Fortinet FortiClient 集成
编辑Fortinet FortiClient 集成
编辑此集成用于以 syslog 格式发送的 Fortinet FortiClient 日志。
兼容性
编辑此集成已针对 FortiOS 6.0.x 和 6.2.x 版本进行了测试。预计更高版本也能工作,但尚未经过测试。
日志
编辑log 数据集收集 JFortinet FortiClient 日志。
示例
log 的示例事件如下所示
{
"@timestamp": "2021-01-29T06:09:59.000Z",
"agent": {
"ephemeral_id": "e212d683-d4b4-42ac-ba98-c8414ff62188",
"id": "4e3f135a-d5f9-40b6-ae01-2c834ecbead0",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.0.0"
},
"data_stream": {
"dataset": "fortinet_forticlient.log",
"namespace": "ep",
"type": "logs"
},
"destination": {
"ip": [
"10.102.123.34"
],
"port": 3994
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "4e3f135a-d5f9-40b6-ae01-2c834ecbead0",
"snapshot": true,
"version": "8.0.0"
},
"event": {
"action": "deny",
"agent_id_status": "verified",
"code": "http",
"dataset": "fortinet_forticlient.log",
"ingested": "2022-01-25T12:25:45Z",
"original": "January 29 06:09:59 boNemoe4402.www.invalid proto=udp service=http status=deny src=10.150.92.220 dst=10.102.123.34 src_port=7178 dst_port=3994 server_app=reeufugi pid=7880 app_name=enderitq traff_direct=external block_count=5286 [email protected] msg=failure\n",
"outcome": "failure",
"timezone": "+00:00"
},
"host": {
"name": "boNemoe4402.www.invalid"
},
"input": {
"type": "udp"
},
"log": {
"source": {
"address": "172.30.0.4:54478"
}
},
"network": {
"direction": "external",
"protocol": "udp"
},
"observer": {
"product": "FortiClient",
"type": "Anti-Virus",
"vendor": "Fortinet"
},
"process": {
"pid": 7880
},
"related": {
"hosts": [
"litesse6379.api.domain",
"boNemoe4402.www.invalid"
],
"ip": [
"10.150.92.220",
"10.102.123.34"
],
"user": [
"sumdo"
]
},
"rsa": {
"counters": {
"dclass_c1": 5286,
"dclass_c1_str": "block_count"
},
"internal": {
"messageid": "http"
},
"investigations": {
"ec_outcome": "Failure",
"ec_subject": "NetworkComm",
"ec_theme": "ALM"
},
"misc": {
"action": [
"deny"
],
"result": "failure\n"
},
"network": {
"alias_host": [
"boNemoe4402.www.invalid"
],
"domain": "litesse6379.api.domain",
"network_service": "http"
},
"time": {
"event_time": "2021-01-29T06:09:59.000Z"
}
},
"server": {
"domain": "litesse6379.api.domain",
"registered_domain": "api.domain",
"subdomain": "litesse6379",
"top_level_domain": "domain"
},
"source": {
"ip": [
"10.150.92.220"
],
"port": 7178
},
"tags": [
"preserve_original_event",
"fortinet-clientendpoint",
"forwarded"
],
"user": {
"name": "sumdo"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次收到事件的时间填充。所有事件的必填字段。 |
日期 |
client.domain |
客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件,也可能来自富化。 |
关键词 |
client.registered_domain |
最高的注册客户端域,已去除子域。例如,“foo.example.com”的注册域为“example.com”。可以使用公共后缀列表(http://publicsuffix.org)精确确定此值。尝试简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将不起作用。 |
关键词 |
client.subdomain |
完全限定域名的子域部分包括注册域下的所有名称,除了主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,则子域包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,末尾没有句点。 |
关键词 |
client.top_level_domain |
有效的顶级域名 (eTLD),也称为域名后缀,是域名最后的部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)精确确定此值。尝试简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。 |
关键词 |
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键词 |
cloud.availability_zone |
此主机正在运行的可用区。 |
关键词 |
cloud.image.id |
云实例的映像 ID。 |
关键词 |
cloud.instance.id |
主机机器的实例 ID。 |
关键词 |
cloud.instance.name |
主机机器的实例名称。 |
关键词 |
cloud.machine.type |
主机机器的机器类型。 |
关键词 |
cloud.project.id |
Google Cloud 中项目的名称。 |
关键词 |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键词 |
cloud.region |
此主机正在运行的区域。 |
关键词 |
container.id |
唯一的容器 ID。 |
关键词 |
container.image.name |
容器构建所基于的映像的名称。 |
关键词 |
container.labels |
映像标签。 |
对象 |
container.name |
容器名称。 |
关键词 |
data_stream.dataset |
数据流数据集。 |
常量关键词 |
data_stream.namespace |
数据流命名空间。 |
常量关键词 |
data_stream.type |
数据流类型。 |
常量关键词 |
destination.address |
某些事件目标地址的定义是模糊的。事件有时会列出 IP、域或 unix 套接字。您应始终将原始地址存储在 |
关键词 |
destination.as.number |
分配给自治系统的唯一数字。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
destination.as.organization.name |
组织名称。 |
关键词 |
destination.as.organization.name.text |
|
仅匹配文本 |
destination.bytes |
从目标发送到源的字节数。 |
长整型 |
destination.domain |
目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件,也可能来自富化。 |
关键词 |
destination.geo.city_name |
城市名称。 |
关键词 |
destination.geo.country_name |
国家/地区名称。 |
关键词 |
destination.geo.location |
经度和纬度。 |
地理点 |
destination.ip |
目标的 IP 地址(IPv4 或 IPv6)。 |
IP |
destination.mac |
目标的 MAC 地址。建议采用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键词 |
destination.nat.ip |
基于 NAT 会话转换的目标 IP(例如,互联网到专用 DMZ)。通常与负载平衡器、防火墙或路由器一起使用。 |
IP |
destination.nat.port |
源会话由 NAT 设备转换为的端口。通常与负载平衡器、防火墙或路由器一起使用。 |
长整型 |
destination.port |
目标的端口。 |
长整型 |
destination.registered_domain |
最高的注册目标域,已去除子域。例如,“foo.example.com”的注册域为“example.com”。可以使用公共后缀列表(http://publicsuffix.org)精确确定此值。尝试简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将不起作用。 |
关键词 |
destination.subdomain |
完全限定域名的子域部分包括注册域下的所有名称,除了主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,则子域包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,末尾没有句点。 |
关键词 |
destination.top_level_domain |
有效的顶级域名 (eTLD),也称为域名后缀,是域名最后的部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)精确确定此值。尝试简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。 |
关键词 |
dns.answers.name |
此资源记录所属的域名。如果要解析 CNAME 链,则每个答案的 |
关键词 |
dns.answers.type |
此资源记录中包含的数据类型。 |
关键词 |
dns.question.domain |
服务器域名。 |
关键词 |
dns.question.registered_domain |
最高的注册域,已去除子域。例如,“foo.example.com”的注册域为“example.com”。可以使用公共后缀列表(http://publicsuffix.org)精确确定此值。尝试简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将不起作用。 |
关键词 |
dns.question.subdomain |
子域是注册域下的所有标签。如果域有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,末尾没有句点。 |
关键词 |
dns.question.top_level_domain |
有效的顶级域名 (eTLD),也称为域名后缀,是域名最后的部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)精确确定此值。尝试简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。 |
关键词 |
dns.question.type |
正在查询的记录类型。 |
关键词 |
ecs.version |
此事件符合的 ECS 版本。 |
关键词 |
error.message |
错误消息。 |
仅匹配文本 |
event.action |
事件捕获的操作。这描述了事件中的信息。它比 |
关键词 |
event.code |
此事件的标识代码(如果存在)。某些事件源使用事件代码来明确标识消息,而不管消息语言或随着时间的推移进行的措辞调整如何。一个例子是 Windows 事件 ID。 |
关键词 |
event.dataset |
事件数据集 |
常量关键词 |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
日期 |
event.module |
事件模块 |
常量关键词 |
event.original |
整个事件的原始文本消息。用于演示日志完整性或可能需要完整日志消息(在将其拆分为多个部分之前)的情况,例如用于重新索引。此字段未编制索引,并且 doc_values 已禁用。它无法搜索,但可以从 |
关键词 |
event.outcome |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最低级别。 |
关键词 |
event.timezone |
当事件的时间戳不包含时区信息时(例如,默认的 Syslog 时间戳),应填充此字段。否则,它是可选的。可接受的时区格式包括:规范 ID(例如“Europe/Amsterdam”)、缩写形式(例如“EST”)或 HH:mm 差值(例如“-05:00”)。 |
关键词 |
file.attributes |
文件属性数组。属性名称会因平台而异。以下是此字段中预期值的非详尽列表:archive(存档)、compressed(已压缩)、directory(目录)、encrypted(已加密)、execute(执行)、hidden(隐藏)、read(读取)、readonly(只读)、system(系统)、write(写入)。 |
关键词 |
file.directory |
文件所在的目录。如果适用,应包括驱动器盘符。 |
关键词 |
file.extension |
文件扩展名,不包括前导点。请注意,当文件名有多个扩展名 (例如 example.tar.gz) 时,应仅捕获最后一个扩展名 ("gz",而不是 "tar.gz")。 |
关键词 |
file.name |
文件名,包括扩展名,但不包括目录。 |
关键词 |
file.path |
文件的完整路径,包括文件名。如果适用,应包括驱动器盘符。 |
关键词 |
file.path.text |
|
仅匹配文本 |
file.size |
文件大小,以字节为单位。仅当 |
长整型 |
file.type |
文件类型(文件、目录或符号链接)。 |
关键词 |
geo.city_name |
城市名称。 |
关键词 |
geo.country_name |
国家/地区名称。 |
关键词 |
geo.name |
用户定义的位置描述,粒度级别由用户决定。可以是他们数据中心的名称、楼层号(如果描述的是本地物理实体)、城市名称。通常不用于自动地理定位。 |
关键词 |
geo.region_name |
区域名称。 |
关键词 |
group.id |
系统/平台上组的唯一标识符。 |
关键词 |
group.name |
组的名称。 |
关键词 |
host.architecture |
操作系统架构。 |
关键词 |
host.containerized |
主机是否为容器。 |
boolean |
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。 |
关键词 |
host.hostname |
主机的 hostname。通常包含主机上 |
关键词 |
host.id |
唯一的主机 ID。由于 hostname 并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键词 |
host.ip |
主机 IP 地址。 |
IP |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,给出该八位字节的值作为无符号整数。连续的八位字节之间用连字符分隔。 |
关键词 |
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键词 |
host.os.build |
操作系统构建信息。 |
关键词 |
host.os.codename |
操作系统代号(如果有)。 |
关键词 |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
关键词 |
host.os.kernel |
操作系统内核版本,以原始字符串形式。 |
关键词 |
host.os.name |
操作系统名称,不包括版本。 |
关键词 |
host.os.name.text |
|
text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键词 |
host.os.version |
操作系统版本,以原始字符串形式。 |
关键词 |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键词 |
http.request.method |
HTTP 请求方法。该值应保留原始事件中的大小写。例如, |
关键词 |
http.request.referrer |
此 HTTP 请求的引用者。 |
关键词 |
input.type |
Filebeat 输入类型。 |
关键词 |
log.file.path |
此事件来源的日志文件的完整路径。 |
关键词 |
log.flags |
日志文件的标志。 |
关键词 |
log.level |
日志事件的原始日志级别。如果事件源提供了日志级别或文本严重性,则此值将放入 |
关键词 |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
log.source.address |
从中读取/发送日志事件的源地址。 |
关键词 |
log.syslog.facility.code |
日志事件的 Syslog 数字设施,如果可用。根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。 |
长整型 |
log.syslog.priority |
事件的 Syslog 数字优先级,如果可用。根据 RFC 5424 和 3164,优先级是 8 * 设施 + 严重性。因此,该数字应包含 0 到 191 之间的值。 |
长整型 |
log.syslog.severity.code |
日志事件的 Syslog 数字严重性,如果可用。如果通过 Syslog 发布事件的事件源提供了不同的数字严重性值(例如,防火墙、IDS),则您来源的数字严重性应转到 |
长整型 |
message |
对于日志事件,message 字段包含日志消息,该消息针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人工可读摘要。如果存在多条消息,则可以将它们合并为一条消息。 |
仅匹配文本 |
network.application |
当从网络连接详细信息(源/目标 IP、端口、证书或线路格式)识别出特定应用程序或服务时,此字段捕获应用程序或服务的名称。例如,原始事件标识来自 |
关键词 |
network.bytes |
两个方向传输的总字节数。如果知道 |
长整型 |
network.direction |
网络流量的方向。当从基于主机的监视上下文中映射事件时,请从主机的角度使用值“ingress”或“egress”填充此字段。当从基于网络或边界的监视上下文中映射事件时,请从网络边界的角度使用值“inbound”、“outbound”、“internal”或“external”填充此字段。请注意,“internal”不会跨越边界,旨在描述边界内两个主机之间的通信。另请注意,“external”旨在描述边界外部两个主机之间的流量。例如,这对于 ISP 或 VPN 服务提供商可能很有用。 |
关键词 |
network.forwarded_ip |
当源 IP 地址是代理时的主机 IP 地址。 |
IP |
network.interface.name |
关键词 |
|
network.packets |
两个方向传输的总数据包数。如果知道 |
长整型 |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
关键词 |
observer.egress.interface.name |
系统报告的接口名称。 |
关键词 |
observer.ingress.interface.name |
系统报告的接口名称。 |
关键词 |
observer.product |
观察者的产品名称。 |
关键词 |
observer.type |
数据来源的观察者的类型。没有预定义的观察者类型列表。一些示例包括 |
关键词 |
observer.vendor |
观察者的供应商名称。 |
关键词 |
observer.version |
观察者版本。 |
关键词 |
process.name |
进程名称。有时称为程序名称或类似名称。 |
关键词 |
process.name.text |
|
仅匹配文本 |
process.parent.name |
进程名称。有时称为程序名称或类似名称。 |
关键词 |
process.parent.name.text |
|
仅匹配文本 |
process.parent.pid |
进程 ID。 |
长整型 |
process.parent.title |
进程标题。进程标题,有时与进程名称相同。也可以不同:例如,浏览器将其标题设置为当前打开的网页。 |
关键词 |
process.parent.title.text |
|
仅匹配文本 |
process.pid |
进程 ID。 |
长整型 |
process.title |
进程标题。进程标题,有时与进程名称相同。也可以不同:例如,浏览器将其标题设置为当前打开的网页。 |
关键词 |
process.title.text |
|
仅匹配文本 |
related.hosts |
在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 |
关键词 |
related.ip |
在您的事件中看到的所有 IP。 |
IP |
related.user |
在事件中看到的所有用户名或其他用户标识符。 |
关键词 |
rsa.counters.dclass_c1 |
这是一个通用计数器键,应仅与标签 dclass.c1.str 一起使用 |
长整型 |
rsa.counters.dclass_c1_str |
这是一个通用计数器字符串键,应仅与标签 dclass.c1 一起使用 |
关键词 |
rsa.counters.dclass_c2 |
这是一个通用计数器键,应仅与标签 dclass.c2.str 一起使用 |
长整型 |
rsa.counters.dclass_c2_str |
这是一个通用计数器字符串键,应仅与标签 dclass.c2 一起使用 |
关键词 |
rsa.counters.dclass_c3 |
这是一个通用计数器键,应仅与标签 dclass.c3.str 一起使用 |
长整型 |
rsa.counters.dclass_c3_str |
这是一个通用计数器字符串键,应仅与标签 dclass.c3 一起使用 |
关键词 |
rsa.counters.dclass_r1 |
这是一个通用比率键,应仅与标签 dclass.r1.str 一起使用 |
关键词 |
rsa.counters.dclass_r1_str |
这是一个通用比率字符串键,应仅与标签 dclass.r1 一起使用 |
关键词 |
rsa.counters.dclass_r2 |
这是一个通用比率键,应仅与标签 dclass.r2.str 一起使用 |
关键词 |
rsa.counters.dclass_r2_str |
这是一个通用比率字符串键,应仅与标签 dclass.r2 一起使用 |
关键词 |
rsa.counters.dclass_r3 |
这是一个通用比率键,应仅与标签 dclass.r3.str 一起使用 |
关键词 |
rsa.counters.dclass_r3_str |
这是一个通用比率字符串键,应仅与标签 dclass.r3 一起使用 |
关键词 |
rsa.counters.event_counter |
这用于捕获事件重复的次数 |
长整型 |
rsa.crypto.cert_ca |
此键仅用于捕获证书签名机构。 |
关键词 |
rsa.crypto.cert_checksum |
关键词 |
|
rsa.crypto.cert_common |
此键仅用于捕获证书的通用名称。 |
关键词 |
rsa.crypto.cert_error |
此键捕获证书错误字符串。 |
关键词 |
rsa.crypto.cert_host_cat |
此键用于捕获证书的主机名类别值。 |
关键词 |
rsa.crypto.cert_host_name |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.crypto.cert_issuer |
关键词 |
|
rsa.crypto.cert_keysize |
关键词 |
|
rsa.crypto.cert_serial |
此键仅用于捕获证书序列号。 |
关键词 |
rsa.crypto.cert_status |
此键捕获证书验证状态。 |
关键词 |
rsa.crypto.cert_subject |
此键仅用于捕获证书组织信息。 |
关键词 |
rsa.crypto.cert_username |
关键词 |
|
rsa.crypto.cipher_dst |
此键用于目标(服务器)密码。 |
关键词 |
rsa.crypto.cipher_size_dst |
此键捕获目标(服务器)密码大小。 |
长整型 |
rsa.crypto.cipher_size_src |
此键捕获源(客户端)密码大小。 |
长整型 |
rsa.crypto.cipher_src |
此键用于源(客户端)密码。 |
关键词 |
rsa.crypto.crypto |
此键用于捕获加密类型或加密密钥。 |
关键词 |
rsa.crypto.d_certauth |
关键词 |
|
rsa.crypto.https_insact |
关键词 |
|
rsa.crypto.https_valid |
关键词 |
|
rsa.crypto.ike |
IKE 协商阶段。 |
关键词 |
rsa.crypto.ike_cookie1 |
协商的 ID — 为 ISAKMP 第一阶段发送。 |
关键词 |
rsa.crypto.ike_cookie2 |
协商的 ID — 为 ISAKMP 第二阶段发送。 |
关键词 |
rsa.crypto.peer |
此键用于加密对等方的 IP 地址。 |
关键词 |
rsa.crypto.peer_id |
此键用于加密对等方的身份。 |
关键词 |
rsa.crypto.s_certauth |
关键词 |
|
rsa.crypto.scheme |
此键捕获使用的加密方案。 |
关键词 |
rsa.crypto.sig_type |
此键捕获签名类型。 |
关键词 |
rsa.crypto.ssl_ver_dst |
已弃用,请使用 version。 |
关键词 |
rsa.crypto.ssl_ver_src |
已弃用,请使用 version。 |
关键词 |
rsa.db.database |
此键用于捕获会话中看到的数据库或实例的名称。 |
关键词 |
rsa.db.db_id |
此键用于捕获数据库的唯一标识符。 |
关键词 |
rsa.db.db_pid |
此键捕获与数据库服务器连接的进程 ID。 |
长整型 |
rsa.db.index |
此键捕获索引的 IndexID。 |
关键词 |
rsa.db.instance |
此键用于捕获数据库服务器实例名称。 |
关键词 |
rsa.db.lread |
此键用于逻辑读取次数。 |
长整型 |
rsa.db.lwrite |
此键用于逻辑写入次数。 |
长整型 |
rsa.db.permissions |
此键捕获分配给资源的权限或特权级别。 |
关键词 |
rsa.db.pread |
此键用于物理写入次数。 |
长整型 |
rsa.db.table_name |
此键用于捕获表名。 |
关键词 |
rsa.db.transact_id |
此键捕获当前会话的 SQL 事务 ID。 |
关键词 |
rsa.email.email |
此键用于捕获通用电子邮件地址,其中源或目标上下文不明确。 |
关键词 |
rsa.email.email_dst |
此键仅用于捕获目标电子邮件地址,当目标上下文不明确时,请使用 email。 |
关键词 |
rsa.email.email_src |
此键仅用于捕获源电子邮件地址,当源上下文不明确时,请使用 email。 |
关键词 |
rsa.email.subject |
此键仅用于捕获电子邮件中的主题字符串。 |
关键词 |
rsa.email.trans_from |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.email.trans_to |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.endpoint.host_state |
此键用于捕获计算机的当前状态,例如 <strong>已列入黑名单</strong>、<strong>已感染</strong>、<strong>防火墙已禁用</strong>等。 |
关键词 |
rsa.endpoint.registry_key |
此键捕获注册表项的路径。 |
关键词 |
rsa.endpoint.registry_value |
此键捕获注册表项中使用的值或修饰符。 |
关键词 |
rsa.file.attachment |
此键捕获附件文件名。 |
关键词 |
rsa.file.binary |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.file.directory_dst |
<span>此键用于捕获目标进程或文件的目录。</span> |
关键词 |
rsa.file.directory_src |
此键用于捕获源进程或文件的目录。 |
关键词 |
rsa.file.file_entropy |
此键用于捕获文件的熵值。 |
double |
rsa.file.file_vendor |
此键用于捕获 version_info 中找到的文件的公司名称。 |
关键词 |
rsa.file.filename_dst |
此键用于捕获操作的目标文件名。 |
关键词 |
rsa.file.filename_src |
此键用于捕获执行操作的父文件名。 |
关键词 |
rsa.file.filename_tmp |
关键词 |
|
rsa.file.filesystem |
关键词 |
|
rsa.file.privilege |
已弃用,请使用 permissions。 |
关键词 |
rsa.file.task_name |
此键用于捕获任务名称。 |
关键词 |
rsa.healthcare.patient_fname |
此键仅用于名字,主要用于医疗保健领域以捕获患者信息。 |
关键词 |
rsa.healthcare.patient_id |
此键捕获患者的唯一 ID。 |
关键词 |
rsa.healthcare.patient_lname |
此键仅用于姓氏,主要用于医疗保健领域以捕获患者信息。 |
关键词 |
rsa.healthcare.patient_mname |
此键仅用于中间名,主要用于医疗保健领域以捕获患者信息。 |
关键词 |
rsa.identity.accesses |
此键用于捕获访问对象时使用的实际特权。 |
关键词 |
rsa.identity.auth_method |
此键仅用于捕获使用的身份验证方法。 |
关键词 |
rsa.identity.dn |
X.500 (LDAP) 可分辨名称。 |
关键词 |
rsa.identity.dn_dst |
一个 X.500 (LDAP) 可分辨名称,在表示目标 dn 的上下文中使用。 |
关键词 |
rsa.identity.dn_src |
一个 X.500 (LDAP) 可分辨名称,在表示源 dn 的上下文中使用。 |
关键词 |
rsa.identity.federated_idp |
此键是联合身份提供程序。这是提供身份验证的服务器。 |
关键词 |
rsa.identity.federated_sp |
此键是联合服务提供商。这是请求身份验证的应用程序。 |
关键词 |
rsa.identity.firstname |
此键仅用于名字,主要用于医疗保健领域以捕获患者信息。 |
关键词 |
rsa.identity.host_role |
此键仅应用于捕获主机计算机的角色。 |
关键词 |
rsa.identity.lastname |
此键仅用于姓氏,主要用于医疗保健领域以捕获患者信息。 |
关键词 |
rsa.identity.ldap |
此键用于未解释的 LDAP 值。没有明确查询或响应上下文的 LDAP 值。 |
关键词 |
rsa.identity.ldap_query |
此键是 LDAP 搜索的搜索条件。 |
关键词 |
rsa.identity.ldap_response |
此键用于捕获 LDAP 搜索的结果。 |
关键词 |
rsa.identity.logon_type |
此键用于捕获使用的登录方法类型。 |
关键词 |
rsa.identity.logon_type_desc |
此键用于捕获存储在元键 logon.type 中的整数登录类型的文本描述。 |
关键词 |
rsa.identity.middlename |
此键仅用于中间名,主要用于医疗保健领域以捕获患者信息。 |
关键词 |
rsa.identity.org |
此键捕获用户组织。 |
关键词 |
rsa.identity.owner |
此键用于捕获进程或服务运行的用户名称,即任务的作者。 |
关键词 |
rsa.identity.password |
此键用于在任何会话中看到的密码,无论是明文还是加密的。 |
关键词 |
rsa.identity.profile |
此键用于捕获用户配置文件。 |
关键词 |
rsa.identity.realm |
Radius 领域或类似的帐户分组。 |
关键词 |
rsa.identity.service_account |
此键是一个 Windows 特定的键,用于捕获服务(在事件中引用)运行的帐户名称。旧版用法。 |
关键词 |
rsa.identity.user_dept |
仅限用户部门名称。 |
关键词 |
rsa.identity.user_role |
此键仅用于捕获用户的角色。 |
关键词 |
rsa.identity.user_sid_dst |
此键捕获目标用户会话 ID。 |
关键词 |
rsa.identity.user_sid_src |
此键捕获源用户会话 ID。 |
关键词 |
rsa.internal.audit_class |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.internal.cid |
这是用于标识 NetWitness Concentrator 的唯一标识符。此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.data |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.internal.dead |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.device_class |
这是预定义的固定事件源分类集下日志事件源的分类。此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.device_group |
此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.device_host |
这是将日志发送到 NetWitness 的日志事件源的主机名。此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.device_ip |
这是将日志发送到 NetWitness 的日志事件源的 IPv4 地址。此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
IP |
rsa.internal.device_ipv6 |
这是将日志发送到 NetWitness 的日志事件源的 IPv6 地址。此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
IP |
rsa.internal.device_type |
这是解析给定会话的日志解析器的名称。此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.device_type_id |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.did |
这是用于标识 NetWitness Decoder 的唯一标识符。此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.entropy_req |
此键仅由熵解析器使用,元类型可以是 UInt16 或 Float32,具体取决于配置。 |
长整型 |
rsa.internal.entropy_res |
此键仅由熵解析器使用,元类型可以是 UInt16 或 Float32,具体取决于配置。 |
长整型 |
rsa.internal.entry |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.internal.event_desc |
关键词 |
|
rsa.internal.event_name |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.internal.feed_category |
此键用于捕获 Feed 的类别。此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.feed_desc |
此键用于捕获 Feed 的描述。此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.feed_name |
此键用于捕获 Feed 的名称。此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.forward_ip |
此键应用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV4 地址。 |
IP |
rsa.internal.forward_ipv6 |
此键用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV6 地址。此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
IP |
rsa.internal.hcode |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.internal.header_id |
这是标识解析特定日志会话的精确日志解析器头定义的头 ID 值。此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.inode |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.lc_cid |
这是日志收集器的唯一标识符。此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.lc_ctime |
这是在 NetWitness 日志收集器中收集日志的时间。此键不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键。 |
日期 |
rsa.internal.level |
已弃用的键,仅在表映射中定义。 |
长整型 |
rsa.internal.mcb_req |
此键仅供熵解析器使用,最常见的字节请求仅仅是查看每一侧(0 到 255)哪个字节出现频率最高。 |
长整型 |
rsa.internal.mcb_res |
此键仅供熵解析器使用,最常见的字节响应仅仅是查看每一侧(0 到 255)哪个字节出现频率最高。 |
长整型 |
rsa.internal.mcbc_req |
此键仅供熵解析器使用,最常见的字节计数是指在会话流中看到的最常见字节(如上所述)的次数。 |
长整型 |
rsa.internal.mcbc_res |
此键仅供熵解析器使用,最常见的字节计数是指在会话流中看到的最常见字节(如上所述)的次数。 |
长整型 |
rsa.internal.medium |
此键用于标识是日志/数据包会话还是第 2 层封装类型。此键不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键。32 = 日志,33 = 关联会话,< 32 为数据包会话。 |
长整型 |
rsa.internal.message |
此键捕获即时消息的内容。 |
关键词 |
rsa.internal.messageid |
关键词 |
|
rsa.internal.msg |
此键用于捕获进入日志解码器的原始消息。 |
关键词 |
rsa.internal.msg_id |
这是消息 ID1 值,用于标识解析特定日志会话的确切日志解析器定义。此键不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.msg_vid |
这是消息 ID2 值,用于标识解析特定日志会话的确切日志解析器定义。此键不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.node_name |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.internal.nwe_callback_id |
此键表示事件与端点相关。 |
关键词 |
rsa.internal.obj_id |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.internal.obj_server |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.internal.obj_val |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.internal.parse_error |
这是一个特殊键,用于存储在解析日志会话时发现的任何元键验证错误。此键不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.payload_req |
此键仅供熵解析器使用,有效负载大小指标是解析时每个会话侧的有效负载大小。但是,为了保持... |
长整型 |
rsa.internal.payload_res |
此键仅供熵解析器使用,有效负载大小指标是解析时每个会话侧的有效负载大小。但是,为了保持... |
长整型 |
rsa.internal.process_vid_dst |
端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示目标进程。 |
关键词 |
rsa.internal.process_vid_src |
端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示源进程。 |
关键词 |
rsa.internal.resource |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.internal.resource_class |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.internal.rid |
这是 NetWitness 解码器创建的远程会话的特殊 ID。此键不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键。 |
长整型 |
rsa.internal.session_split |
此键永远不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.site |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.internal.size |
这是 NetWitness 解码器看到的会话大小。此键不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键。 |
长整型 |
rsa.internal.sourcefile |
这是可以导入到 NetWitness 的日志文件或 PCAP 的名称。此键不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键。 |
关键词 |
rsa.internal.statement |
已弃用的键,仅在表映射中定义。 |
关键词 |
rsa.internal.time |
这是会话到达 NetWitness 解码器的时间。此键不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键。 |
日期 |
rsa.internal.ubc_req |
此键仅供熵解析器使用,唯一字节计数是指在每个流中看到的唯一字节数。256 表示至少看到一次所有 0 到 255 的字节值。 |
长整型 |
rsa.internal.ubc_res |
此键仅供熵解析器使用,唯一字节计数是指在每个流中看到的唯一字节数。256 表示至少看到一次所有 0 到 255 的字节值。 |
长整型 |
rsa.internal.word |
字词解析技术使用此键捕获未解析日志中每个单词的前 5 个字符。 |
关键词 |
rsa.investigations.analysis_file |
此键用于捕获文件分析中使用的所有指示符。此键应用于捕获文件分析。 |
关键词 |
rsa.investigations.analysis_service |
此键用于捕获服务分析中使用的所有指示符。此键应用于捕获服务分析。 |
关键词 |
rsa.investigations.analysis_session |
此键用于捕获会话分析中使用的所有指示符。此键应用于捕获会话分析。 |
关键词 |
rsa.investigations.boc |
此键用于捕获遭破坏行为。 |
关键词 |
rsa.investigations.ec_activity |
此键捕获特定事件活动(例如:注销)。 |
关键词 |
rsa.investigations.ec_outcome |
此键捕获特定事件的结果(例如:成功)。 |
关键词 |
rsa.investigations.ec_subject |
此键捕获特定事件的主题(例如:用户)。 |
关键词 |
rsa.investigations.ec_theme |
此键捕获特定事件的主题(例如:身份验证)。 |
关键词 |
rsa.investigations.eoc |
此键用于捕获破坏的促成因素。 |
关键词 |
rsa.investigations.event_cat |
此键捕获事件类别编号。 |
长整型 |
rsa.investigations.event_cat_name |
此键捕获与事件类别代码对应的事件类别名称。 |
关键词 |
rsa.investigations.event_vcat |
这是供应商提供的类别。在供应商采用自己的 event_category 分类法时应使用此键。 |
关键词 |
rsa.investigations.inv_category |
此键用于捕获调查类别。 |
关键词 |
rsa.investigations.inv_context |
此键用于捕获调查上下文。 |
关键词 |
rsa.investigations.ioc |
此键捕获破坏的指示符。 |
关键词 |
rsa.misc.OS |
此键捕获操作系统的名称。 |
关键词 |
rsa.misc.acl_id |
关键词 |
|
rsa.misc.acl_op |
关键词 |
|
rsa.misc.acl_pos |
关键词 |
|
rsa.misc.acl_table |
关键词 |
|
rsa.misc.action |
关键词 |
|
rsa.misc.admin |
关键词 |
|
rsa.misc.agent_id |
此键用于捕获代理 ID。 |
关键词 |
rsa.misc.alarm_id |
关键词 |
|
rsa.misc.alarmname |
关键词 |
|
rsa.misc.alert_id |
已弃用,新的搜索模型 (inv.、ioc、boc、eoc、analysis。) |
关键词 |
rsa.misc.app_id |
关键词 |
|
rsa.misc.audit |
关键词 |
|
rsa.misc.audit_object |
关键词 |
|
rsa.misc.auditdata |
关键词 |
|
rsa.misc.autorun_type |
此键用于捕获自动运行类型。 |
关键词 |
rsa.misc.benchmark |
关键词 |
|
rsa.misc.bypass |
关键词 |
|
rsa.misc.cache |
关键词 |
|
rsa.misc.cache_hit |
关键词 |
|
rsa.misc.category |
此键用于捕获会话中供应商提供的事件类别。 |
关键词 |
rsa.misc.cc_number |
仅限有效的信用卡号。 |
长整型 |
rsa.misc.cefversion |
关键词 |
|
rsa.misc.cfg_attr |
关键词 |
|
rsa.misc.cfg_obj |
关键词 |
|
rsa.misc.cfg_path |
关键词 |
|
rsa.misc.change_attrib |
此键用于捕获会话中正在更改的属性的名称。 |
关键词 |
rsa.misc.change_new |
此键用于捕获会话中正在更改的属性的新值。 |
关键词 |
rsa.misc.change_old |
此键用于捕获会话中正在更改的属性的旧值。 |
关键词 |
rsa.misc.changes |
关键词 |
|
rsa.misc.checksum |
此键用于捕获实体(如文件或进程)的校验和或哈希。当不清楚实体是操作的源还是目标时,应使用校验和而不是 checksum.src 或 checksum.dst。 |
关键词 |
rsa.misc.checksum_dst |
此键用于捕获目标实体(如进程或文件)的校验和或哈希。 |
关键词 |
rsa.misc.checksum_src |
此键用于捕获源实体(如文件或进程)的校验和或哈希。 |
关键词 |
rsa.misc.client |
此键仅用于捕获请求服务器资源的客户端应用程序的名称。有关捕获特定用户代理标识符或浏览器标识字符串的信息,请参阅 user.agent 元键。 |
关键词 |
rsa.misc.client_ip |
关键词 |
|
rsa.misc.clustermembers |
关键词 |
|
rsa.misc.cmd |
关键词 |
|
rsa.misc.cn_acttimeout |
关键词 |
|
rsa.misc.cn_asn_src |
关键词 |
|
rsa.misc.cn_bgpv4nxthop |
关键词 |
|
rsa.misc.cn_ctr_dst_code |
关键词 |
|
rsa.misc.cn_dst_tos |
关键词 |
|
rsa.misc.cn_dst_vlan |
关键词 |
|
rsa.misc.cn_engine_id |
关键词 |
|
rsa.misc.cn_engine_type |
关键词 |
|
rsa.misc.cn_f_switch |
关键词 |
|
rsa.misc.cn_flowsampid |
关键词 |
|
rsa.misc.cn_flowsampintv |
关键词 |
|
rsa.misc.cn_flowsampmode |
关键词 |
|
rsa.misc.cn_inacttimeout |
关键词 |
|
rsa.misc.cn_inpermbyts |
关键词 |
|
rsa.misc.cn_inpermpckts |
关键词 |
|
rsa.misc.cn_invalid |
关键词 |
|
rsa.misc.cn_ip_proto_ver |
关键词 |
|
rsa.misc.cn_ipv4_ident |
关键词 |
|
rsa.misc.cn_l_switch |
关键词 |
|
rsa.misc.cn_log_did |
关键词 |
|
rsa.misc.cn_log_rid |
关键词 |
|
rsa.misc.cn_max_ttl |
关键词 |
|
rsa.misc.cn_maxpcktlen |
关键词 |
|
rsa.misc.cn_min_ttl |
关键词 |
|
rsa.misc.cn_minpcktlen |
关键词 |
|
rsa.misc.cn_mpls_lbl_1 |
关键词 |
|
rsa.misc.cn_mpls_lbl_10 |
关键词 |
|
rsa.misc.cn_mpls_lbl_2 |
关键词 |
|
rsa.misc.cn_mpls_lbl_3 |
关键词 |
|
rsa.misc.cn_mpls_lbl_4 |
关键词 |
|
rsa.misc.cn_mpls_lbl_5 |
关键词 |
|
rsa.misc.cn_mpls_lbl_6 |
关键词 |
|
rsa.misc.cn_mpls_lbl_7 |
关键词 |
|
rsa.misc.cn_mpls_lbl_8 |
关键词 |
|
rsa.misc.cn_mpls_lbl_9 |
关键词 |
|
rsa.misc.cn_mplstoplabel |
关键词 |
|
rsa.misc.cn_mplstoplabip |
关键词 |
|
rsa.misc.cn_mul_dst_byt |
关键词 |
|
rsa.misc.cn_mul_dst_pks |
关键词 |
|
rsa.misc.cn_muligmptype |
关键词 |
|
rsa.misc.cn_sampalgo |
关键词 |
|
rsa.misc.cn_sampint |
关键词 |
|
rsa.misc.cn_seqctr |
关键词 |
|
rsa.misc.cn_spackets |
关键词 |
|
rsa.misc.cn_src_tos |
关键词 |
|
rsa.misc.cn_src_vlan |
关键词 |
|
rsa.misc.cn_sysuptime |
关键词 |
|
rsa.misc.cn_template_id |
关键词 |
|
rsa.misc.cn_totbytsexp |
关键词 |
|
rsa.misc.cn_totflowexp |
关键词 |
|
rsa.misc.cn_totpcktsexp |
关键词 |
|
rsa.misc.cn_unixnanosecs |
关键词 |
|
rsa.misc.cn_v6flowlabel |
关键词 |
|
rsa.misc.cn_v6optheaders |
关键词 |
|
rsa.misc.code |
关键词 |
|
rsa.misc.command |
关键词 |
|
rsa.misc.comments |
日志消息中提供的注释信息。 |
关键词 |
rsa.misc.comp_class |
关键词 |
|
rsa.misc.comp_name |
关键词 |
|
rsa.misc.comp_rbytes |
关键词 |
|
rsa.misc.comp_sbytes |
关键词 |
|
rsa.misc.comp_version |
此键捕获产品子组件的版本级别。 |
关键词 |
rsa.misc.connection_id |
此键捕获连接 ID。 |
关键词 |
rsa.misc.content |
此键捕获来自协议标头的内容类型。 |
关键词 |
rsa.misc.content_type |
此键仅用于捕获内容类型。 |
关键词 |
rsa.misc.content_version |
此键捕获签名或数据库内容的版本级别。 |
关键词 |
rsa.misc.context |
此键捕获为事件添加额外上下文的信息。 |
关键词 |
rsa.misc.context_subject |
此键用于审计上下文中,其中主题是正在标识的对象。 |
关键词 |
rsa.misc.context_target |
关键词 |
|
rsa.misc.count |
关键词 |
|
rsa.misc.cpu |
此键是记录事件执行中使用的 CPU 时间。 |
长整型 |
rsa.misc.cpu_data |
关键词 |
|
rsa.misc.criticality |
关键词 |
|
rsa.misc.cs_agency_dst |
关键词 |
|
rsa.misc.cs_analyzedby |
关键词 |
|
rsa.misc.cs_av_other |
关键词 |
|
rsa.misc.cs_av_primary |
关键词 |
|
rsa.misc.cs_av_secondary |
关键词 |
|
rsa.misc.cs_bgpv6nxthop |
关键词 |
|
rsa.misc.cs_bit9status |
关键词 |
|
rsa.misc.cs_context |
关键词 |
|
rsa.misc.cs_control |
关键词 |
|
rsa.misc.cs_data |
关键词 |
|
rsa.misc.cs_datecret |
关键词 |
|
rsa.misc.cs_dst_tld |
关键词 |
|
rsa.misc.cs_eth_dst_ven |
关键词 |
|
rsa.misc.cs_eth_src_ven |
关键词 |
|
rsa.misc.cs_event_uuid |
关键词 |
|
rsa.misc.cs_filetype |
关键词 |
|
rsa.misc.cs_fld |
关键词 |
|
rsa.misc.cs_if_desc |
关键词 |
|
rsa.misc.cs_if_name |
关键词 |
|
rsa.misc.cs_ip_next_hop |
关键词 |
|
rsa.misc.cs_ipv4dstpre |
关键词 |
|
rsa.misc.cs_ipv4srcpre |
关键词 |
|
rsa.misc.cs_lifetime |
关键词 |
|
rsa.misc.cs_log_medium |
关键词 |
|
rsa.misc.cs_loginname |
关键词 |
|
rsa.misc.cs_modulescore |
关键词 |
|
rsa.misc.cs_modulesign |
关键词 |
|
rsa.misc.cs_opswatresult |
关键词 |
|
rsa.misc.cs_payload |
关键词 |
|
rsa.misc.cs_registrant |
关键词 |
|
rsa.misc.cs_registrar |
关键词 |
|
rsa.misc.cs_represult |
关键词 |
|
rsa.misc.cs_rpayload |
关键词 |
|
rsa.misc.cs_sampler_name |
关键词 |
|
rsa.misc.cs_sourcemodule |
关键词 |
|
rsa.misc.cs_streams |
关键词 |
|
rsa.misc.cs_targetmodule |
关键词 |
|
rsa.misc.cs_v6nxthop |
关键词 |
|
rsa.misc.cs_whois_server |
关键词 |
|
rsa.misc.cs_yararesult |
关键词 |
|
rsa.misc.cve |
此键捕获 CVE(通用漏洞披露)- 已知信息安全漏洞的标识符。 |
关键词 |
rsa.misc.data_type |
关键词 |
|
rsa.misc.description |
关键词 |
|
rsa.misc.device_name |
此键用于捕获与节点关联的设备的名称,例如:物理磁盘、打印机等。 |
关键词 |
rsa.misc.devvendor |
关键词 |
|
rsa.misc.disposition |
此键捕获操作的最终状态。 |
关键词 |
rsa.misc.distance |
关键词 |
|
rsa.misc.doc_number |
此键捕获文件标识号。 |
长整型 |
rsa.misc.dstburb |
关键词 |
|
rsa.misc.edomain |
关键词 |
|
rsa.misc.edomaub |
关键词 |
|
rsa.misc.ein_number |
仅限员工识别号码。 |
长整型 |
rsa.misc.error |
此键捕获所有不成功的错误代码或响应。 |
关键词 |
rsa.misc.euid |
关键词 |
|
rsa.misc.event_category |
关键词 |
|
rsa.misc.event_computer |
此键是仅限 Windows 的概念,其中此键用于捕获 Windows 日志中的完全限定域名。 |
关键词 |
rsa.misc.event_desc |
此键用于捕获直接或推断可用的事件描述 |
关键词 |
rsa.misc.event_id |
关键词 |
|
rsa.misc.event_log |
此键捕获事件日志的名称 |
关键词 |
rsa.misc.event_source |
此键捕获事件的来源,而非主机名 |
关键词 |
rsa.misc.event_state |
此键捕获事件中引用的对象/项目的当前状态。描述正在进行的事件。 |
关键词 |
rsa.misc.event_type |
此键捕获事件源指定的事件类别类型。 |
关键词 |
rsa.misc.event_user |
此键仅限 Windows 概念,用于捕获 Windows 日志中的域名和用户名的组合。 |
关键词 |
rsa.misc.expected_val |
此键捕获预期值(从生成日志的设备的角度来看)。 |
关键词 |
rsa.misc.facility |
关键词 |
|
rsa.misc.facilityname |
关键词 |
|
rsa.misc.fcatnum |
此键捕获过滤器类别编号。传统用法 |
关键词 |
rsa.misc.filter |
此键捕获用于减少结果集的过滤器 |
关键词 |
rsa.misc.finterface |
关键词 |
|
rsa.misc.flags |
关键词 |
|
rsa.misc.forensic_info |
关键词 |
|
rsa.misc.found |
这用于捕获正则表达式匹配的结果 |
关键词 |
rsa.misc.fresult |
此键捕获过滤器结果 |
长整型 |
rsa.misc.gaddr |
关键词 |
|
rsa.misc.group |
此键捕获组名称值 |
关键词 |
rsa.misc.group_id |
此键捕获组 ID 号(与组名称相关) |
关键词 |
rsa.misc.group_object |
此键捕获实体集合/分组。特定用法 |
关键词 |
rsa.misc.hardware_id |
此键用于捕获设备或系统的唯一标识符(不是 MAC 地址) |
关键词 |
rsa.misc.id3 |
关键词 |
|
rsa.misc.im_buddyid |
关键词 |
|
rsa.misc.im_buddyname |
关键词 |
|
rsa.misc.im_client |
关键词 |
|
rsa.misc.im_croomid |
关键词 |
|
rsa.misc.im_croomtype |
关键词 |
|
rsa.misc.im_members |
关键词 |
|
rsa.misc.im_userid |
关键词 |
|
rsa.misc.im_username |
关键词 |
|
rsa.misc.index |
关键词 |
|
rsa.misc.inout |
关键词 |
|
rsa.misc.ipkt |
关键词 |
|
rsa.misc.ipscat |
关键词 |
|
rsa.misc.ipspri |
关键词 |
|
rsa.misc.job_num |
此键捕获作业编号 |
关键词 |
rsa.misc.jobname |
关键词 |
|
rsa.misc.language |
这用于捕获客户端支持的语言列表以及首选语言 |
关键词 |
rsa.misc.latitude |
关键词 |
|
rsa.misc.library |
此键用于捕获大型机设备中的库信息 |
关键词 |
rsa.misc.lifetime |
此键用于捕获会话生存期(以秒为单位)。 |
长整型 |
rsa.misc.linenum |
关键词 |
|
rsa.misc.link |
此键用于链接会话。此键绝不应用于直接解析会话(日志/数据包)中的元数据,这是 NetWitness 中的保留键 |
关键词 |
rsa.misc.list_name |
关键词 |
|
rsa.misc.listnum |
此键用于捕获列表名称或列表编号,主要用于收集访问列表 |
关键词 |
rsa.misc.load_data |
关键词 |
|
rsa.misc.location_floor |
关键词 |
|
rsa.misc.location_mark |
关键词 |
|
rsa.misc.log_id |
关键词 |
|
rsa.misc.log_session_id |
此键用于直接从会话中捕获会话 ID |
关键词 |
rsa.misc.log_session_id1 |
此键用于直接从会话中捕获链接的(相关的)会话 ID |
关键词 |
rsa.misc.log_type |
关键词 |
|
rsa.misc.logid |
关键词 |
|
rsa.misc.logip |
关键词 |
|
rsa.misc.logname |
关键词 |
|
rsa.misc.longitude |
关键词 |
|
rsa.misc.lport |
关键词 |
|
rsa.misc.mail_id |
此键用于捕获邮箱 ID/名称 |
关键词 |
rsa.misc.match |
此键用于搜索.ini中的正则表达式匹配名称 |
关键词 |
rsa.misc.mbug_data |
关键词 |
|
rsa.misc.message_body |
此键捕获消息正文的内容。 |
关键词 |
rsa.misc.misc |
关键词 |
|
rsa.misc.misc_name |
关键词 |
|
rsa.misc.mode |
关键词 |
|
rsa.misc.msgIdPart1 |
关键词 |
|
rsa.misc.msgIdPart2 |
关键词 |
|
rsa.misc.msgIdPart3 |
关键词 |
|
rsa.misc.msgIdPart4 |
关键词 |
|
rsa.misc.msg_type |
关键词 |
|
rsa.misc.msgid |
关键词 |
|
rsa.misc.name |
关键词 |
|
rsa.misc.netsessid |
关键词 |
|
rsa.misc.node |
常见用例是集群中的节点名称。集群名称由主机名反映。 |
关键词 |
rsa.misc.ntype |
关键词 |
|
rsa.misc.num |
关键词 |
|
rsa.misc.number |
关键词 |
|
rsa.misc.number1 |
关键词 |
|
rsa.misc.number2 |
关键词 |
|
rsa.misc.nwwn |
关键词 |
|
rsa.misc.obj_name |
这用于捕获对象的名称 |
关键词 |
rsa.misc.obj_type |
这用于捕获对象的类型 |
关键词 |
rsa.misc.object |
关键词 |
|
rsa.misc.observed_val |
此键捕获观察到的值(从生成日志的设备的角度来看)。 |
关键词 |
rsa.misc.operation |
关键词 |
|
rsa.misc.operation_id |
警报编号或操作编号。这些值应唯一且不重复。 |
关键词 |
rsa.misc.opkt |
关键词 |
|
rsa.misc.orig_from |
关键词 |
|
rsa.misc.owner_id |
关键词 |
|
rsa.misc.p_action |
关键词 |
|
rsa.misc.p_filter |
关键词 |
|
rsa.misc.p_group_object |
关键词 |
|
rsa.misc.p_id |
关键词 |
|
rsa.misc.p_msgid |
关键词 |
|
rsa.misc.p_msgid1 |
关键词 |
|
rsa.misc.p_msgid2 |
关键词 |
|
rsa.misc.p_result1 |
关键词 |
|
rsa.misc.param |
此键是作为命令或应用程序等一部分传递的参数。 |
关键词 |
rsa.misc.param_dst |
此键捕获目标进程或文件的命令行/启动参数 |
关键词 |
rsa.misc.param_src |
此键捕获源参数 |
关键词 |
rsa.misc.parent_node |
此键捕获父节点名称。必须与节点变量相关。 |
关键词 |
rsa.misc.password_chg |
关键词 |
|
rsa.misc.password_expire |
关键词 |
|
rsa.misc.payload_dst |
此键用于捕获目标有效负载 |
关键词 |
rsa.misc.payload_src |
此键用于捕获源有效负载 |
关键词 |
rsa.misc.permgranted |
关键词 |
|
rsa.misc.permwanted |
关键词 |
|
rsa.misc.pgid |
关键词 |
|
rsa.misc.phone |
关键词 |
|
rsa.misc.pid |
关键词 |
|
rsa.misc.policy |
关键词 |
|
rsa.misc.policyUUID |
关键词 |
|
rsa.misc.policy_id |
此键仅用于捕获策略 ID,这应是一个数值,否则请使用 policy.name |
关键词 |
rsa.misc.policy_name |
此键仅用于捕获策略名称。 |
关键词 |
rsa.misc.policy_value |
此键捕获策略的内容。其中包含有关策略的详细信息 |
关键词 |
rsa.misc.policy_waiver |
关键词 |
|
rsa.misc.pool_id |
此键捕获资源池的标识符(通常是数字字段) |
关键词 |
rsa.misc.pool_name |
此键捕获资源池的名称 |
关键词 |
rsa.misc.port_name |
此键用于物理或逻辑端口连接,但不包括网络端口。(示例:打印机端口名称)。 |
关键词 |
rsa.misc.priority |
关键词 |
|
rsa.misc.process_id_val |
此键是进程 ID 不是整数值时的故障键 |
关键词 |
rsa.misc.prog_asp_num |
关键词 |
|
rsa.misc.program |
关键词 |
|
rsa.misc.real_data |
关键词 |
|
rsa.misc.reason |
关键词 |
|
rsa.misc.rec_asp_device |
关键词 |
|
rsa.misc.rec_asp_num |
关键词 |
|
rsa.misc.rec_library |
关键词 |
|
rsa.misc.recordnum |
关键词 |
|
rsa.misc.reference_id |
此键用于直接从会话中捕获事件 ID |
关键词 |
rsa.misc.reference_id1 |
此键用于作为“reference.id”的补充使用的链接 ID |
关键词 |
rsa.misc.reference_id2 |
此键用于第二个链接 ID。可以链接到“reference.id”或“reference.id1”值,但除非其他两个变量在起作用,否则不应使用。 |
关键词 |
rsa.misc.result |
此键用于捕获会话中操作的结果/结果字符串值。 |
关键词 |
rsa.misc.result_code |
此键用于捕获会话中操作的结果/结果数值 |
关键词 |
rsa.misc.risk |
此键捕获非数值风险值 |
关键词 |
rsa.misc.risk_info |
已弃用,请使用新的狩猎模型 (inv.、ioc、boc、eoc、analysis。) |
关键词 |
rsa.misc.risk_num |
此键捕获数值风险值 |
double |
rsa.misc.risk_num_comm |
此键捕获风险编号社区 |
double |
rsa.misc.risk_num_next |
此键捕获风险编号下一代 |
double |
rsa.misc.risk_num_sand |
此键捕获风险编号沙盒 |
double |
rsa.misc.risk_num_static |
此键捕获风险编号静态 |
double |
rsa.misc.risk_suspicious |
已弃用,请使用新的狩猎模型 (inv.、ioc、boc、eoc、analysis。) |
关键词 |
rsa.misc.risk_warning |
已弃用,请使用新的狩猎模型 (inv.、ioc、boc、eoc、analysis。) |
关键词 |
rsa.misc.ruid |
关键词 |
|
rsa.misc.rule |
此键捕获规则编号 |
关键词 |
rsa.misc.rule_group |
此键捕获规则组名称 |
关键词 |
rsa.misc.rule_name |
此键捕获规则名称 |
关键词 |
rsa.misc.rule_template |
一组默认参数,这些参数叠加到规则(或规则名称)上,从而有效地构成一个模板 |
关键词 |
rsa.misc.rule_uid |
此键是规则的唯一标识符。 |
关键词 |
rsa.misc.sburb |
关键词 |
|
rsa.misc.sdomain_fld |
关键词 |
|
rsa.misc.search_text |
此键捕获使用的搜索文本 |
关键词 |
rsa.misc.sec |
关键词 |
|
rsa.misc.second |
关键词 |
|
rsa.misc.sensor |
此键捕获传感器的名称。通常用于基于 IDS/IPS 的设备 |
关键词 |
rsa.misc.sensorname |
关键词 |
|
rsa.misc.seqnum |
关键词 |
|
rsa.misc.serial_number |
此键是与物理资产关联的序列号。 |
关键词 |
rsa.misc.session |
关键词 |
|
rsa.misc.sessiontype |
关键词 |
|
rsa.misc.severity |
此键用于捕获会话的严重性 |
关键词 |
rsa.misc.sigUUID |
关键词 |
|
rsa.misc.sig_id |
此键捕获 IDS/IPS Int 签名 ID |
长整型 |
rsa.misc.sig_id1 |
此键捕获 IDS/IPS Int 签名 ID。这必须链接到 sig.id |
长整型 |
rsa.misc.sig_id_str |
此键捕获 sigid 变量的字符串对象。 |
关键词 |
rsa.misc.sig_name |
此键仅用于捕获签名名称。 |
关键词 |
rsa.misc.sigcat |
关键词 |
|
rsa.misc.snmp_oid |
SNMP 对象标识符 |
关键词 |
rsa.misc.snmp_value |
SNMP 设置请求值 |
关键词 |
rsa.misc.space |
关键词 |
|
rsa.misc.space1 |
关键词 |
|
rsa.misc.spi |
关键词 |
|
rsa.misc.spi_dst |
目标 SPI 索引 |
关键词 |
rsa.misc.spi_src |
源 SPI 索引 |
关键词 |
rsa.misc.sql |
此键捕获 SQL 查询 |
关键词 |
rsa.misc.srcburb |
关键词 |
|
rsa.misc.srcdom |
关键词 |
|
rsa.misc.srcservice |
关键词 |
|
rsa.misc.state |
关键词 |
|
rsa.misc.status |
关键词 |
|
rsa.misc.status1 |
关键词 |
|
rsa.misc.streams |
此键捕获会话中的流数 |
长整型 |
rsa.misc.subcategory |
关键词 |
|
rsa.misc.svcno |
关键词 |
|
rsa.misc.system |
关键词 |
|
rsa.misc.tbdstr1 |
关键词 |
|
rsa.misc.tbdstr2 |
关键词 |
|
rsa.misc.tcp_flags |
此键捕获会话的任何数据包中设置的 TCP 标志 |
长整型 |
rsa.misc.terminal |
此键仅捕获终端名称 |
关键词 |
rsa.misc.tgtdom |
关键词 |
|
rsa.misc.tgtdomain |
关键词 |
|
rsa.misc.threshold |
关键词 |
|
rsa.misc.tos |
此键描述服务类型 |
长整型 |
rsa.misc.trigger_desc |
此键捕获触发器或阈值条件的描述。 |
关键词 |
rsa.misc.trigger_val |
此键捕获触发器或阈值条件的值。 |
关键词 |
rsa.misc.type |
关键词 |
|
rsa.misc.type1 |
关键词 |
|
rsa.misc.udb_class |
关键词 |
|
rsa.misc.url_fld |
关键词 |
|
rsa.misc.user_div |
关键词 |
|
rsa.misc.userid |
关键词 |
|
rsa.misc.username_fld |
关键词 |
|
rsa.misc.utcstamp |
关键词 |
|
rsa.misc.v_instafname |
关键词 |
|
rsa.misc.version |
此键捕获生成事件的应用程序或操作系统的版本。 |
关键词 |
rsa.misc.virt_data |
关键词 |
|
rsa.misc.virusname |
此键捕获病毒的名称 |
关键词 |
rsa.misc.vm_target |
VMWare 目标 仅限 VMWARE 变量。 |
关键词 |
rsa.misc.vpnid |
关键词 |
|
rsa.misc.vsys |
此键捕获虚拟系统名称 |
关键词 |
rsa.misc.vuln_ref |
此键捕获漏洞参考详细信息 |
关键词 |
rsa.misc.workspace |
此键捕获工作区描述 |
关键词 |
rsa.network.ad_computer_dst |
已弃用,请使用 host.dst |
关键词 |
rsa.network.addr |
关键词 |
|
rsa.network.alias_host |
当主机名的源或目标上下文不明确时,应使用此键。它还捕获设备主机名。任何不是 ad.computer 的主机名。 |
关键词 |
rsa.network.dinterface |
仅当为目标接口时,才应使用此键 |
关键词 |
rsa.network.dmask |
此键用于目标设备网络掩码 |
关键词 |
rsa.network.dns_a_record |
关键词 |
|
rsa.network.dns_cname_record |
关键词 |
|
rsa.network.dns_id |
关键词 |
|
rsa.network.dns_opcode |
关键词 |
|
rsa.network.dns_ptr_record |
关键词 |
|
rsa.network.dns_resp |
关键词 |
|
rsa.network.dns_type |
关键词 |
|
rsa.network.domain |
关键词 |
|
rsa.network.domain1 |
关键词 |
|
rsa.network.eth_host |
已弃用,请使用 alias.mac |
关键词 |
rsa.network.eth_type |
此键用于捕获以太网类型,仅用于第 3 层协议 |
长整型 |
rsa.network.faddr |
关键词 |
|
rsa.network.fhost |
关键词 |
|
rsa.network.fport |
关键词 |
|
rsa.network.gateway |
此键用于捕获网关的 IP 地址 |
关键词 |
rsa.network.host_dst |
此键仅应在它是目标主机名时使用 |
关键词 |
rsa.network.host_orig |
用于捕获原始主机名,以防中间存在转发代理或代理。 |
关键词 |
rsa.network.host_type |
关键词 |
|
rsa.network.icmp_code |
此键仅用于捕获 ICMP 代码 |
长整型 |
rsa.network.icmp_type |
此键仅用于捕获 ICMP 类型 |
长整型 |
rsa.network.interface |
当接口的源或目标上下文不明确时,应使用此键 |
关键词 |
rsa.network.ip_proto |
此键应用于捕获协议号,所有协议号在 UI 中都转换为字符串 |
长整型 |
rsa.network.laddr |
关键词 |
|
rsa.network.lhost |
关键词 |
|
rsa.network.linterface |
关键词 |
|
rsa.network.mask |
此键用于捕获设备网络 IP 掩码。 |
关键词 |
rsa.network.netname |
此键用于捕获与 IP 范围关联的网络名称。这是由最终用户配置的。 |
关键词 |
rsa.network.network_port |
已弃用,请使用 port。注意:当前使用时存在类型差异,TM:Int32,INDEX:UInt64(为什么都不选择正确的 UInt16?!) |
长整型 |
rsa.network.network_service |
用于捕获第 7 层协议/服务名称 |
关键词 |
rsa.network.origin |
关键词 |
|
rsa.network.packet_length |
关键词 |
|
rsa.network.paddr |
已弃用 |
IP |
rsa.network.phost |
关键词 |
|
rsa.network.port |
当方向性不明确时,此键仅应用于捕获网络端口 |
长整型 |
rsa.network.protocol_detail |
此键应用于捕获其他协议信息 |
关键词 |
rsa.network.remote_domain_id |
关键词 |
|
rsa.network.rpayload |
此键用于捕获在重传数据包中看到的有效负载字节总数。 |
关键词 |
rsa.network.sinterface |
此键仅应在它是源接口时使用 |
关键词 |
rsa.network.smask |
此键用于捕获源网络掩码 |
关键词 |
rsa.network.vlan |
此键仅应用于捕获虚拟 LAN 的 ID |
长整型 |
rsa.network.vlan_name |
此键仅应用于捕获虚拟 LAN 的名称 |
关键词 |
rsa.network.zone |
当区域的源或目标上下文不明确时,应使用此键 |
关键词 |
rsa.network.zone_dst |
此键仅应在它是目标区域时使用。 |
关键词 |
rsa.network.zone_src |
此键仅应在它是源区域时使用。 |
关键词 |
rsa.physical.org_dst |
用于根据 GEOPIP Maxmind 数据库捕获目标组织。 |
关键词 |
rsa.physical.org_src |
用于根据 GEOPIP Maxmind 数据库捕获源组织。 |
关键词 |
rsa.storage.disk_volume |
分配给物理磁盘内逻辑单元(卷)的唯一名称 |
关键词 |
rsa.storage.lun |
逻辑单元号。此键在存储中是一个非常有用的概念。 |
关键词 |
rsa.storage.pwwn |
唯一标识 HBA 上的端口。 |
关键词 |
rsa.threat.alert |
此键用于捕获警报的名称 |
关键词 |
rsa.threat.threat_category |
此键捕获威胁名称/威胁类别/警报分类 |
关键词 |
rsa.threat.threat_desc |
此键用于直接从会话中捕获或推断威胁描述 |
关键词 |
rsa.threat.threat_source |
此键用于捕获威胁的来源 |
关键词 |
rsa.time.date |
关键词 |
|
rsa.time.datetime |
关键词 |
|
rsa.time.day |
关键词 |
|
rsa.time.duration_str |
持续时间的文本字符串版本 |
关键词 |
rsa.time.duration_time |
此键用于捕获以秒为单位的标准化持续时间/生命周期。 |
double |
rsa.time.effective_time |
此键是标准时间戳格式的单个事件引用的有效时间 |
日期 |
rsa.time.endtime |
此键用于以标准形式捕获会话中提到的结束时间 |
日期 |
rsa.time.event_queue_time |
此键是事件排队的时间。 |
日期 |
rsa.time.event_time |
此键用于捕获原始会话中提到的时间,该时间表示以标准标准化形式发生的实际事件时间 |
日期 |
rsa.time.event_time_str |
此键用于以字符串形式捕获会话中提到的不完整时间 |
关键词 |
rsa.time.eventtime |
关键词 |
|
rsa.time.expire_time |
此键是指明确表示到期的的时间戳。 |
日期 |
rsa.time.expire_time_str |
此键用于捕获明确表示到期的不完整时间戳。 |
关键词 |
rsa.time.gmtdate |
关键词 |
|
rsa.time.gmttime |
关键词 |
|
rsa.time.hour |
关键词 |
|
rsa.time.min |
关键词 |
|
rsa.time.month |
关键词 |
|
rsa.time.p_date |
关键词 |
|
rsa.time.p_month |
关键词 |
|
rsa.time.p_time |
关键词 |
|
rsa.time.p_time1 |
关键词 |
|
rsa.time.p_time2 |
关键词 |
|
rsa.time.p_year |
关键词 |
|
rsa.time.process_time |
已弃用,请使用 duration.time |
关键词 |
rsa.time.recorded_time |
系统从收集事件记录的事件时间。使用场景是多层应用程序,其中系统的管理层在从其子节点收集时记录其自己的时间戳。必须为时间戳格式。 |
日期 |
rsa.time.stamp |
已弃用的键,仅在表映射中定义。 |
日期 |
rsa.time.starttime |
此键用于以标准形式捕获会话中提到的开始时间 |
日期 |
rsa.time.timestamp |
关键词 |
|
rsa.time.timezone |
此键用于捕获事件时区 |
关键词 |
rsa.time.tzone |
关键词 |
|
rsa.time.year |
关键词 |
|
rsa.web.alias_host |
关键词 |
|
rsa.web.cn_asn_dst |
关键词 |
|
rsa.web.cn_rpackets |
关键词 |
|
rsa.web.fqdn |
完全限定域名 |
关键词 |
rsa.web.p_url |
关键词 |
|
rsa.web.p_user_agent |
关键词 |
|
rsa.web.p_web_cookie |
关键词 |
|
rsa.web.p_web_method |
关键词 |
|
rsa.web.p_web_referer |
关键词 |
|
rsa.web.remote_domain |
关键词 |
|
rsa.web.reputation_num |
实体的信誉号。通常用于 Web 域 |
double |
rsa.web.urlpage |
关键词 |
|
rsa.web.urlroot |
关键词 |
|
rsa.web.web_cookie |
此键专门用于捕获 Web cookie。 |
关键词 |
rsa.web.web_extension_tmp |
关键词 |
|
rsa.web.web_page |
关键词 |
|
rsa.web.web_ref_domain |
Web 引荐来源的域 |
关键词 |
rsa.web.web_ref_page |
此键捕获 Web 引荐来源的页面信息 |
关键词 |
rsa.web.web_ref_query |
此键捕获 Web 引荐来源的 URL 的查询部分 |
关键词 |
rsa.web.web_ref_root |
Web 引荐来源的根 URL 路径 |
关键词 |
rsa.wireless.access_point |
此键用于捕获接入点名称。 |
关键词 |
rsa.wireless.wlan_channel |
用于捕获通道名称 |
长整型 |
rsa.wireless.wlan_name |
此键捕获 WLAN 号码/名称 |
关键词 |
rsa.wireless.wlan_ssid |
此键用于捕获无线会话的 ssid |
关键词 |
rule.name |
生成事件的规则或签名的名称。 |
关键词 |
server.domain |
服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件,也可能来自增强。 |
关键词 |
server.registered_domain |
最高的已注册服务器域,去掉子域。例如,“foo.example.com”的已注册域是“example.com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试仅取最后两个标签来近似它对于“co.uk”之类的 TLD 效果不佳。 |
关键词 |
server.subdomain |
完全限定域名的子域部分包括注册域下的所有名称,除了主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,则子域包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,末尾没有句点。 |
关键词 |
server.top_level_domain |
有效的顶级域名 (eTLD),也称为域名后缀,是域名最后的部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)精确确定此值。尝试简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。 |
关键词 |
service.name |
从中收集数据的服务名称。服务名称通常是用户给定的。这允许在多个主机上运行的分布式服务基于名称关联相关实例。在 Elasticsearch 的情况下, |
关键词 |
source.address |
某些事件源地址的定义是模棱两可的。事件有时会列出 IP、域或 unix 套接字。您应始终将原始地址存储在 |
关键词 |
source.as.number |
分配给自治系统的唯一数字。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
source.as.organization.name |
组织名称。 |
关键词 |
source.as.organization.name.text |
|
仅匹配文本 |
source.bytes |
从源发送到目标的字节数。 |
长整型 |
source.domain |
源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件,也可能来自增强。 |
关键词 |
source.geo.city_name |
城市名称。 |
关键词 |
source.geo.country_name |
国家/地区名称。 |
关键词 |
source.geo.location |
经度和纬度。 |
地理点 |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
IP |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节由连字符分隔。 |
关键词 |
source.nat.ip |
基于 NAT 会话的源的转换 IP(例如,内部客户端到 Internet)。通常会跨越负载均衡器、防火墙或路由器的连接。 |
IP |
source.nat.port |
基于 NAT 会话的源的转换端口。(例如,内部客户端到 Internet)通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
source.port |
源的端口。 |
长整型 |
source.registered_domain |
最高的已注册源域,去掉子域。例如,“foo.example.com”的已注册域是“example.com”。可以使用公共后缀列表(http://publicsuffix.org)之类的列表精确地确定此值。尝试仅取最后两个标签来近似它对于“co.uk”之类的 TLD 效果不佳。 |
关键词 |
source.subdomain |
完全限定域名的子域部分包括注册域下的所有名称,除了主机名。在部分限定的域名中,或者如果无法确定全名的限定级别,则子域包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域有多个子域级别,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,末尾没有句点。 |
关键词 |
source.top_level_domain |
有效的顶级域名 (eTLD),也称为域名后缀,是域名最后的部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)精确确定此值。尝试简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。 |
关键词 |
tags |
用于标记每个事件的关键字列表。 |
关键词 |
url.domain |
URL 的域,例如“https://elastic.ac.cn[www.elastic.co]”。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将转到 |
关键词 |
url.original |
事件源中看到的未修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。 |
通配符 |
url.original.text |
|
仅匹配文本 |
url.path |
请求的路径,例如 "/search"。 |
通配符 |
url.query |
query 字段描述请求的查询字符串,例如 "q=elasticsearch"。查询字符串中不包含 |
关键词 |
url.registered_domain |
最高的已注册 URL 域,已去除子域。例如,“foo.example.com” 的已注册域为 “example.com”。可以使用公共后缀列表 (http://publicsuffix.org) 之类的列表精确确定此值。尝试仅取最后两个标签来近似此值对于诸如 "co.uk" 之类的 TLD 效果不佳。 |
关键词 |
url.top_level_domain |
有效的顶级域名 (eTLD),也称为域名后缀,是域名最后的部分。例如,example.com 的顶级域名是“com”。可以使用公共后缀列表(http://publicsuffix.org)精确确定此值。尝试简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。 |
关键词 |
user.domain |
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。 |
关键词 |
user.full_name |
用户的全名(如果可用)。 |
关键词 |
user.full_name.text |
|
仅匹配文本 |
user.id |
用户的唯一标识符。 |
关键词 |
user.name |
用户的短名称或登录名。 |
关键词 |
user.name.text |
|
仅匹配文本 |
user_agent.original |
未解析的 user_agent 字符串。 |
关键词 |
user_agent.original.text |
|
仅匹配文本 |
变更日志
编辑变更日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.10.3 |
Bug 修复 (查看拉取请求) |
7.14.1 或更高版本 |
1.10.2 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |
1.10.1 |
Bug 修复 (查看拉取请求) |
7.14.1 或更高版本 |
1.10.0 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |
1.9.0 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |
1.8.0 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |
1.7.0 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |
1.6.0 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |
1.5.0 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |
1.4.0 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |
1.3.1 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |
1.3.0 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |
1.2.0 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |
1.1.3 |
Bug 修复 (查看拉取请求) |
7.14.1 或更高版本 |
1.1.2 |
Bug 修复 (查看拉取请求) |
7.14.1 或更高版本 |
1.1.1 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |
1.1.0 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |
1.0.0 |
增强功能 (查看拉取请求) |
7.14.1 或更高版本 |