间的通信。另请注意,“external”用来描述两个边界外部主机之间的流量。例如,这对 ISP 或 VPN 服务提供商可能很有用。 |
关键字 |
network.forwarded_ip |
当源 IP 地址为代理时的主机 IP 地址。 |
ip |
network.interface.name |
关键字 |
|
network.packets |
在两个方向上传输的总数据包数。如果 |
长整型 |
network.protocol |
在 OSI 模型中,这应该是应用层协议。例如, |
关键字 |
observer.egress.interface.name |
系统报告的接口名称。 |
关键字 |
observer.ingress.interface.name |
系统报告的接口名称。 |
关键字 |
observer.product |
观察者的产品名称。 |
关键字 |
observer.type |
数据来源的观察者的类型。没有预定义的观察者类型列表。一些示例包括 |
关键字 |
observer.vendor |
观察者的供应商名称。 |
关键字 |
observer.version |
观察者版本。 |
关键字 |
process.name |
进程名称。有时称为程序名称或类似名称。 |
关键字 |
process.name.text |
|
仅匹配文本 |
process.parent.name |
进程名称。有时称为程序名称或类似名称。 |
关键字 |
process.parent.name.text |
|
仅匹配文本 |
process.parent.pid |
进程 ID。 |
长整型 |
process.parent.title |
进程标题。proctitle,有时与进程名称相同。也可以不同:例如,浏览器将其标题设置为当前打开的网页。 |
关键字 |
process.parent.title.text |
|
仅匹配文本 |
process.pid |
进程 ID。 |
长整型 |
process.title |
进程标题。proctitle,有时与进程名称相同。也可以不同:例如,浏览器将其标题设置为当前打开的网页。 |
关键字 |
process.title.text |
|
仅匹配文本 |
related.hosts |
在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 |
关键字 |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
在事件中看到的所有用户名或其他用户标识符。 |
关键字 |
rsa.counters.dclass_c1 |
这是一个通用计数器键,应仅与标签 dclass.c1.str 一起使用 |
长整型 |
rsa.counters.dclass_c1_str |
这是一个通用的计数器字符串键,应该只与标签 dclass.c1 一起使用 |
关键字 |
rsa.counters.dclass_c2 |
这是一个通用的计数器键,应该只与标签 dclass.c2.str 一起使用 |
长整型 |
rsa.counters.dclass_c2_str |
这是一个通用的计数器字符串键,应该只与标签 dclass.c2 一起使用 |
关键字 |
rsa.counters.dclass_c3 |
这是一个通用的计数器键,应该只与标签 dclass.c3.str 一起使用 |
长整型 |
rsa.counters.dclass_c3_str |
这是一个通用的计数器字符串键,应该只与标签 dclass.c3 一起使用 |
关键字 |
rsa.counters.dclass_r1 |
这是一个通用的比率键,应该只与标签 dclass.r1.str 一起使用 |
关键字 |
rsa.counters.dclass_r1_str |
这是一个通用的比率字符串键,应该只与标签 dclass.r1 一起使用 |
关键字 |
rsa.counters.dclass_r2 |
这是一个通用的比率键,应该只与标签 dclass.r2.str 一起使用 |
关键字 |
rsa.counters.dclass_r2_str |
这是一个通用的比率字符串键,应该只与标签 dclass.r2 一起使用 |
关键字 |
rsa.counters.dclass_r3 |
这是一个通用的比率键,应该只与标签 dclass.r3.str 一起使用 |
关键字 |
rsa.counters.dclass_r3_str |
这是一个通用的比率字符串键,应该只与标签 dclass.r3 一起使用 |
关键字 |
rsa.counters.event_counter |
用于捕获事件重复的次数 |
长整型 |
rsa.crypto.cert_ca |
此键仅用于捕获证书签名机构 |
关键字 |
rsa.crypto.cert_checksum |
关键字 |
|
rsa.crypto.cert_common |
此键仅用于捕获证书通用名称 |
关键字 |
rsa.crypto.cert_error |
此键捕获证书错误字符串 |
关键字 |
rsa.crypto.cert_host_cat |
此键用于证书的主机名类别值 |
关键字 |
rsa.crypto.cert_host_name |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.crypto.cert_issuer |
关键字 |
|
rsa.crypto.cert_keysize |
关键字 |
|
rsa.crypto.cert_serial |
此键仅用于捕获证书序列号 |
关键字 |
rsa.crypto.cert_status |
此键捕获证书验证状态 |
关键字 |
rsa.crypto.cert_subject |
此键仅用于捕获证书组织 |
关键字 |
rsa.crypto.cert_username |
关键字 |
|
rsa.crypto.cipher_dst |
此键用于目标(服务器)密码 |
关键字 |
rsa.crypto.cipher_size_dst |
此键捕获目标(服务器)密码大小 |
长整型 |
rsa.crypto.cipher_size_src |
此键捕获源(客户端)密码大小 |
长整型 |
rsa.crypto.cipher_src |
此键用于源(客户端)密码 |
关键字 |
rsa.crypto.crypto |
此键仅用于捕获加密类型或加密密钥 |
关键字 |
rsa.crypto.d_certauth |
关键字 |
|
rsa.crypto.https_insact |
关键字 |
|
rsa.crypto.https_valid |
关键字 |
|
rsa.crypto.ike |
IKE 协商阶段。 |
关键字 |
rsa.crypto.ike_cookie1 |
协商的 ID — 为 ISAKMP 第一阶段发送 |
关键字 |
rsa.crypto.ike_cookie2 |
协商的 ID — 为 ISAKMP 第二阶段发送 |
关键字 |
rsa.crypto.peer |
此键用于加密对等方的 IP 地址 |
关键字 |
rsa.crypto.peer_id |
此键用于加密对等方的身份 |
关键字 |
rsa.crypto.s_certauth |
关键字 |
|
rsa.crypto.scheme |
此键捕获使用的加密方案 |
关键字 |
rsa.crypto.sig_type |
此键捕获签名类型 |
关键字 |
rsa.crypto.ssl_ver_dst |
已弃用,请使用 version |
关键字 |
rsa.crypto.ssl_ver_src |
已弃用,请使用 version |
关键字 |
rsa.db.database |
此键用于捕获会话中看到的数据库或实例的名称 |
关键字 |
rsa.db.db_id |
此键用于捕获数据库的唯一标识符 |
关键字 |
rsa.db.db_pid |
此键捕获与数据库服务器连接的进程 ID |
长整型 |
rsa.db.index |
此键捕获索引的 IndexID。 |
关键字 |
rsa.db.instance |
此键用于捕获数据库服务器实例名称 |
关键字 |
rsa.db.lread |
此键用于逻辑读取次数 |
长整型 |
rsa.db.lwrite |
此键用于逻辑写入次数 |
长整型 |
rsa.db.permissions |
此键捕获分配给资源的权限或特权级别。 |
关键字 |
rsa.db.pread |
此键用于物理写入次数 |
长整型 |
rsa.db.table_name |
此键用于捕获表名称 |
关键字 |
rsa.db.transact_id |
此键捕获当前会话的 SQL 事务 ID |
关键字 |
rsa.email.email |
此键用于捕获通用电子邮件地址,其中源或目标上下文不明确 |
关键字 |
rsa.email.email_dst |
此键仅用于捕获目标电子邮件地址,当目标上下文不明确时,请使用 email |
关键字 |
rsa.email.email_src |
此键仅用于捕获源电子邮件地址,当源上下文不明确时,请使用 email |
关键字 |
rsa.email.subject |
此键仅用于捕获来自电子邮件的主题字符串。 |
关键字 |
rsa.email.trans_from |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.email.trans_to |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.endpoint.host_state |
此键用于捕获计算机的当前状态,例如 <strong>已列入黑名单</strong>、<strong>已感染</strong>、<strong>防火墙已禁用</strong> 等 |
关键字 |
rsa.endpoint.registry_key |
此键捕获注册表项的路径 |
关键字 |
rsa.endpoint.registry_value |
此键捕获注册表项中使用的值或修饰符 |
关键字 |
rsa.file.attachment |
此键捕获附件文件名 |
关键字 |
rsa.file.binary |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.file.directory_dst |
<span>此键用于捕获目标进程或文件的目录</span> |
关键字 |
rsa.file.directory_src |
此键用于捕获源进程或文件的目录 |
关键字 |
rsa.file.file_entropy |
用于捕获文件的熵值 |
double |
rsa.file.file_vendor |
用于捕获位于 version_info 中的文件公司名称 |
关键字 |
rsa.file.filename_dst |
用于捕获操作所针对的文件名 |
关键字 |
rsa.file.filename_src |
用于捕获执行操作的父文件名 |
关键字 |
rsa.file.filename_tmp |
关键字 |
|
rsa.file.filesystem |
关键字 |
|
rsa.file.privilege |
已弃用,请使用 permissions |
关键字 |
rsa.file.task_name |
用于捕获任务名称 |
关键字 |
rsa.healthcare.patient_fname |
此键仅用于名字,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.healthcare.patient_id |
此键捕获患者的唯一 ID |
关键字 |
rsa.healthcare.patient_lname |
此键仅用于姓氏,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.healthcare.patient_mname |
此键仅用于中间名,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.identity.accesses |
此键用于捕获访问对象时使用的实际特权 |
关键字 |
rsa.identity.auth_method |
此键仅用于捕获使用的身份验证方法 |
关键字 |
rsa.identity.dn |
X.500 (LDAP) 专有名称 |
关键字 |
rsa.identity.dn_dst |
在指示目标 dn 的上下文中使用 X.500 (LDAP) 专有名称 |
关键字 |
rsa.identity.dn_src |
在指示源 dn 的上下文中使用 X.500 (LDAP) 专有名称 |
关键字 |
rsa.identity.federated_idp |
此键是联合身份提供程序。这是提供身份验证的服务器。 |
关键字 |
rsa.identity.federated_sp |
此键是联合服务提供商。这是请求身份验证的应用程序。 |
关键字 |
rsa.identity.firstname |
此键仅用于名字,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.identity.host_role |
此键应仅用于捕获主机角色 |
关键字 |
rsa.identity.lastname |
此键仅用于姓氏,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.identity.ldap |
此键用于未解释的 LDAP 值。没有明确查询或响应上下文的 LDAP 值 |
关键字 |
rsa.identity.ldap_query |
此键是来自 LDAP 搜索的搜索条件 |
关键字 |
rsa.identity.ldap_response |
此键用于捕获来自 LDAP 搜索的结果 |
关键字 |
rsa.identity.logon_type |
此键用于捕获使用的登录方法类型。 |
关键字 |
rsa.identity.logon_type_desc |
此键用于捕获存储在元键 logon.type 中的整数登录类型的文本描述。 |
关键字 |
rsa.identity.middlename |
此键仅用于中间名,主要用于医疗保健以捕获患者信息 |
关键字 |
rsa.identity.org |
此键捕获用户组织 |
关键字 |
rsa.identity.owner |
用于捕获进程或服务运行的用户名,即任务的作者 |
关键字 |
rsa.identity.password |
此键用于在任何会话中看到的密码,纯文本或加密的密码 |
关键字 |
rsa.identity.profile |
此键用于捕获用户个人资料 |
关键字 |
rsa.identity.realm |
Radius 领域或类似的帐户分组 |
关键字 |
rsa.identity.service_account |
此键是 Windows 特定的键,用于捕获服务(在事件中引用)在其下运行的帐户名称。旧版用法 |
关键字 |
rsa.identity.user_dept |
仅用户部门名称 |
关键字 |
rsa.identity.user_role |
此键仅用于捕获用户的角色 |
关键字 |
rsa.identity.user_sid_dst |
此键捕获目标用户会话 ID |
关键字 |
rsa.identity.user_sid_src |
此键捕获源用户会话 ID |
关键字 |
rsa.internal.audit_class |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.cid |
这是用于标识 NetWitness Concentrator 的唯一标识符。此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.data |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.dead |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.device_class |
这是预定义的一组事件源分类下的日志事件源分类。此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.device_group |
此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.device_host |
这是将日志发送到 NetWitness 的日志事件源的主机名。此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.device_ip |
这是将日志发送到 NetWitness 的日志事件源的 IPv4 地址。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
ip |
rsa.internal.device_ipv6 |
这是将日志发送到 NetWitness 的日志事件源的 IPv6 地址。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
ip |
rsa.internal.device_type |
这是解析给定会话的日志解析器的名称。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.device_type_id |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.did |
这是用于标识 NetWitness 解码器的唯一标识符。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.entropy_req |
此键仅由熵解析器使用,元类型可以根据配置为 UInt16 或 Float32。 |
长整型 |
rsa.internal.entropy_res |
此键仅由熵解析器使用,元类型可以根据配置为 UInt16 或 Float32。 |
长整型 |
rsa.internal.entry |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.event_desc |
关键字 |
|
rsa.internal.event_name |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.feed_category |
用于捕获馈送的类别。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.feed_desc |
用于捕获馈送的描述。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.feed_name |
用于捕获馈送的名称。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.forward_ip |
此键用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV4 地址。 |
ip |
rsa.internal.forward_ipv6 |
此键用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV6 地址。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
ip |
rsa.internal.hcode |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.header_id |
这是标识解析特定日志会话的确切日志解析器标头定义的标头 ID 值。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.inode |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.lc_cid |
这是日志收集器的唯一标识符。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.lc_ctime |
这是在 NetWitness 日志收集器中收集日志的时间。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
日期 |
rsa.internal.level |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.mcb_req |
此键仅由熵解析器使用,最常见的字节请求只是对于每一侧(0 到 255)看到最多的字节。 |
长整型 |
rsa.internal.mcb_res |
此键仅由熵解析器使用,最常见的字节响应只是对于每一侧(0 到 255)看到最多的字节。 |
长整型 |
rsa.internal.mcbc_req |
此键仅由熵解析器使用,最常见的字节计数是在会话流中看到最常见的字节(以上)的次数。 |
长整型 |
rsa.internal.mcbc_res |
此键仅由熵解析器使用,最常见的字节计数是在会话流中看到最常见的字节(以上)的次数。 |
长整型 |
rsa.internal.medium |
此键用于标识它是日志/数据包会话还是第 2 层封装类型。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。32 = 日志,33 = 相关会话,< 32 是数据包会话 |
长整型 |
rsa.internal.message |
此键捕获即时消息的内容。 |
关键字 |
rsa.internal.messageid |
关键字 |
|
rsa.internal.msg |
此键用于捕获进入日志解码器的原始消息。 |
关键字 |
rsa.internal.msg_id |
这是标识解析特定日志会话的确切日志解析器定义的 Message ID1 值。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.msg_vid |
这是标识解析特定日志会话的确切日志解析器定义的 Message ID2 值。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.node_name |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.nwe_callback_id |
此键表示事件与端点相关。 |
关键字 |
rsa.internal.obj_id |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.obj_server |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.obj_val |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.parse_error |
这是一个特殊键,用于存储在解析日志会话时发现的任何元键验证错误。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.payload_req |
此键仅由熵解析器使用,有效负载大小指标是解析时每个会话侧的有效负载大小。但是,为了保持 |
长整型 |
rsa.internal.payload_res |
此键仅由熵解析器使用,有效负载大小指标是解析时每个会话侧的有效负载大小。但是,为了保持 |
长整型 |
rsa.internal.process_vid_dst |
端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示目标进程。 |
关键字 |
rsa.internal.process_vid_src |
端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示源进程。 |
关键字 |
rsa.internal.resource |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.resource_class |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.rid |
这是 NetWitness 解码器创建的远程会话的特殊 ID。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
长整型 |
rsa.internal.session_split |
此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.internal.site |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.size |
这是 NetWitness 解码器看到的会话大小。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
长整型 |
rsa.internal.sourcefile |
这是可以导入 NetWitness 的日志文件或 PCAP 的名称。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
关键字 |
rsa.internal.statement |
已弃用的键,仅在表映射中定义。 |
关键字 |
rsa.internal.time |
这是会话到达 NetWitness 解码器的时间。此键不应直接用于解析会话(日志/数据包)中的元数据,它是 NetWitness 中的保留键。 |
日期 |
rsa.internal.ubc_req |
此键仅由熵解析器使用,唯一字节计数是在每个流中看到的唯一字节数。256 表示至少看到了一次所有 0 到 255 的字节值。 |
长整型 |
rsa.internal.ubc_res |
此键仅由熵解析器使用,唯一字节计数是在每个流中看到的唯一字节数。256 表示至少看到了一次所有 0 到 255 的字节值。 |
长整型 |
rsa.internal.word |
Word Parsing 技术使用此项捕获未解析日志中每个单词的前 5 个字符。 |
关键字 |
rsa.investigations.analysis_file |
用于捕获文件分析中使用的所有指标。此键应用于捕获文件的分析。 |
关键字 |
rsa.investigations.analysis_service |
用于捕获服务分析中使用的所有指标。此键应用于捕获服务的分析。 |
关键字 |
rsa.investigations.analysis_session |
用于捕获会话分析中使用的所有指标。此键应用于捕获会话的分析。 |
关键字 |
rsa.investigations.boc |
用于捕获泄露行为。 |
关键字 |
rsa.investigations.ec_activity |
此键捕获特定事件活动(例如:注销)。 |
关键字 |
rsa.investigations.ec_outcome |
此键捕获特定事件的结果(例如:成功)。 |
关键字 |
rsa.investigations.ec_subject |
此键捕获特定事件的主题(例如:用户)。 |
关键字 |
rsa.investigations.ec_theme |
此键捕获特定事件的主题(例如:身份验证)。 |
关键字 |
rsa.investigations.eoc |
用于捕获泄露的促成因素。 |
关键字 |
rsa.investigations.event_cat |
此键捕获事件类别编号。 |
长整型 |
rsa.investigations.event_cat_name |
此键捕获与事件类别代码对应的事件类别名称。 |
关键字 |
rsa.investigations.event_vcat |
这是供应商提供的类别。当供应商采用自己的 event_category 分类法时,应使用此项。 |
关键字 |
rsa.investigations.inv_category |
用于捕获调查类别。 |
关键字 |
rsa.investigations.inv_context |
用于捕获调查上下文。 |
关键字 |
rsa.investigations.ioc |
此键捕获泄露指标。 |
关键字 |
rsa.misc.OS |
此键捕获操作系统的名称。 |
关键字 |
rsa.misc.acl_id |
关键字 |
|
rsa.misc.acl_op |
关键字 |
|
rsa.misc.acl_pos |
关键字 |
|
rsa.misc.acl_table |
关键字 |
|
rsa.misc.action |
关键字 |
|
rsa.misc.admin |
关键字 |
|
rsa.misc.agent_id |
此键用于捕获代理 ID。 |
关键字 |
rsa.misc.alarm_id |
关键字 |
|
rsa.misc.alarmname |
关键字 |
|
rsa.misc.alert_id |
已弃用,新的狩猎模型(inv.、ioc、boc、eoc、analysis。)。 |
关键字 |
rsa.misc.app_id |
关键字 |
|
rsa.misc.audit |
关键字 |
|
rsa.misc.audit_object |
关键字 |
|
rsa.misc.auditdata |
关键字 |
|
rsa.misc.autorun_type |
用于捕获自动运行类型。 |
关键字 |
rsa.misc.benchmark |
关键字 |
|
rsa.misc.bypass |
关键字 |
|
rsa.misc.cache |
关键字 |
|
rsa.misc.cache_hit |
关键字 |
|
rsa.misc.category |
此键用于捕获会话中由供应商提供的事件类别。 |
关键字 |
rsa.misc.cc_number |
仅限有效的信用卡号码。 |
长整型 |
rsa.misc.cefversion |
关键字 |
|
rsa.misc.cfg_attr |
关键字 |
|
rsa.misc.cfg_obj |
关键字 |
|
rsa.misc.cfg_path |
关键字 |
|
rsa.misc.change_attrib |
此键用于捕获会话中正在更改的属性的名称。 |
关键字 |
rsa.misc.change_new |
此键用于捕获会话中正在更改的属性的新值。 |
关键字 |
rsa.misc.change_old |
此键用于捕获会话中正在更改的属性的旧值。 |
关键字 |
rsa.misc.changes |
关键字 |
|
rsa.misc.checksum |
此键用于捕获实体(如文件或进程)的校验和或哈希值。当不清楚实体是操作的源还是目标时,应使用校验和而不是 checksum.src 或 checksum.dst。 |
关键字 |
rsa.misc.checksum_dst |
此键用于捕获目标实体(如进程或文件)的校验和或哈希值。 |
关键字 |
rsa.misc.checksum_src |
此键用于捕获源实体(如文件或进程)的校验和或哈希值。 |
关键字 |
rsa.misc.client |
此键用于仅捕获请求服务器资源的客户端应用程序的名称。有关捕获特定用户代理标识符或浏览器标识字符串的信息,请参见 user.agent 元键。 |
关键字 |
rsa.misc.client_ip |
关键字 |
|
rsa.misc.clustermembers |
关键字 |
|
rsa.misc.cmd |
关键字 |
|
rsa.misc.cn_acttimeout |
关键字 |
|
rsa.misc.cn_asn_src |
关键字 |
|
rsa.misc.cn_bgpv4nxthop |
关键字 |
|
rsa.misc.cn_ctr_dst_code |
关键字 |
|
rsa.misc.cn_dst_tos |
关键字 |
|
rsa.misc.cn_dst_vlan |
关键字 |
|
rsa.misc.cn_engine_id |
关键字 |
|
rsa.misc.cn_engine_type |
关键字 |
|
rsa.misc.cn_f_switch |
关键字 |
|
rsa.misc.cn_flowsampid |
关键字 |
|
rsa.misc.cn_flowsampintv |
关键字 |
|
rsa.misc.cn_flowsampmode |
关键字 |
|
rsa.misc.cn_inacttimeout |
关键字 |
|
rsa.misc.cn_inpermbyts |
关键字 |
|
rsa.misc.cn_inpermpckts |
关键字 |
|
rsa.misc.cn_invalid |
关键字 |
|
rsa.misc.cn_ip_proto_ver |
关键字 |
|
rsa.misc.cn_ipv4_ident |
关键字 |
|
rsa.misc.cn_l_switch |
关键字 |
|
rsa.misc.cn_log_did |
关键字 |
|
rsa.misc.cn_log_rid |
关键字 |
|
rsa.misc.cn_max_ttl |
关键字 |
|
rsa.misc.cn_maxpcktlen |
关键字 |
|
rsa.misc.cn_min_ttl |
关键字 |
|
rsa.misc.cn_minpcktlen |
关键字 |
|
rsa.misc.cn_mpls_lbl_1 |
关键字 |
|
rsa.misc.cn_mpls_lbl_10 |
关键字 |
|
rsa.misc.cn_mpls_lbl_2 |
关键字 |
|
rsa.misc.cn_mpls_lbl_3 |
关键字 |
|
rsa.misc.cn_mpls_lbl_4 |
关键字 |
|
rsa.misc.cn_mpls_lbl_5 |
关键字 |
|
rsa.misc.cn_mpls_lbl_6 |
关键字 |
|
rsa.misc.cn_mpls_lbl_7 |
关键字 |
|
rsa.misc.cn_mpls_lbl_8 |
关键字 |
|
rsa.misc.cn_mpls_lbl_9 |
关键字 |
|
rsa.misc.cn_mplstoplabel |
关键字 |
|
rsa.misc.cn_mplstoplabip |
关键字 |
|
rsa.misc.cn_mul_dst_byt |
关键字 |
|
rsa.misc.cn_mul_dst_pks |
关键字 |
|
rsa.misc.cn_muligmptype |
关键字 |
|
rsa.misc.cn_sampalgo |
关键字 |
|
rsa.misc.cn_sampint |
关键字 |
|
rsa.misc.cn_seqctr |
关键字 |
|
rsa.misc.cn_spackets |
关键字 |
|
rsa.misc.cn_src_tos |
关键字 |
|
rsa.misc.cn_src_vlan |
关键字 |
|
rsa.misc.cn_sysuptime |
关键字 |
|
rsa.misc.cn_template_id |
关键字 |
|
rsa.misc.cn_totbytsexp |
关键字 |
|
rsa.misc.cn_totflowexp |
关键字 |
|
rsa.misc.cn_totpcktsexp |
关键字 |
|
rsa.misc.cn_unixnanosecs |
关键字 |
|
rsa.misc.cn_v6flowlabel |
关键字 |
|
rsa.misc.cn_v6optheaders |
关键字 |
|
rsa.misc.code |
关键字 |
|
rsa.misc.command |
关键字 |
|
rsa.misc.comments |
日志消息中提供的注释信息 |
关键字 |
rsa.misc.comp_class |
关键字 |
|
rsa.misc.comp_name |
关键字 |
|
rsa.misc.comp_rbytes |
关键字 |
|
rsa.misc.comp_sbytes |
关键字 |
|
rsa.misc.comp_version |
此键捕获产品的子组件的版本级别。 |
关键字 |
rsa.misc.connection_id |
此键捕获连接 ID |
关键字 |
rsa.misc.content |
此键捕获协议头中的内容类型 |
关键字 |
rsa.misc.content_type |
此键仅用于捕获内容类型。 |
关键字 |
rsa.misc.content_version |
此键捕获签名或数据库内容的版本级别。 |
关键字 |
rsa.misc.context |
此键捕获为事件添加额外上下文的信息。 |
关键字 |
rsa.misc.context_subject |
此键用于审计上下文中,其中主体是被标识的对象 |
关键字 |
rsa.misc.context_target |
关键字 |
|
rsa.misc.count |
关键字 |
|
rsa.misc.cpu |
此键是记录事件执行中使用的 CPU 时间。 |
长整型 |
rsa.misc.cpu_data |
关键字 |
|
rsa.misc.criticality |
关键字 |
|
rsa.misc.cs_agency_dst |
关键字 |
|
rsa.misc.cs_analyzedby |
关键字 |
|
rsa.misc.cs_av_other |
关键字 |
|
rsa.misc.cs_av_primary |
关键字 |
|
rsa.misc.cs_av_secondary |
关键字 |
|
rsa.misc.cs_bgpv6nxthop |
关键字 |
|
rsa.misc.cs_bit9status |
关键字 |
|
rsa.misc.cs_context |
关键字 |
|
rsa.misc.cs_control |
关键字 |
|
rsa.misc.cs_data |
关键字 |
|
rsa.misc.cs_datecret |
关键字 |
|
rsa.misc.cs_dst_tld |
关键字 |
|
rsa.misc.cs_eth_dst_ven |
关键字 |
|
rsa.misc.cs_eth_src_ven |
关键字 |
|
rsa.misc.cs_event_uuid |
关键字 |
|
rsa.misc.cs_filetype |
关键字 |
|
rsa.misc.cs_fld |
关键字 |
|
rsa.misc.cs_if_desc |
关键字 |
|
rsa.misc.cs_if_name |
关键字 |
|
rsa.misc.cs_ip_next_hop |
关键字 |
|
rsa.misc.cs_ipv4dstpre |
关键字 |
|
rsa.misc.cs_ipv4srcpre |
关键字 |
|
rsa.misc.cs_lifetime |
关键字 |
|
rsa.misc.cs_log_medium |
关键字 |
|
rsa.misc.cs_loginname |
关键字 |
|
rsa.misc.cs_modulescore |
关键字 |
|
rsa.misc.cs_modulesign |
关键字 |
|
rsa.misc.cs_opswatresult |
关键字 |
|
rsa.misc.cs_payload |
关键字 |
|
rsa.misc.cs_registrant |
关键字 |
|
rsa.misc.cs_registrar |
关键字 |
|
rsa.misc.cs_represult |
关键字 |
|
rsa.misc.cs_rpayload |
关键字 |
|
rsa.misc.cs_sampler_name |
关键字 |
|
rsa.misc.cs_sourcemodule |
关键字 |
|
rsa.misc.cs_streams |
关键字 |
|
rsa.misc.cs_targetmodule |
关键字 |
|
rsa.misc.cs_v6nxthop |
关键字 |
|
rsa.misc.cs_whois_server |
关键字 |
|
rsa.misc.cs_yararesult |
关键字 |
|
rsa.misc.cve |
此键捕获 CVE(通用漏洞和披露)- 已知信息安全漏洞的标识符。 |
关键字 |
rsa.misc.data_type |
关键字 |
|
rsa.misc.description |
关键字 |
|
rsa.misc.device_name |
用于捕获与节点关联的设备的名称,例如:物理磁盘、打印机等 |
关键字 |
rsa.misc.devvendor |
关键字 |
|
rsa.misc.disposition |
此键捕获操作的最终状态。 |
关键字 |
rsa.misc.distance |
关键字 |
|
rsa.misc.doc_number |
此键捕获文件标识号 |
长整型 |
rsa.misc.dstburb |
关键字 |
|
rsa.misc.edomain |
关键字 |
|
rsa.misc.edomaub |
关键字 |
|
rsa.misc.ein_number |
仅限员工识别号 |
长整型 |
rsa.misc.error |
此键捕获所有不成功的错误代码或响应 |
关键字 |
rsa.misc.euid |
关键字 |
|
rsa.misc.event_category |
关键字 |
|
rsa.misc.event_computer |
此键是 Windows 独有的概念,其中此键用于捕获 Windows 日志中的完全限定域名。 |
关键字 |
rsa.misc.event_desc |
此键用于捕获直接可用或推断的事件描述 |
关键字 |
rsa.misc.event_id |
关键字 |
|
rsa.misc.event_log |
此键捕获事件日志的名称 |
关键字 |
rsa.misc.event_source |
此键捕获事件的来源,而不是主机名 |
关键字 |
rsa.misc.event_state |
此键捕获事件中引用的对象/项目的当前状态。描述正在进行的事件。 |
关键字 |
rsa.misc.event_type |
此键捕获事件源指定的事件类别类型。 |
关键字 |
rsa.misc.event_user |
此键是 Windows 独有的概念,其中此键用于捕获 Windows 日志中的域名和用户名的组合。 |
关键字 |
rsa.misc.expected_val |
此键捕获预期值(从生成日志的设备角度来看)。 |
关键字 |
rsa.misc.facility |
关键字 |
|
rsa.misc.facilityname |
关键字 |
|
rsa.misc.fcatnum |
此键捕获过滤器类别号。旧版用法 |
关键字 |
rsa.misc.filter |
此键捕获用于减少结果集的过滤器 |
关键字 |
rsa.misc.finterface |
关键字 |
|
rsa.misc.flags |
关键字 |
|
rsa.misc.forensic_info |
关键字 |
|
rsa.misc.found |
用于捕获正则表达式匹配的结果 |
关键字 |
rsa.misc.fresult |
此键捕获过滤器结果 |
长整型 |
rsa.misc.gaddr |
关键字 |
|
rsa.misc.group |
此键捕获组名称值 |
关键字 |
rsa.misc.group_id |
此键捕获组 ID 号(与组名称相关) |
关键字 |
rsa.misc.group_object |
此键捕获实体集合/分组。特定用法 |
关键字 |
rsa.misc.hardware_id |
此键用于捕获设备或系统的唯一标识符(不是 Mac 地址) |
关键字 |
rsa.misc.id3 |
关键字 |
|
rsa.misc.im_buddyid |
关键字 |
|
rsa.misc.im_buddyname |
关键字 |
|
rsa.misc.im_client |
关键字 |
|
rsa.misc.im_croomid |
关键字 |
|
rsa.misc.im_croomtype |
关键字 |
|
rsa.misc.im_members |
关键字 |
|
rsa.misc.im_userid |
关键字 |
|
rsa.misc.im_username |
关键字 |
|
rsa.misc.index |
关键字 |
|
rsa.misc.inout |
关键字 |
|
rsa.misc.ipkt |
关键字 |
|
rsa.misc.ipscat |
关键字 |
|
rsa.misc.ipspri |
关键字 |
|
rsa.misc.job_num |
此键捕获作业编号 |
关键字 |
rsa.misc.jobname |
关键字 |
|
rsa.misc.language |
用于捕获客户端支持的语言列表及其首选语言 |
关键字 |
rsa.misc.latitude |
关键字 |
|
rsa.misc.library |
此键用于捕获大型机设备中的库信息 |
关键字 |
rsa.misc.lifetime |
此键用于捕获会话生命周期(以秒为单位)。 |
长整型 |
rsa.misc.linenum |
关键字 |
|
rsa.misc.link |
此键用于链接会话。此键绝不应直接用于解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键 |
关键字 |
rsa.misc.list_name |
关键字 |
|
rsa.misc.listnum |
此键用于捕获列表名称或列表编号,主要用于收集访问列表 |
关键字 |
rsa.misc.load_data |
关键字 |
|
rsa.misc.location_floor |
关键字 |
|
rsa.misc.location_mark |
关键字 |
|
rsa.misc.log_id |
关键字 |
|
rsa.misc.log_session_id |
此键用于直接从会话中捕获会话 ID |
关键字 |
rsa.misc.log_session_id1 |
此键用于直接从会话中捕获链接的(相关的)会话 ID |
关键字 |
rsa.misc.log_type |
关键字 |
|
rsa.misc.logid |
关键字 |
|
rsa.misc.logip |
关键字 |
|
rsa.misc.logname |
关键字 |
|
rsa.misc.longitude |
关键字 |
|
rsa.misc.lport |
关键字 |
|
rsa.misc.mail_id |
此键用于捕获邮箱 ID/名称 |
关键字 |
rsa.misc.match |
此键用于来自 search.ini 的正则表达式匹配名称 |
关键字 |
rsa.misc.mbug_data |
关键字 |
|
rsa.misc.message_body |
此键捕获消息正文的内容。 |
关键字 |
rsa.misc.misc |
关键字 |
|
rsa.misc.misc_name |
关键字 |
|
rsa.misc.mode |
关键字 |
|
rsa.misc.msgIdPart1 |
关键字 |
|
rsa.misc.msgIdPart2 |
关键字 |
|
rsa.misc.msgIdPart3 |
关键字 |
|
rsa.misc.msgIdPart4 |
关键字 |
|
rsa.misc.msg_type |
关键字 |
|
rsa.misc.msgid |
关键字 |
|
rsa.misc.name |
关键字 |
|
rsa.misc.netsessid |
关键字 |
|
rsa.misc.node |
常见用例是集群中的节点名称。集群名称由主机名反映。 |
关键字 |
rsa.misc.ntype |
关键字 |
|
rsa.misc.num |
关键字 |
|
rsa.misc.number |
关键字 |
|
rsa.misc.number1 |
关键字 |
|
rsa.misc.number2 |
关键字 |
|
rsa.misc.nwwn |
关键字 |
|
rsa.misc.obj_name |
用于捕获对象名称 |
关键字 |
rsa.misc.obj_type |
用于捕获对象类型 |
关键字 |
rsa.misc.object |
关键字 |
|
rsa.misc.observed_val |
此键捕获观察到的值(从生成日志的设备角度来看)。 |
关键字 |
rsa.misc.operation |
关键字 |
|
rsa.misc.operation_id |
警报编号或操作编号。这些值应是唯一的且不重复的。 |
关键字 |
rsa.misc.opkt |
关键字 |
|
rsa.misc.orig_from |
关键字 |
|
rsa.misc.owner_id |
关键字 |
|
rsa.misc.p_action |
关键字 |
|
rsa.misc.p_filter |
关键字 |
|
rsa.misc.p_group_object |
关键字 |
|
rsa.misc.p_id |
关键字 |
|
rsa.misc.p_msgid |
关键字 |
|
rsa.misc.p_msgid1 |
关键字 |
|
rsa.misc.p_msgid2 |
关键字 |
|
rsa.misc.p_result1 |
关键字 |
|
rsa.misc.param |
此键是作为命令或应用程序等一部分传递的参数。 |
关键字 |
rsa.misc.param_dst |
此键捕获目标进程或文件的命令行/启动参数 |
关键字 |
rsa.misc.param_src |
此键捕获源参数 |
关键字 |
rsa.misc.parent_node |
此键捕获父节点名称。必须与节点变量相关。 |
关键字 |
rsa.misc.password_chg |
关键字 |
|
rsa.misc.password_expire |
关键字 |
|
rsa.misc.payload_dst |
此键用于捕获目标负载 |
关键字 |
rsa.misc.payload_src |
此键用于捕获源负载 |
关键字 |
rsa.misc.permgranted |
关键字 |
|
rsa.misc.permwanted |
关键字 |
|
rsa.misc.pgid |
关键字 |
|
rsa.misc.phone |
关键字 |
|
rsa.misc.pid |
关键字 |
|
rsa.misc.policy |
关键字 |
|
rsa.misc.policyUUID |
关键字 |
|
rsa.misc.policy_id |
此键仅用于捕获策略 ID,这应该是一个数值,否则请使用 policy.name |
关键字 |
rsa.misc.policy_name |
此键仅用于捕获策略名称。 |
关键字 |
rsa.misc.policy_value |
此键捕获策略的内容。其中包含有关策略的详细信息 |
关键字 |
rsa.misc.policy_waiver |
关键字 |
|
rsa.misc.pool_id |
此键捕获资源池的标识符(通常为数字字段) |
关键字 |
rsa.misc.pool_name |
此键捕获资源池的名称 |
关键字 |
rsa.misc.port_name |
此键用于物理或逻辑端口连接,但不包括网络端口。(示例:打印机端口名称)。 |
关键字 |
rsa.misc.priority |
关键字 |
|
rsa.misc.process_id_val |
当进程 ID 不是整数值时,此键是进程 ID 的失败键 |
关键字 |
rsa.misc.prog_asp_num |
关键字 |
|
rsa.misc.program |
关键字 |
|
rsa.misc.real_data |
关键字 |
|
rsa.misc.reason |
关键字 |
|
rsa.misc.rec_asp_device |
关键字 |
|
rsa.misc.rec_asp_num |
关键字 |
|
rsa.misc.rec_library |
关键字 |
|
rsa.misc.recordnum |
关键字 |
|
rsa.misc.reference_id |
此键用于直接从会话中捕获事件 ID |
关键字 |
rsa.misc.reference_id1 |
此键用于链接 ID,作为 "reference.id" 的补充 |
关键字 |
rsa.misc.reference_id2 |
此键用于第二个链接 ID。可以链接到 "reference.id" 或 "reference.id1" 值,但除非其他两个变量在起作用,否则不应使用。 |
关键字 |
rsa.misc.result |
此键用于捕获会话中操作的结果/结果字符串值。 |
关键字 |
rsa.misc.result_code |
此键用于捕获会话中操作的结果/结果数值 |
关键字 |
rsa.misc.risk |
此键捕获非数值风险值 |
关键字 |
rsa.misc.risk_info |
已弃用,请使用新的狩猎模型 (inv., ioc, boc, eoc, analysis.) |
关键字 |
rsa.misc.risk_num |
此键捕获数值风险值 |
double |
rsa.misc.risk_num_comm |
此键捕获风险编号社区 |
double |
rsa.misc.risk_num_next |
此键捕获风险编号 NextGen |
double |
rsa.misc.risk_num_sand |
此键捕获风险编号沙盒 |
double |
rsa.misc.risk_num_static |
此键捕获风险编号静态 |
double |
rsa.misc.risk_suspicious |
已弃用,请使用新的狩猎模型 (inv., ioc, boc, eoc, analysis.) |
关键字 |
rsa.misc.risk_warning |
已弃用,请使用新的狩猎模型 (inv., ioc, boc, eoc, analysis.) |
关键字 |
rsa.misc.ruid |
关键字 |
|
rsa.misc.rule |
此键捕获规则编号 |
关键字 |
rsa.misc.rule_group |
此键捕获规则组名称 |
关键字 |
rsa.misc.rule_name |
此键捕获规则名称 |
关键字 |
rsa.misc.rule_template |
一组默认参数,这些参数会叠加到规则(或规则名称)上,从而构成一个模板 |
关键字 |
rsa.misc.rule_uid |
此键是规则的唯一标识符。 |
关键字 |
rsa.misc.sburb |
关键字 |
|
rsa.misc.sdomain_fld |
关键字 |
|
rsa.misc.search_text |
此键捕获使用的搜索文本 |
关键字 |
rsa.misc.sec |
关键字 |
|
rsa.misc.second |
关键字 |
|
rsa.misc.sensor |
此键捕获传感器的名称。通常用于基于 IDS/IPS 的设备中 |
关键字 |
rsa.misc.sensorname |
关键字 |
|
rsa.misc.seqnum |
关键字 |
|
rsa.misc.serial_number |
此键是与物理资产关联的序列号。 |
关键字 |
rsa.misc.session |
关键字 |
|
rsa.misc.sessiontype |
关键字 |
|
rsa.misc.severity |
此键用于捕获会话的严重性 |
关键字 |
rsa.misc.sigUUID |
关键字 |
|
rsa.misc.sig_id |
此键捕获 IDS/IPS 入侵签名 ID |
长整型 |
rsa.misc.sig_id1 |
此键捕获 IDS/IPS 入侵签名 ID。这必须链接到 sig.id |
长整型 |
rsa.misc.sig_id_str |
此键捕获 sigid 变量的字符串对象。 |
关键字 |
rsa.misc.sig_name |
此键仅用于捕获签名名称。 |
关键字 |
rsa.misc.sigcat |
关键字 |
|
rsa.misc.snmp_oid |
SNMP 对象标识符 |
关键字 |
rsa.misc.snmp_value |
SNMP 设置请求值 |
关键字 |
rsa.misc.space |
关键字 |
|
rsa.misc.space1 |
关键字 |
|
rsa.misc.spi |
关键字 |
|
rsa.misc.spi_dst |
目标 SPI 索引 |
关键字 |
rsa.misc.spi_src |
源 SPI 索引 |
关键字 |
rsa.misc.sql |
此键捕获 SQL 查询 |
关键字 |
rsa.misc.srcburb |
关键字 |
|
rsa.misc.srcdom |
关键字 |
|
rsa.misc.srcservice |
关键字 |
|
rsa.misc.state |
关键字 |
|
rsa.misc.status |
关键字 |
|
rsa.misc.status1 |
关键字 |
|
rsa.misc.streams |
此键捕获会话中的流数 |
长整型 |
rsa.misc.subcategory |
关键字 |
|
rsa.misc.svcno |
关键字 |
|
rsa.misc.system |
关键字 |
|
rsa.misc.tbdstr1 |
关键字 |
|
rsa.misc.tbdstr2 |
关键字 |
|
rsa.misc.tcp_flags |
此键捕获会话中任何数据包中设置的 TCP 标志 |
长整型 |
rsa.misc.terminal |
此键仅捕获终端名称 |
关键字 |
rsa.misc.tgtdom |
关键字 |
|
rsa.misc.tgtdomain |
关键字 |
|
rsa.misc.threshold |
关键字 |
|
rsa.misc.tos |
此键描述服务类型 |
长整型 |
rsa.misc.trigger_desc |
此键捕获触发器或阈值条件的描述。 |
关键字 |
rsa.misc.trigger_val |
此键捕获触发器或阈值条件的值。 |
关键字 |
rsa.misc.type |
关键字 |
|
rsa.misc.type1 |
关键字 |
|
rsa.misc.udb_class |
关键字 |
|
rsa.misc.url_fld |
关键字 |
|
rsa.misc.user_div |
关键字 |
|
rsa.misc.userid |
关键字 |
|
rsa.misc.username_fld |
关键字 |
|
rsa.misc.utcstamp |
关键字 |
|
rsa.misc.v_instafname |
关键字 |
|
rsa.misc.version |
此键捕获生成事件的应用程序或操作系统的版本。 |
关键字 |
rsa.misc.virt_data |
关键字 |
|
rsa.misc.virusname |
此键捕获病毒的名称 |
关键字 |
rsa.misc.vm_target |
VMWare 目标 仅限 VMWARE 变量。 |
关键字 |
rsa.misc.vpnid |
关键字 |
|
rsa.misc.vsys |
此键捕获虚拟系统名称 |
关键字 |
rsa.misc.vuln_ref |
此键捕获漏洞参考详细信息 |
关键字 |
rsa.misc.workspace |
此键捕获工作区描述 |
关键字 |
rsa.network.ad_computer_dst |
已弃用,请使用 host.dst |
关键字 |
rsa.network.addr |
关键字 |
|
rsa.network.alias_host |
当主机名的源或目标上下文不明确时,应使用此键。它还捕获设备主机名。任何不是 ad.computer 的主机名。 |
关键字 |
rsa.network.dinterface |
此键仅应在它是目标接口时使用 |
关键字 |
rsa.network.dmask |
此键用于目标设备网络掩码 |
关键字 |
rsa.network.dns_a_record |
关键字 |
|
rsa.network.dns_cname_record |
关键字 |
|
rsa.network.dns_id |
关键字 |
|
rsa.network.dns_opcode |
关键字 |
|
rsa.network.dns_ptr_record |
关键字 |
|
rsa.network.dns_resp |
关键字 |
|
rsa.network.dns_type |
关键字 |
|
rsa.network.domain |
关键字 |
|
rsa.network.domain1 |
关键字 |
|
rsa.network.eth_host |
已弃用,请使用 alias.mac |
关键字 |
rsa.network.eth_type |
此键用于捕获以太网类型,仅用于第 3 层协议 |
长整型 |
rsa.network.faddr |
关键字 |
|
rsa.network.fhost |
关键字 |
|
rsa.network.fport |
关键字 |
|
rsa.network.gateway |
此键用于捕获网关的 IP 地址 |
关键字 |
rsa.network.host_dst |
此键仅应在它是目标主机名时使用 |
关键字 |
rsa.network.host_orig |
用于在转发代理或代理之间的情况下捕获原始主机名。 |
关键字 |
rsa.network.host_type |
关键字 |
|
rsa.network.icmp_code |
此键仅用于捕获 ICMP 代码 |
长整型 |
rsa.network.icmp_type |
此键仅用于捕获 ICMP 类型 |
长整型 |
rsa.network.interface |
当接口的源或目标上下文不明确时,应使用此键 |
关键字 |
rsa.network.ip_proto |
此键应用于捕获协议号,所有协议号在 UI 中都转换为字符串 |
长整型 |
rsa.network.laddr |
关键字 |
|
rsa.network.lhost |
关键字 |
|
rsa.network.linterface |
关键字 |
|
rsa.network.mask |
此键用于捕获设备网络 IP 掩码。 |
关键字 |
rsa.network.netname |
此键用于捕获与 IP 范围关联的网络名称。这是由最终用户配置的。 |
关键字 |
rsa.network.network_port |
已弃用,请使用 port。注意:当前使用的类型存在差异,TM:Int32,INDEX:UInt64(为什么两者都未选择正确的 UInt16?!) |
长整型 |
rsa.network.network_service |
用于捕获第 7 层协议/服务名称 |
关键字 |
rsa.network.origin |
关键字 |
|
rsa.network.packet_length |
关键字 |
|
rsa.network.paddr |
已弃用 |
ip |
rsa.network.phost |
关键字 |
|
rsa.network.port |
当方向性不明确时,此键仅应用于捕获网络端口 |
长整型 |
rsa.network.protocol_detail |
此键应用于捕获其他协议信息 |
关键字 |
rsa.network.remote_domain_id |
关键字 |
|
rsa.network.rpayload |
此键用于捕获在重新传输的数据包中看到的有效负载字节总数。 |
关键字 |
rsa.network.sinterface |
此键仅应在它是源接口时使用 |
关键字 |
rsa.network.smask |
此键用于捕获源网络掩码 |
关键字 |
rsa.network.vlan |
此键仅应用于捕获虚拟 LAN 的 ID |
长整型 |
rsa.network.vlan_name |
此键仅应用于捕获虚拟 LAN 的名称 |
关键字 |
rsa.network.zone |
当区域的源或目标上下文不明确时,应使用此键 |
关键字 |
rsa.network.zone_dst |
此键仅应在它是目标区域时使用。 |
关键字 |
rsa.network.zone_src |
此键仅应在它是源区域时使用。 |
关键字 |
rsa.physical.org_dst |
用于根据 GEOPIP Maxmind 数据库捕获目标组织。 |
关键字 |
rsa.physical.org_src |
用于根据 GEOPIP Maxmind 数据库捕获源组织。 |
关键字 |
rsa.storage.disk_volume |
分配给物理磁盘内逻辑单元(卷)的唯一名称 |
关键字 |
rsa.storage.lun |
逻辑单元号。此键是存储中非常有用的概念。 |
关键字 |
rsa.storage.pwwn |
这唯一标识 HBA 上的端口。 |
关键字 |
rsa.threat.alert |
此键用于捕获警报的名称 |
关键字 |
rsa.threat.threat_category |
此键捕获威胁名称/威胁类别/警报分类 |
关键字 |
rsa.threat.threat_desc |
此键用于直接或推断地捕获会话中的威胁描述 |
关键字 |
rsa.threat.threat_source |
此键用于捕获威胁的来源 |
关键字 |
rsa.time.date |
关键字 |
|
rsa.time.datetime |
关键字 |
|
rsa.time.day |
关键字 |
|
rsa.time.duration_str |
持续时间的文本字符串版本 |
关键字 |
rsa.time.duration_time |
此键用于捕获标准化的持续时间/生存时间(以秒为单位)。 |
double |
rsa.time.effective_time |
此键是标准时间戳格式的单个事件引用的有效时间 |
日期 |
rsa.time.endtime |
此键用于以标准形式捕获会话中提到的结束时间 |
日期 |
rsa.time.event_queue_time |
此键是事件排队的时间。 |
日期 |
rsa.time.event_time |
此键用于捕获原始会话中提到的时间,该时间以标准化的形式表示事件发生的实际时间 |
日期 |
rsa.time.event_time_str |
此键用于捕获会话中提到的不完整时间,以字符串形式 |
关键字 |
rsa.time.eventtime |
关键字 |
|
rsa.time.expire_time |
此键是明确引用到期的时间戳。 |
日期 |
rsa.time.expire_time_str |
此键用于捕获明确引用到期的不完整时间戳。 |
关键字 |
rsa.time.gmtdate |
关键字 |
|
rsa.time.gmttime |
关键字 |
|
rsa.time.hour |
关键字 |
|
rsa.time.min |
关键字 |
|
rsa.time.month |
关键字 |
|
rsa.time.p_date |
关键字 |
|
rsa.time.p_month |
关键字 |
|
rsa.time.p_time |
关键字 |
|
rsa.time.p_time1 |
关键字 |
|
rsa.time.p_time2 |
关键字 |
|
rsa.time.p_year |
关键字 |
|
rsa.time.process_time |
已弃用,请使用 duration.time |
关键字 |
rsa.time.recorded_time |
系统记录事件时收集的事件时间。 使用场景是多层应用程序,其中系统的管理层在从其子节点收集时记录自己的时间戳。 必须采用时间戳格式。 |
日期 |
rsa.time.stamp |
已弃用的键,仅在表映射中定义。 |
日期 |
rsa.time.starttime |
此键用于以标准形式捕获会话中提到的开始时间 |
日期 |
rsa.time.timestamp |
关键字 |
|
rsa.time.timezone |
此键用于捕获事件时间的时区 |
关键字 |
rsa.time.tzone |
关键字 |
|
rsa.time.year |
关键字 |
|
rsa.web.alias_host |
关键字 |
|
rsa.web.cn_asn_dst |
关键字 |
|
rsa.web.cn_rpackets |
关键字 |
|
rsa.web.fqdn |
完全限定域名 |
关键字 |
rsa.web.p_url |
关键字 |
|
rsa.web.p_user_agent |
关键字 |
|
rsa.web.p_web_cookie |
关键字 |
|
rsa.web.p_web_method |
关键字 |
|
rsa.web.p_web_referer |
关键字 |
|
rsa.web.remote_domain |
关键字 |
|
rsa.web.reputation_num |
实体的信誉编号。通常用于 Web 域 |
double |
rsa.web.urlpage |
关键字 |
|
rsa.web.urlroot |
关键字 |
|
rsa.web.web_cookie |
此键专门用于捕获 Web cookie。 |
关键字 |
rsa.web.web_extension_tmp |
关键字 |
|
rsa.web.web_page |
关键字 |
|
rsa.web.web_ref_domain |
Web 引荐来源的域 |
关键字 |
rsa.web.web_ref_page |
此键捕获 Web 引荐来源的页面信息 |
关键字 |
rsa.web.web_ref_query |
此键捕获 Web 引荐来源的 URL 的查询部分 |
关键字 |
rsa.web.web_ref_root |
Web 引荐来源的根 URL 路径 |
关键字 |
rsa.wireless.access_point |
此键用于捕获接入点名称。 |
关键字 |
rsa.wireless.wlan_channel |
用于捕获通道名称 |
长整型 |
rsa.wireless.wlan_name |
此键捕获 WLAN 编号/名称 |
关键字 |
rsa.wireless.wlan_ssid |
此键用于捕获无线会话的 ssid |
关键字 |
rule.name |
生成事件的规则或签名的名称。 |
关键字 |
server.domain |
服务器系统的域名。 此值可以是主机名、完全限定域名或其他主机命名格式。 该值可以来自原始事件或从富化中添加。 |
关键字 |
server.registered_domain |
最高的已注册服务器域,已去除子域。 例如,“foo.example.com”的已注册域是“example.com”。 可以使用诸如公共后缀列表(http://publicsuffix.org)之类的列表来精确确定此值。 尝试通过简单地取最后两个标签来近似处理此问题对于诸如“co.uk”之类的 TLD 将不起作用。 |
关键字 |
server.subdomain |
完全限定域名的子域部分包括注册域下所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,子域将包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
server.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
service.name |
从中收集服务数据的服务名称。服务名称通常由用户给定。这允许在多个主机上运行的分布式服务基于名称关联相关的实例。在 Elasticsearch 的情况下, |
关键字 |
source.address |
某些事件源地址的定义不明确。事件有时会列出 IP 地址、域名或 Unix 套接字。您应该始终将原始地址存储在 |
关键字 |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识互联网上的每个网络。 |
长整型 |
source.as.organization.name |
组织名称。 |
关键字 |
source.as.organization.name.text |
|
仅匹配文本 |
source.bytes |
从源发送到目标的字节数。 |
长整型 |
source.domain |
源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件,也可能来自富化。 |
关键字 |
source.geo.city_name |
城市名称。 |
关键字 |
source.geo.country_name |
国家/地区名称。 |
关键字 |
source.geo.location |
经度和纬度。 |
地理点 |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
ip |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
source.nat.ip |
基于 NAT 会话的源的转换 IP(例如,内部客户端到互联网)。通常是遍历负载均衡器、防火墙或路由器的连接。 |
ip |
source.nat.port |
基于 NAT 会话的源的转换端口。(例如,内部客户端到互联网)通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
source.port |
源的端口。 |
长整型 |
source.registered_domain |
最高的已注册源域名,已去除子域名。例如,“foo.example.com”的已注册域名是“example.com”。可以使用公共后缀列表 (http://publicsuffix.org) 等列表精确确定此值。尝试简单地取最后两个标签来近似此值对于“co.uk”等顶级域名效果不佳。 |
关键字 |
source.subdomain |
完全限定域名的子域部分包括注册域下所有名称,但不包括主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,子域将包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,没有尾随句点。 |
关键字 |
source.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
tags |
用于标记每个事件的关键字列表。 |
关键字 |
url.domain |
url 的域,例如 "https://elastic.ac.cn[www.elastic.co]"。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 |
关键字 |
url.extension |
该字段包含来自原始请求 URL 的文件扩展名,不包括前导点。仅当文件扩展名存在时才会设置文件扩展名,因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如,该值必须是“png”,而不是“.png”。请注意,当文件名有多个扩展名 (example.tar.gz) 时,应仅捕获最后一个 (“gz”,而不是“tar.gz”)。 |
关键字 |
url.fragment |
URL 中 |
关键字 |
url.original |
事件源中看到的未修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。 |
wildcard |
url.original.text |
|
仅匹配文本 |
url.path |
请求的路径,例如 "/search"。 |
wildcard |
url.query |
query 字段描述请求的查询字符串,例如“q=elasticsearch”。 |
关键字 |
url.registered_domain |
最高的已注册 URL 域名,已去除子域名。例如,“foo.example.com”的已注册域名是“example.com”。可以使用公共后缀列表 (http://publicsuffix.org) 等列表精确确定此值。尝试简单地取最后两个标签来近似此值对于“co.uk”等顶级域名效果不佳。 |
关键字 |
url.scheme |
请求的协议,例如“https”。注意: |
关键字 |
url.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名最后一部分。例如,example.com 的顶级域是“com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试通过简单地取最后一个标签来近似此值,对于诸如“co.uk”之类的有效 TLD 将无法很好地工作。 |
关键字 |
user.domain |
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。 |
关键字 |
user.full_name |
用户的全名(如果可用)。 |
关键字 |
user.full_name.text |
|
仅匹配文本 |
user.id |
用户的唯一标识符。 |
关键字 |
user.name |
用户的简称或登录名。 |
关键字 |
user.name.text |
|
仅匹配文本 |
user_agent.original |
未解析的 user_agent 字符串。 |
关键字 |
user_agent.original.text |
|
仅匹配文本 |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.9.0 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.8.1 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.7.2 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.7.1 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.6.2 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.6.1 |
缺陷修复 (查看拉取请求) |
7.14.1 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
— |
1.5.0 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.4.3 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.4.2 |
缺陷修复 (查看拉取请求) |
7.14.1 或更高版本 |
1.4.1 |
缺陷修复 (查看拉取请求) |
7.14.1 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.3.2 |
缺陷修复 (查看拉取请求) |
7.14.1 或更高版本 |
1.3.1 |
缺陷修复 (查看拉取请求) |
— |
1.3.0 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.2.4 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.2.3 |
增强 (查看拉取请求) |
— |
1.2.2 |
缺陷修复 (查看拉取请求) |
— |
1.2.1 |
缺陷修复 (查看拉取请求) |
— |
1.2.0 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.1.5 |
缺陷修复 (查看拉取请求) |
— |
1.1.4 |
增强 (查看拉取请求) |
— |
1.1.3 |
增强 (查看拉取请求) |
— |
1.1.2 |
缺陷修复 (查看拉取请求) |
7.14.0 或更高版本 |
1.1.1 |
增强 (查看拉取请求) |
— |
1.1.0 |
增强 (查看拉取请求) |
— |
1.0.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
— |
0.9.1 |
增强 (查看拉取请求) |
— |
0.9.0 |
增强 (查看拉取请求) |
— |
0.8.2 |
增强 (查看拉取请求) |
— |
0.8.1 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |