Fortinet FortiGate 集成

版本	1.27.0 (查看全部)
兼容的 Kibana 版本	8.3.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观察性
订阅级别这是什么？	基本
支持级别这是什么？	Elastic

此集成用于以 syslog 格式发送的 Fortinet FortiGate 日志。

兼容性

编辑

此集成已针对 FortiOS 6.x 和 7.x 版本（最高至 7.4.1）进行了测试。较新版本预计可以工作，但尚未经过测试。

注意

编辑

使用 TCP 输入时，请注意配置的 TCP 框架。根据 Fortigate 参考，当 syslog 模式可靠时，框架应设置为 rfc6587。

日志

编辑

log 数据集收集 Fortinet FortiGate 日志。

示例

log 的示例事件如下所示

{
    "@timestamp": "2019-05-15T18:03:36.000Z",
    "agent": {
        "ephemeral_id": "65ad5a4b-72ad-4878-905c-6f7f2a959ee4",
        "id": "2f63344b-97c9-4998-9535-0fc6454ddd4b",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.9.0"
    },
    "data_stream": {
        "dataset": "fortinet_fortigate.log",
        "namespace": "ep",
        "type": "logs"
    },
    "destination": {
        "as": {
            "number": 35908
        },
        "geo": {
            "continent_name": "Asia",
            "country_iso_code": "BT",
            "country_name": "Bhutan",
            "location": {
                "lat": 27.5,
                "lon": 90.5
            }
        },
        "ip": "67.43.156.14",
        "port": 443
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "2f63344b-97c9-4998-9535-0fc6454ddd4b",
        "snapshot": false,
        "version": "8.9.0"
    },
    "event": {
        "action": "app-ctrl-all",
        "agent_id_status": "verified",
        "category": [
            "network"
        ],
        "code": "1059028704",
        "dataset": "fortinet_fortigate.log",
        "ingested": "2023-10-26T15:15:25Z",
        "kind": "event",
        "original": "<190>date=2019-05-15 time=18:03:36 logid=\"1059028704\" type=\"utm\" subtype=\"app-ctrl\" eventtype=\"app-ctrl-all\" level=\"information\" vd=\"root\" eventtime=1557968615 appid=40568 srcip=10.1.100.22 dstip=67.43.156.14 srcport=50798 dstport=443 srcintf=\"port10\" srcintfrole=\"lan\" dstintf=\"port9\" dstintfrole=\"wan\" proto=6 service=\"HTTPS\" direction=\"outgoing\" policyid=1 sessionid=4414 applist=\"block-social.media\" appcat=\"Web.Client\" app=\"HTTPS.BROWSER\" action=\"pass\" hostname=\"www.dailymotion.com\" incidentserialno=1962906680 url=\"/\" msg=\"Web.Client: HTTPS.BROWSER,\" apprisk=\"medium\" scertcname=\"*.dailymotion.com\" scertissuer=\"DigiCert SHA2 High Assurance Server CA\"",
        "outcome": "success",
        "start": "2019-05-16T01:03:35.000Z",
        "type": [
            "allowed"
        ]
    },
    "fortinet": {
        "firewall": {
            "action": "pass",
            "appid": "40568",
            "apprisk": "medium",
            "dstintfrole": "wan",
            "incidentserialno": "1962906680",
            "sessionid": "4414",
            "srcintfrole": "lan",
            "subtype": "app-ctrl",
            "type": "utm",
            "vd": "root"
        }
    },
    "input": {
        "type": "tcp"
    },
    "log": {
        "level": "information",
        "source": {
            "address": "172.24.0.4:57264"
        },
        "syslog": {
            "facility": {
                "code": 23
            },
            "priority": 190,
            "severity": {
                "code": 6
            }
        }
    },
    "message": "Web.Client: HTTPS.BROWSER,",
    "network": {
        "application": "HTTPS.BROWSER",
        "direction": "outbound",
        "iana_number": "6",
        "protocol": "https",
        "transport": "tcp"
    },
    "observer": {
        "egress": {
            "interface": {
                "name": "port9"
            }
        },
        "ingress": {
            "interface": {
                "name": "port10"
            }
        },
        "product": "Fortigate",
        "type": "firewall",
        "vendor": "Fortinet"
    },
    "related": {
        "ip": [
            "10.1.100.22",
            "67.43.156.14"
        ]
    },
    "rule": {
        "category": "Web-Client",
        "id": "1",
        "ruleset": "block-social.media"
    },
    "source": {
        "ip": "10.1.100.22",
        "port": 50798
    },
    "tags": [
        "preserve_original_event",
        "fortinet-fortigate",
        "fortinet-firewall",
        "forwarded"
    ],
    "tls": {
        "server": {
            "issuer": "DigiCert SHA2 High Assurance Server CA",
            "x509": {
                "issuer": {
                    "common_name": [
                        "DigiCert SHA2 High Assurance Server CA"
                    ]
                },
                "subject": {
                    "common_name": [
                        "*.dailymotion.com"
                    ]
                }
            }
        }
    },
    "url": {
        "domain": "www.dailymotion.com",
        "path": "/"
    }
}

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	日期
cloud.account.id	用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。	关键词
cloud.availability_zone	此主机运行所在的可用区。	关键词
cloud.image.id	云实例的映像 ID。	关键词
cloud.instance.id	主机机器的实例 ID。	关键词
cloud.instance.name	主机机器的实例名称。	关键词
cloud.machine.type	主机机器的机器类型。	关键词
cloud.project.id	Google Cloud 中项目的名称。	关键词
cloud.provider	云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。	关键词
cloud.region	此主机运行所在的区域。	关键词
container.id	唯一的容器 ID。	关键词
container.image.name	容器所基于的映像名称。	关键词
container.labels	映像标签。	对象
container.name	容器名称。	关键词
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
destination.address	某些事件目标地址的定义模棱两可。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 `.address` 字段中。然后，应根据它是哪个地址，将其复制到 `.ip` 或 `.domain`。	关键词
destination.as.number	分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。	长整型
destination.as.organization.name	组织名称。	关键词
destination.as.organization.name.text	`destination.as.organization.name` 的多字段。	match_only_text
destination.bytes	从目标发送到源的字节数。	长整型
destination.domain	目标系统的域名。此值可能是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能从富化中添加。	关键词
destination.geo.city_name	城市名称。	关键词
destination.geo.continent_name	大洲名称。	关键词
destination.geo.country_iso_code	国家/地区 ISO 代码。	关键词
destination.geo.country_name	国家/地区名称。	关键词
destination.geo.location	经度和纬度。	geo_point
destination.geo.name	用户定义的地点描述，粒度级别由他们决定。如果描述本地物理实体，则可以是他们的数据中心名称、楼层号、城市名称。通常不用于自动地理位置。	关键词
destination.geo.region_iso_code	区域 ISO 代码。	关键词
destination.geo.region_name	区域名称。	关键词
destination.ip	目标的 IP 地址 (IPv4 或 IPv6)。	ip
destination.mac	目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出该八位字节的值，作为无符号整数。连续的八位字节用连字符分隔。	关键词
destination.nat.ip	基于 NAT 会话的目标转换 IP（例如，从 Internet 到专用 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。	ip
destination.nat.port	NAT 设备将源会话转换成的端口。通常与负载均衡器、防火墙或路由器一起使用。	长整型
destination.packets	从目标发送到源的数据包。	长整型
destination.port	目标的端口。	长整型
destination.user.email	用户电子邮件地址。	关键词
destination.user.group.name	组的名称。	关键词
destination.user.name	用户的简称或登录名。	关键词
destination.user.name.text	`destination.user.name` 的多字段。	match_only_text
dns.id	生成查询的程序分配的 DNS 数据包标识符。该标识符被复制到响应中。	关键词
dns.question.class	正在查询的记录的类。	关键词
dns.question.name	正在查询的名称。如果名称字段包含不可打印字符（低于 32 或高于 126），则这些字符应表示为转义的十进制整数 (\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。	关键词
dns.question.registered_domain	最高注册域，已剥离子域。例如，“foo.example.com”的注册域为“example.com”。可以使用公共后缀列表之类的列表（http://publicsuffix.org）精确确定此值。尝试仅获取最后两个标签来近似此值对于“co.uk”之类的 TLD 不会很好用。	关键词
dns.question.subdomain	子域是 registered_domain 下的所有标签。如果域有多个子域级别（例如“sub2.sub1.example.com”），则子域字段应包含“sub2.sub1”，末尾没有句点。	关键词
dns.question.top_level_domain	有效顶级域 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域是“com”。可以使用公共后缀列表之类的列表（http://publicsuffix.org）精确确定此值。尝试仅获取最后一个标签来近似此值对于“co.uk”之类的有效 TLD 不会很好用。	关键词
dns.question.type	正在查询的记录的类型。	关键词
dns.resolved_ip	包含在 `answers.data` 中看到的所有 IP 的数组。`answers` 数组可能很难使用，因为它可能包含各种数据格式。将其中看到的所有 IP 地址提取到 `dns.resolved_ip` 中，可以将其索引为 IP 地址，并且可以更轻松地可视化和查询它们。	ip
ecs.version	此事件遵循的 ECS 版本。`ecs.version` 是必填字段，必须存在于所有事件中。当跨可能符合略有不同的 ECS 版本的多个索引进行查询时，此字段使集成可以适应事件的架构版本。	关键词
email.cc.address	抄送收件人的电子邮件地址	关键词
email.from.address	发件人的电子邮件地址，通常来自 RFC 5322 `From:` 标头字段。	关键词
email.sender.address	根据 RFC 5322，指定负责实际传输消息的地址。	关键词
email.subject	消息主题的简短摘要。	关键词
email.subject.text	`email.subject` 的多字段。	match_only_text
email.to.address	收件人的电子邮件地址	关键词
error.code	描述错误的错误代码。	关键词
error.message	错误消息。	match_only_text
event.category	这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的第二级。`event.category` 表示 ECS 类别的“大类”。例如，筛选 `event.category:process` 将产生所有与进程活动相关的事件。此字段与 `event.type` 密切相关，后者用作子类别。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确分类。	关键词
event.code	此事件的标识代码（如果存在）。某些事件源使用事件代码来明确标识消息，无论消息语言或随时间推移的措辞调整如何。这方面的一个示例是 Windows 事件 ID。	关键词
event.dataset	数据集的名称。	constant_keyword
event.duration	事件的持续时间（以纳秒为单位）。如果知道 `event.start` 和 `event.end`，则此值应为结束时间和开始时间之间的差值。	长整型
event.ingested	事件到达中央数据存储的时间戳。这与 `@timestamp` 不同，`@timestamp` 是事件最初发生的时间。它也与 `event.created` 不同，`event.created` 旨在捕获代理第一次看到事件的时间。在正常情况下，假设没有篡改，时间戳应按时间顺序如下所示：`@timestamp` < `event.created` < `event.ingested`。	日期
event.kind	这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的最高级别。`event.kind` 提供有关事件包含的信息类型的高级信息，而不具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知如何处理这些类型的事件。它们可能需要不同的保留、不同的访问控制，它还有助于了解数据是否以规则的间隔传入。	关键词
event.message	针对在日志查看器中查看进行了优化的日志消息。	文本
event.module	此数据来自的模块名称。	constant_keyword
event.outcome	这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的最低级别。`event.outcome` 只是表示从生成事件的实体的角度来看，事件是表示成功还是失败。请注意，当单个事务在多个事件中描述时，每个事件可能会根据其角度填充不同的 `event.outcome` 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能从事件生成者的角度捕获整体成功或失败的值。此外请注意，并非所有事件都会有相关的结果。例如，此字段通常不会为指标事件、`event.type:info` 的事件或任何结果没有逻辑意义的事件填充。	关键词
event.reference	指向有关此事件的其他信息的参考 URL。此 URL 指向此事件的静态定义。警报事件（由 `event.kind:alert` 指示）是此字段的常见用例。	关键词
event.start	`event.start` 包含事件开始或首次观察到活动时的日期。	日期
event.timezone	当事件的时间戳不包含时区信息时（例如，默认的Syslog时间戳），应填写此字段。否则是可选的。可接受的时区格式包括：规范 ID（例如，“Europe/Amsterdam”）、缩写（例如，“EST”）或 HH:mm 时差（例如，“-05:00”）。	关键词
event.type	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构的第三级。 `event.type` 表示一个分类“子类别”，当与 `event.category` 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的某些事件进行适当的分类。	关键词
file.extension	文件扩展名，不包括开头的点。请注意，当文件名有多个扩展名时（例如 example.tar.gz），只应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。	关键词
file.name	文件名，包括扩展名，不包含目录。	关键词
file.size	文件大小，以字节为单位。仅当 `file.type` 为“file”时才相关。	长整型
fortinet.file.hash.crc32	文件的 CRC32 哈希值	关键词
fortinet.firewall.acct_stat	计费状态 (RADIUS)	关键词
fortinet.firewall.acktime	警报确认时间	关键词
fortinet.firewall.action	操作	关键词
fortinet.firewall.activity	HA 活动消息	关键词
fortinet.firewall.addr	IP 地址	ip
fortinet.firewall.addr_type	地址类型	关键词
fortinet.firewall.addrgrp	地址组	关键词
fortinet.firewall.adgroup	AD 组名称	关键词
fortinet.firewall.admin	管理员用户	关键词
fortinet.firewall.age	以秒为单位的时间 - 自上次见到以来经过的时间	整数
fortinet.firewall.agent	用户代理 - 例如 agent="Mozilla/5.0"	关键词
fortinet.firewall.alarmid	警报 ID	整数
fortinet.firewall.alert	警报	关键词
fortinet.firewall.analyticscksum	提交进行分析的文件的校验和	关键词
fortinet.firewall.analyticssubmit	用于分析提交的标志	关键词
fortinet.firewall.ap	接入点	关键词
fortinet.firewall.app-type	地址类型	关键词
fortinet.firewall.appact	应用控制的安全操作	关键词
fortinet.firewall.appid	应用程序 ID	整数
fortinet.firewall.applist	应用控制配置文件	关键词
fortinet.firewall.apprisk	应用程序风险级别	关键词
fortinet.firewall.apscan	扫描并检测到恶意 AP 的 AP 名称	关键词
fortinet.firewall.apsn	接入点	关键词
fortinet.firewall.apstatus	接入点状态	关键词
fortinet.firewall.aptype	接入点类型	关键词
fortinet.firewall.assigned	分配的 IP 地址	ip
fortinet.firewall.assignip	分配的 IP 地址	ip
fortinet.firewall.attachment	电子邮件附件的标志	关键词
fortinet.firewall.attack	攻击名称	关键词
fortinet.firewall.attackcontext	带有 base64 编码的触发模式和数据包数据	关键词
fortinet.firewall.attackcontextid	攻击上下文 ID / 总数	关键词
fortinet.firewall.attackid	攻击 ID	整数
fortinet.firewall.auditid	审计 ID	长整型
fortinet.firewall.auditreporttype	审计报告类型	关键词
fortinet.firewall.auditscore	审计分数	关键词
fortinet.firewall.audittime	审计时间	长整型
fortinet.firewall.authgrp	授权组	关键词
fortinet.firewall.authid	身份验证 ID	关键词
fortinet.firewall.authmsg	身份验证消息	关键词
fortinet.firewall.authproto	启动身份验证的协议	关键词
fortinet.firewall.authserver	身份验证服务器	关键词
fortinet.firewall.bandwidth	带宽	关键词
fortinet.firewall.banned_rule	NAC 隔离禁止规则名称	关键词
fortinet.firewall.banned_src	NAC 隔离禁止源 IP	关键词
fortinet.firewall.banword	禁用词	关键词
fortinet.firewall.bibandwidth	入站和出站带宽	关键词
fortinet.firewall.botnetdomain	僵尸网络域名	关键词
fortinet.firewall.botnetip	僵尸网络 IP 地址	ip
fortinet.firewall.bssid	服务集 ID	关键词
fortinet.firewall.call_id	呼叫者 ID	关键词
fortinet.firewall.carrier	FortiOS 运营商	关键词
fortinet.firewall.carrier_ep	FortiOS 运营商端点标识	关键词
fortinet.firewall.cat	DNS 类别 ID	整数
fortinet.firewall.category	身份验证类别	关键词
fortinet.firewall.cc	抄送电子邮件地址	关键词
fortinet.firewall.cdrcontent	Cdr内容	关键词
fortinet.firewall.centralnatid	中心 NAT ID	整数
fortinet.firewall.cert	证书	关键词
fortinet.firewall.cert-type	证书类型	关键词
fortinet.firewall.certhash	证书哈希	关键词
fortinet.firewall.cfgattr	配置属性	关键词
fortinet.firewall.cfgobj	配置对象	关键词
fortinet.firewall.cfgpath	配置路径	关键词
fortinet.firewall.cfgtid	配置事务 ID	关键词
fortinet.firewall.cfgtxpower	配置 TX 功率	整数
fortinet.firewall.channel	无线信道	整数
fortinet.firewall.channeltype	SSH 信道类型	关键词
fortinet.firewall.chassisid	机箱 ID	整数
fortinet.firewall.checksum	扫描文件的校验和	关键词
fortinet.firewall.chgheaders	HTTP 标头	关键词
fortinet.firewall.cldobjid	连接器对象 ID	关键词
fortinet.firewall.client_addr	Wifi 客户端地址	关键词
fortinet.firewall.cloudaction	云操作	关键词
fortinet.firewall.clouduser	云用户	关键词
fortinet.firewall.clustername	集群名称	关键词
fortinet.firewall.column	VOIP 列	整数
fortinet.firewall.command	CLI 命令	关键词
fortinet.firewall.community	SNMP 社区	关键词
fortinet.firewall.configcountry	配置国家/地区	关键词
fortinet.firewall.connection_type	FortiClient 连接类型	关键词
fortinet.firewall.conserve	保护模式的标志	关键词
fortinet.firewall.constraint	WAF http 协议限制	关键词
fortinet.firewall.contentdisarmed	扫描的电子邮件内容	关键词
fortinet.firewall.contenttype	HTTP 标头中的内容类型	关键词
fortinet.firewall.cookies	VPN Cookie	关键词
fortinet.firewall.count	操作类型计数	整数
fortinet.firewall.countapp	与会话关联的应用控制日志数量	整数
fortinet.firewall.countav	与会话关联的 AV 日志数量	整数
fortinet.firewall.countcifs	与会话关联的 CIFS 日志数量	整数
fortinet.firewall.countdlp	与会话关联的 DLP 日志数量	整数
fortinet.firewall.countdns	与会话关联的 DNS 日志数量	整数
fortinet.firewall.countemail	与会话关联的电子邮件日志数量	整数
fortinet.firewall.countff	与会话关联的 ff 日志数量	整数
fortinet.firewall.countips	与会话关联的 IPS 日志数量	整数
fortinet.firewall.countssh	与会话关联的 SSH 日志数量	整数
fortinet.firewall.countssl	与会话关联的 SSL 日志数量	整数
fortinet.firewall.countwaf	与会话关联的 WAF 日志数量	整数
fortinet.firewall.countweb	与会话关联的 Web 过滤器日志数量	整数
fortinet.firewall.cpu	CPU 使用率	整数
fortinet.firewall.craction	客户端信誉操作	整数
fortinet.firewall.criticalcount	严重评级数量	整数
fortinet.firewall.crl	客户端信誉级别	关键词
fortinet.firewall.crlevel	客户端信誉级别	关键词
fortinet.firewall.crscore	一些描述	整数
fortinet.firewall.cveid	CVE ID	关键词
fortinet.firewall.daemon	守护进程名称	关键词
fortinet.firewall.datarange	报表的数据范围	关键词
fortinet.firewall.date	日期	关键词
fortinet.firewall.ddnsserver	DDNS 服务器	ip
fortinet.firewall.desc	描述	关键词
fortinet.firewall.detectionmethod	检测方法	关键词
fortinet.firewall.devcategory	设备类别	关键词
fortinet.firewall.devintfname	HA 设备接口名称	关键词
fortinet.firewall.devtype	设备类型	关键词
fortinet.firewall.dhcp_msg	DHCP 消息	关键词
fortinet.firewall.dintf	目标接口	关键词
fortinet.firewall.disk	关联磁盘	关键词
fortinet.firewall.disklograte	磁盘日志记录速率	长整型
fortinet.firewall.dlpextra	DLP 额外信息	关键词
fortinet.firewall.docsource	DLP 指纹文档来源	关键词
fortinet.firewall.domainctrlauthstate	CIFS 域身份验证状态	整数
fortinet.firewall.domainctrlauthtype	CIFS 域身份验证类型	整数
fortinet.firewall.domainctrldomain	CIFS 域身份验证域	关键词
fortinet.firewall.domainctrlip	CIFS 域 IP	ip
fortinet.firewall.domainctrlname	CIFS 域名	关键词
fortinet.firewall.domainctrlprotocoltype	CIFS 域连接协议	整数
fortinet.firewall.domainctrlusername	CIFS 域用户名	关键词
fortinet.firewall.domainfilteridx	域过滤器 ID	整数
fortinet.firewall.domainfilterlist	域过滤器名称	关键词
fortinet.firewall.ds	与分配系统的方向	关键词
fortinet.firewall.dst_int	目标接口	关键词
fortinet.firewall.dstcountry	目标国家/地区	关键词
fortinet.firewall.dstdevcategory	目标设备类别	关键词
fortinet.firewall.dstdevtype	目标设备类型	关键词
fortinet.firewall.dstfamily	目标操作系统系列	关键词
fortinet.firewall.dsthwvendor	目标硬件供应商	关键词
fortinet.firewall.dsthwversion	目标硬件版本	关键词
fortinet.firewall.dstinetsvc	目标接口服务	关键词
fortinet.firewall.dstintfrole	目标接口角色	关键词
fortinet.firewall.dstosname	目标操作系统名称	关键词
fortinet.firewall.dstosversion	目标操作系统版本	关键词
fortinet.firewall.dstserver	目标服务器	整数
fortinet.firewall.dstssid	目标 SSID	关键词
fortinet.firewall.dstswversion	目标软件版本	关键词
fortinet.firewall.dstunauthusersource	目标未经身份验证的来源	关键词
fortinet.firewall.dstuuid	目标 IP 地址的 UUID	关键词
fortinet.firewall.duid	DHCP UID	关键词
fortinet.firewall.eapolcnt	EAPOL 数据包计数	整数
fortinet.firewall.eapoltype	EAPOL 数据包类型	关键词
fortinet.firewall.encrypt	数据包是否已加密	整数
fortinet.firewall.encryption	加密方法	关键词
fortinet.firewall.epoch	用于定位文件的纪元	整数
fortinet.firewall.espauth	ESP 身份验证	关键词
fortinet.firewall.esptransform	ESP 转换	关键词
fortinet.firewall.exch	来自 DNS 响应应答部分的邮件交换	关键词
fortinet.firewall.exchange	来自 DNS 响应应答部分的邮件交换	关键词
fortinet.firewall.expectedsignature	预期的 SSL 签名	关键词
fortinet.firewall.expiry	FortiGuard 覆盖过期时间戳	关键词
fortinet.firewall.extrainfo		关键词
fortinet.firewall.fams_pause	Fortinet 分析和管理服务暂停	整数
fortinet.firewall.fazlograte	FortiAnalyzer 日志记录速率	长整型
fortinet.firewall.fctemssn	FortiClient 端点 SSN	关键词
fortinet.firewall.fctuid	FortiClient UID	关键词
fortinet.firewall.field	NTP 状态字段	关键词
fortinet.firewall.filefilter	用于标识受影响文件的过滤器	关键词
fortinet.firewall.filehashsrc	文件哈希来源	关键词
fortinet.firewall.filtercat	DLP 过滤器类别	关键词
fortinet.firewall.filteridx	DLP 过滤器 ID	整数
fortinet.firewall.filtername	DLP 规则名称	关键词
fortinet.firewall.filtertype	DLP 过滤器类型	关键词
fortinet.firewall.fortiguardresp	反垃圾邮件 ESP 值	关键词
fortinet.firewall.forwardedfor	转发的电子邮件地址	关键词
fortinet.firewall.fqdn	FQDN	关键词
fortinet.firewall.frametype	无线帧类型	关键词
fortinet.firewall.freediskstorage	可用磁盘整数	整数
fortinet.firewall.from	发件人电子邮件地址	关键词
fortinet.firewall.from_vcluster	源虚拟集群号	整数
fortinet.firewall.fsaverdict	FSA 裁决	关键词
fortinet.firewall.fwserver_name	Web 代理服务器名称	关键词
fortinet.firewall.gateway	PPPoE 状态报告的网关 IP 地址	ip
fortinet.firewall.green	内存状态	关键词
fortinet.firewall.groupid	用户组 ID	整数
fortinet.firewall.ha-prio	HA 优先级	整数
fortinet.firewall.ha_group	HA 组	关键词
fortinet.firewall.ha_role	HA 角色	关键词
fortinet.firewall.handshake	SSL 握手	关键词
fortinet.firewall.hash	下载文件的哈希值	关键词
fortinet.firewall.hbdn_reason	心跳停止原因	关键词
fortinet.firewall.healthcheck	健康检查名称	关键词
fortinet.firewall.highcount	高计数 Fabric 摘要	整数
fortinet.firewall.host	主机名	关键词
fortinet.firewall.iaid	DHCPv6 ID	关键词
fortinet.firewall.iccid	SIM 卡 ICCID 号码	关键词
fortinet.firewall.icmpcode	ICMP 消息的目标端口	关键词
fortinet.firewall.icmpid	ICMP 消息的源端口	关键词
fortinet.firewall.icmptype	ICMP 消息的类型	关键词
fortinet.firewall.identifier	网络流量标识符	整数
fortinet.firewall.imei	设备 IMEI	关键词
fortinet.firewall.imsi	用户 IMSI	关键词
fortinet.firewall.in_spi	IPSEC 入站 SPI	关键词
fortinet.firewall.inbandwidth	入站带宽	关键词
fortinet.firewall.incidentserialno	事件序列号	整数
fortinet.firewall.infected	受感染的彩信	整数
fortinet.firewall.infectedfilelevel	DLP 受感染文件级别	整数
fortinet.firewall.informationsource	信息来源	关键词
fortinet.firewall.init	IPSEC 初始化阶段	关键词
fortinet.firewall.initiator	Fortiguard 覆盖的原始登录用户名	关键词
fortinet.firewall.interface	相关接口	关键词
fortinet.firewall.intf	相关接口	关键词
fortinet.firewall.invalidmac	OUI 无效的 MAC 地址	关键词
fortinet.firewall.ip	相关 IP	ip
fortinet.firewall.iptype	相关 IP 类型	关键词
fortinet.firewall.jitter	通信抖动	浮点数
fortinet.firewall.keyword	用于搜索的关键字	关键词
fortinet.firewall.kind	VOIP 类型	关键词
fortinet.firewall.kxproto	密钥交换协议	关键词
fortinet.firewall.lanin	LAN 入站流量（字节）	长整型
fortinet.firewall.lanout	LAN 出站流量（字节）	长整型
fortinet.firewall.latency	通信延迟。	浮点数
fortinet.firewall.lease	DHCP 租约	整数
fortinet.firewall.license_limit	许可证允许的最大 FortiClient 数量	关键词
fortinet.firewall.limit	虚拟域资源限制	整数
fortinet.firewall.line	VOIP 线路	关键词
fortinet.firewall.live	时间（秒）	整数
fortinet.firewall.local	PPPD 连接的本地 IP	ip
fortinet.firewall.log	日志消息	关键词
fortinet.firewall.login	SSH 登录	关键词
fortinet.firewall.lowcount	Fabric 低计数	整数
fortinet.firewall.mac	DHCP MAC 地址	关键词
fortinet.firewall.malform_data	VOIP 畸形数据	整数
fortinet.firewall.malform_desc	VOIP 畸形数据描述	关键词
fortinet.firewall.manuf	制造商名称	关键词
fortinet.firewall.masterdstmac	具有多个网络接口的主机的 Master MAC 地址	关键词
fortinet.firewall.mastersrcmac	具有多个网络接口的主机的 Master MAC 地址	关键词
fortinet.firewall.mediumcount	Fabric 中计数	整数
fortinet.firewall.mem	内存使用系统统计信息	整数
fortinet.firewall.meshmode	无线 Mesh 模式	关键词
fortinet.firewall.message_type	VOIP 消息类型	关键词
fortinet.firewall.method	HTTP 方法	关键词
fortinet.firewall.metric	指标名称	关键词
fortinet.firewall.mgmtcnt	未经授权的客户端泛洪管理帧的数量	整数
fortinet.firewall.mitm	指示是否启用 SSL MITM 检测。	关键词
fortinet.firewall.mode	IPSEC 模式	关键词
fortinet.firewall.module	PCI-DSS 模块	关键词
fortinet.firewall.monitor-name	健康监控名称	关键词
fortinet.firewall.monitor-type	健康监控类型	关键词
fortinet.firewall.mpsk	无线 MPSK	关键词
fortinet.firewall.msgproto	消息协议号	关键词
fortinet.firewall.mtu	最大传输单元值	整数
fortinet.firewall.name	名称	关键词
fortinet.firewall.nat	NAT IP 地址	关键词
fortinet.firewall.netid	连接器 NetID	关键词
fortinet.firewall.new_status	用户更改的新状态	关键词
fortinet.firewall.new_value	新的虚拟域名称	关键词
fortinet.firewall.newchannel	新频道号码	整数
fortinet.firewall.newchassisid	新的机箱 ID	整数
fortinet.firewall.newslot	新的插槽编号	整数
fortinet.firewall.newvalue	新值	关键词
fortinet.firewall.nextstat	下一个统计信息的时间间隔（秒）。	整数
fortinet.firewall.nf_type	通知类型	关键词
fortinet.firewall.noise	Wifi 噪声	整数
fortinet.firewall.old_status	原始状态	关键词
fortinet.firewall.old_value	原始虚拟域名称	关键词
fortinet.firewall.oldchannel	原始频道	整数
fortinet.firewall.oldchassisid	原始机箱编号	整数
fortinet.firewall.oldslot	原始插槽编号	整数
fortinet.firewall.oldsn	旧序列号	关键词
fortinet.firewall.oldvalue	旧值	关键词
fortinet.firewall.oldwprof	旧 Web 过滤配置文件	关键词
fortinet.firewall.onwire	指示 AP 是否在线的标志	关键词
fortinet.firewall.opercountry	运营国家/地区	关键词
fortinet.firewall.opertxpower	运营 TX 功率	整数
fortinet.firewall.osname	操作系统名称	关键词
fortinet.firewall.osversion	操作系统版本	关键词
fortinet.firewall.out_spi	出站 SPI	关键词
fortinet.firewall.outbandwidth	出站带宽	关键词
fortinet.firewall.outintf	输出接口	关键词
fortinet.firewall.packetloss	数据包丢失百分比。	关键词
fortinet.firewall.passedcount	Fabric 通过计数	整数
fortinet.firewall.passwd	已更改的用户密码信息	关键词
fortinet.firewall.path	安全 Fabric 的循环配置路径	关键词
fortinet.firewall.peer	WAN 优化对等体	关键词
fortinet.firewall.peer_notif	VPN 对等体通知	关键词
fortinet.firewall.phase2_name	VPN phase2 名称	关键词
fortinet.firewall.phone	VOIP 电话	关键词
fortinet.firewall.phonenumber	电话号码	关键词
fortinet.firewall.pid	进程 ID	整数
fortinet.firewall.plan	用户套餐	关键词
fortinet.firewall.policytype	策略类型	关键词
fortinet.firewall.poluuid	策略 UUID	关键词
fortinet.firewall.poolname	IP 池名称	关键词
fortinet.firewall.port	日志上传错误端口	整数
fortinet.firewall.portbegin	IP 池起始端口号	整数
fortinet.firewall.portend	IP 池结束端口号	整数
fortinet.firewall.probeproto	链路监控探测协议	关键词
fortinet.firewall.process	URL 过滤进程	关键词
fortinet.firewall.processtime	报告处理时间	整数
fortinet.firewall.profile	配置文件名称	关键词
fortinet.firewall.profile_vd	虚拟域名称	关键词
fortinet.firewall.profilegroup	配置文件组名称	关键词
fortinet.firewall.profiletype	配置文件类型	关键词
fortinet.firewall.qtypeval	DNS 查询类型值	整数
fortinet.firewall.quarskip	隔离跳过说明	关键词
fortinet.firewall.quotaexceeded	是否超出配额	关键词
fortinet.firewall.quotamax	允许的最大配额 - 如果是基于时间的则为秒，如果是基于流量的则为字节	长整型
fortinet.firewall.quotatype	配额类型	关键词
fortinet.firewall.quotaused	已用配额 - 如果是基于时间的则为秒，如果是基于流量的则为字节	长整型
fortinet.firewall.radioband	无线频段	关键词
fortinet.firewall.radioid	无线 ID	整数
fortinet.firewall.radioidclosest	距离流氓 AP 最近的 AP 上的无线 ID	整数
fortinet.firewall.radioiddetected	检测到流氓 AP 的 AP 上的无线 ID	整数
fortinet.firewall.rate	无线流氓速率值	关键词
fortinet.firewall.rawdata	原始数据值	关键词
fortinet.firewall.rawdataid	原始数据 ID	关键词
fortinet.firewall.rcvddelta	接收的字节增量	关键词
fortinet.firewall.reason	警报原因	关键词
fortinet.firewall.received	已接收的服务器密钥交换	整数
fortinet.firewall.receivedsignature	已接收的服务器密钥交换签名	关键词
fortinet.firewall.red	红色内存信息	关键词
fortinet.firewall.referralurl	Web 过滤 referralurl	关键词
fortinet.firewall.remote	远程 PPP IP 地址	ip
fortinet.firewall.remotewtptime	远程 Wifi Radius 身份验证时间	关键词
fortinet.firewall.reporttype	报告类型	关键词
fortinet.firewall.reqtype	请求类型	关键词
fortinet.firewall.request_name	VOIP 请求名称	关键词
fortinet.firewall.result	VPN 阶段结果	关键词
fortinet.firewall.role	VPN Phase 2 角色	关键词
fortinet.firewall.rsrp	参考信号接收功率	整数
fortinet.firewall.rsrq	参考信号接收质量	整数
fortinet.firewall.rssi	接收信号强度指示器	整数
fortinet.firewall.rsso_key	RADIUS SSO 属性值	关键词
fortinet.firewall.ruledata	规则数据	关键词
fortinet.firewall.ruletype	规则类型	关键词
fortinet.firewall.scanned	扫描的彩信数量	整数
fortinet.firewall.scantime	扫描时间	长整型
fortinet.firewall.scope	FortiGuard 覆盖范围	关键词
fortinet.firewall.security	无线流氓安全	关键词
fortinet.firewall.sensitivity	文档指纹的灵敏度	关键词
fortinet.firewall.sensor	NAC 传感器名称	关键词
fortinet.firewall.sentdelta	发送的字节增量	关键词
fortinet.firewall.seq	序列号	关键词
fortinet.firewall.serial	WAN 优化序列	关键词
fortinet.firewall.serialno	序列号	关键词
fortinet.firewall.server	AD 服务器 FQDN 或 IP	关键词
fortinet.firewall.session_id	会话 ID	关键词
fortinet.firewall.sessionid	WAD 会话 ID	整数
fortinet.firewall.setuprate	会话建立速率	长整型
fortinet.firewall.severity	严重性	关键词
fortinet.firewall.shaperdroprcvdbyte	整形器丢弃的接收字节	整数
fortinet.firewall.shaperdropsentbyte	整形器丢弃的发送字节	整数
fortinet.firewall.shaperperipdropbyte	整形器按 IP 丢弃的字节	整数
fortinet.firewall.shaperperipname	流量整形器名称（按 IP）	关键词
fortinet.firewall.shaperrcvdname	接收流量的流量整形器名称	关键词
fortinet.firewall.shapersentname	发送流量的流量整形器名称	关键词
fortinet.firewall.shapingpolicyid	流量整形器策略 ID	整数
fortinet.firewall.signal	无线流氓 API 信号	整数
fortinet.firewall.signalstrength	信号强度	整数
fortinet.firewall.sinr	信噪比	整数
fortinet.firewall.size	电子邮件大小（字节）	长整型
fortinet.firewall.ski	x509 主题密钥标识符	关键词
fortinet.firewall.slamap	SLA 映射。	关键词
fortinet.firewall.slatargetid	目标 SLA 的 ID。	关键词
fortinet.firewall.slot	插槽编号	整数
fortinet.firewall.sn	安全结构序列号	关键词
fortinet.firewall.snclosest	距离非法 AP 最近的 AP 的序列号	关键词
fortinet.firewall.sndetected	检测到非法 AP 的 AP 的序列号	关键词
fortinet.firewall.snmeshparent	网状父节点的序列号	关键词
fortinet.firewall.spi	IPSEC SPI	关键词
fortinet.firewall.src_int	源接口	关键词
fortinet.firewall.srccountry	来源国家/地区	关键词
fortinet.firewall.srcfamily	来源系列	关键词
fortinet.firewall.srchwvendor	来源硬件供应商	关键词
fortinet.firewall.srchwversion	来源硬件版本	关键词
fortinet.firewall.srcinetsvc	源接口服务	关键词
fortinet.firewall.srcintfrole	源接口角色	关键词
fortinet.firewall.srcname	来源名称	关键词
fortinet.firewall.srcserver	来源服务器	整数
fortinet.firewall.srcssid	来源 SSID	关键词
fortinet.firewall.srcswversion	来源软件版本	关键词
fortinet.firewall.srcuuid	来源 UUID	关键词
fortinet.firewall.sscname	SSC 名称	关键词
fortinet.firewall.ssid	基本服务集 ID	关键词
fortinet.firewall.sslaction	SSL 操作	关键词
fortinet.firewall.ssllocal	WAD SSL 本地	关键词
fortinet.firewall.sslremote	WAD SSL 远程	关键词
fortinet.firewall.stacount	站点/客户端的数量	整数
fortinet.firewall.stage	IPSEC 阶段	关键词
fortinet.firewall.stamac	802.1x 站点 MAC	关键词
fortinet.firewall.state	管理员登录状态	关键词
fortinet.firewall.status	状态	关键词
fortinet.firewall.stitch	触发的自动化连接	关键词
fortinet.firewall.subject	电子邮件主题	关键词
fortinet.firewall.submodule	配置子模块名称	关键词
fortinet.firewall.subservice	AV 子服务	关键词
fortinet.firewall.subtype	日志子类型	关键词
fortinet.firewall.suspicious	可疑 MMS 的数量	整数
fortinet.firewall.switchproto	协议更改信息	关键词
fortinet.firewall.sync_status	与主设备的同步状态	关键词
fortinet.firewall.sync_type	与主设备的同步类型	关键词
fortinet.firewall.sysuptime	系统正常运行时间	关键词
fortinet.firewall.tamac	发射器的 MAC 地址，如果没有，则为接收器	关键词
fortinet.firewall.temperature	温度	整数
fortinet.firewall.threattype	WIDS 威胁类型	关键词
fortinet.firewall.time	事件发生时间	关键词
fortinet.firewall.timestamp	事件时间戳	关键词
fortinet.firewall.to	电子邮件“收件人”字段	关键词
fortinet.firewall.to_vcluster	目标虚拟集群号	整数
fortinet.firewall.total	总内存	整数
fortinet.firewall.totalsession	会话总数	整数
fortinet.firewall.trace_id	会话冲突跟踪 ID	关键词
fortinet.firewall.trandisp	NAT 转换类型	关键词
fortinet.firewall.tranip	NAT 目标 IP	ip
fortinet.firewall.transid	HTTP 事务 ID	整数
fortinet.firewall.transip	NAT 源 IP	ip
fortinet.firewall.translationid	DNS 过滤器转换 ID	关键词
fortinet.firewall.trigger	自动化连接触发器	关键词
fortinet.firewall.trueclntip	文件过滤器真实客户端 IP	ip
fortinet.firewall.tunnelid	IPSEC 隧道 ID	整数
fortinet.firewall.tunnelip	IPSEC 隧道 IP	ip
fortinet.firewall.tunneltype	IPSEC 隧道类型	关键词
fortinet.firewall.type	模块类型	关键词
fortinet.firewall.ui	管理员身份验证 UI 类型	关键词
fortinet.firewall.unauthusersource	未经身份验证的用户来源	关键词
fortinet.firewall.unit	电源单元	整数
fortinet.firewall.urlfilteridx	URL 过滤器 ID	整数
fortinet.firewall.urlfilterlist	URL 过滤器列表	关键词
fortinet.firewall.urlsource	URL 过滤器来源	关键词
fortinet.firewall.urltype	URL 过滤器类型	关键词
fortinet.firewall.used	已使用的 IP 数量	整数
fortinet.firewall.used_for_type	该类型的连接	整数
fortinet.firewall.utmaction	UTM 执行的安全操作	关键词
fortinet.firewall.utmref	UTM 参考	关键词
fortinet.firewall.valid		整数
fortinet.firewall.vap	虚拟 AP	关键词
fortinet.firewall.vapmode	虚拟 AP 模式	关键词
fortinet.firewall.vcluster	虚拟集群 ID	整数
fortinet.firewall.vcluster_member	虚拟集群成员	整数
fortinet.firewall.vcluster_state	虚拟集群状态	关键词
fortinet.firewall.vd	虚拟域名称	关键词
fortinet.firewall.vdname	虚拟域名称	关键词
fortinet.firewall.vendorurl	漏洞扫描供应商名称	关键词
fortinet.firewall.version	版本	关键词
fortinet.firewall.vip	虚拟 IP	关键词
fortinet.firewall.virus	病毒名称	关键词
fortinet.firewall.virusid	病毒 ID（唯一的病毒标识符）	整数
fortinet.firewall.voip_proto	VOIP 协议	关键词
fortinet.firewall.vpn	VPN 描述	关键词
fortinet.firewall.vpntunnel	IPsec VPN 隧道名称	关键词
fortinet.firewall.vpntype	VPN 隧道的类型	关键词
fortinet.firewall.vrf	VRF 编号	整数
fortinet.firewall.vulncat	漏洞类别	关键词
fortinet.firewall.vulnid	漏洞 ID	整数
fortinet.firewall.vulnname	漏洞名称	关键词
fortinet.firewall.vwlid	VWL ID	整数
fortinet.firewall.vwlquality	VWL 质量	关键词
fortinet.firewall.vwlservice	VWL 服务	关键词
fortinet.firewall.vwpvlanid	VWP VLAN ID	整数
fortinet.firewall.wanin	WAN 入站流量（字节）	长整型
fortinet.firewall.wanoptapptype	WAN 优化应用程序类型	关键词
fortinet.firewall.wanout	WAN 出站流量（字节）	长整型
fortinet.firewall.weakwepiv	弱 Wep 初始化向量	关键词
fortinet.firewall.xauthgroup	XAuth 组名称	关键词
fortinet.firewall.xauthuser	XAuth 用户名	关键词
fortinet.firewall.xid	无线 X ID	整数
host.architecture	操作系统架构。	关键词
host.containerized	主机是否为容器。	boolean
host.domain	主机所属的域的名称。例如，在 Windows 上，这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可能是主机 LDAP 提供程序的域。	关键词
host.hostname	主机的 hostname。它通常包含主机上 `hostname` 命令返回的内容。	关键词
host.id	唯一的主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。例如：`beat.name` 的当前用法。	关键词
host.ip	主机 IP 地址。	ip
host.mac	主机 MAC 地址。	关键词
host.name	主机名称。它可以包含 Unix 系统上 `hostname` 返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。	关键词
host.os.build	操作系统构建信息。	关键词
host.os.codename	操作系统代号（如果有）。	关键词
host.os.family	操作系统系列（例如 redhat、debian、freebsd、windows）。	关键词
host.os.kernel	原始字符串形式的操作系统内核版本。	关键词
host.os.name	不带版本的操作系统名称。	关键词
host.os.name.text	`host.os.name` 的多字段。	文本
host.os.platform	操作系统平台（例如 centos、ubuntu、windows）。	关键词
host.os.version	原始字符串形式的操作系统版本。	关键词
host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中具有意义的其他信息。	关键词
http.request.method	HTTP 请求方法。该值应保留其原始事件的大小写。例如，`GET`、`get` 和 `GeT` 都被视为此字段的有效值。	关键词
http.request.referrer	此 HTTP 请求的引用。	关键词
input.type	Filebeat 输入类型。	关键词
log.file.path	日志文件的路径。	关键词
log.flags	日志文件的标志。	关键词
log.level	日志事件的原始日志级别。如果事件源提供日志级别或文本严重性，则此级别或严重性将放入 `log.level` 中。如果您的源未指定，您可以将事件传输的严重性放在这里（例如，Syslog 严重性）。一些示例是 `warn`、`err`、`i`、`informational`。	关键词
log.offset	日志文件中条目的偏移量。	长整型
log.source.address	从中读取/发送日志事件的源地址。	关键词
log.syslog.facility.code	如果可用，日志事件的 Syslog 数字设备。根据 RFC 5424 和 3164，此值应为介于 0 和 23 之间的整数。	长整型
log.syslog.priority	如果可用，事件的 Syslog 数字优先级。根据 RFC 5424 和 3164，优先级为 8 * 设备 + 严重性。因此，此数字应包含介于 0 和 191 之间的值。	长整型
log.syslog.severity.code	如果可用，日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件源提供了不同的数字严重性值（例如，防火墙、IDS），则您的源数字严重性应转到 `event.severity`。如果事件源未指定不同的严重性，您可以选择将 Syslog 严重性复制到 `event.severity`。	长整型
message	对于日志事件，message 字段包含日志消息，该消息已针对在日志查看器中查看进行优化。对于没有原始消息字段的结构化日志，可以将其他字段连接起来，以形成事件的人工可读摘要。如果存在多条消息，则可以将它们合并为一条消息。	match_only_text
network.application	当从网络连接详细信息（源/目标 IP、端口、证书或线路格式）识别出特定应用程序或服务时，此字段将捕获该应用程序或服务的名称。例如，原始事件标识网络连接来自 `https` 网络连接中的特定 Web 服务，如 `facebook` 或 `twitter`。该字段值必须标准化为小写，以便进行查询。	关键词
network.bytes	双向传输的总字节数。如果已知 `source.bytes` 和 `destination.bytes`，则 `network.bytes` 是它们的总和。	长整型
network.direction	网络流量的方向。在映射来自基于主机的监视上下文的事件时，请从主机的角度使用值“ingress”或“egress”填充此字段。在映射来自基于网络或边界的监视上下文的事件时，请从网络边界的角度使用值“inbound”、“outbound”、“internal”或“external”填充此字段。请注意，“internal”未跨越边界，旨在描述边界内两个主机之间的通信。另请注意，“external”旨在描述两个边界外部的主机之间的流量。例如，这对 ISP 或 VPN 服务提供商很有用。	关键词
network.iana_number	IANA 协议编号（https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml）。协议的标准化列表。这与使用 IANA 协议编号的 NetFlow 和 sFlow 相关日志很好地对齐。	关键词
network.packets	双向传输的总数据包数。如果已知 `source.packets` 和 `destination.packets`，则 `network.packets` 是它们的总和。	长整型
network.protocol	在 OSI 模型中，这将是应用程序层协议。例如，`http`、`dns` 或 `ssh`。该字段值必须标准化为小写，以便进行查询。	关键词
network.transport	与 network.iana_number 相同，但改为使用传输层的关键字名称（udp、tcp、ipv6-icmp 等）。该字段值必须标准化为小写，以便进行查询。	关键词
observer.egress.interface.name	系统报告的接口名称。	关键词
observer.ingress.interface.name	系统报告的接口名称。	关键词
observer.name	观察者的自定义名称。这是可以赋予观察者的名称。例如，如果组织中使用了多个相同型号的防火墙，这可能会有所帮助。如果不需要自定义名称，则可以将该字段留空。	关键词
observer.product	观察者的产品名称。	关键词
observer.serial_number	观察者序列号。	关键词
observer.type	数据来源的观察者类型。没有预定义的观察者类型列表。一些示例包括 `forwarder`、`firewall`、`ids`、`ips`、`proxy`、`poller`、`sensor`、`APM server`。	关键词
observer.vendor	观察者的供应商名称。	关键词
related.hash	在您的事件中看到的所有哈希值。填充此字段，然后使用它搜索哈希值，可以在不确定哈希算法是什么（因此应该搜索哪个键名）的情况下提供帮助。	关键词
related.hosts	在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。	关键词
related.ip	在您的事件中看到的所有 IP 地址。	ip
related.user	在事件中看到的所有用户名或其他用户标识符。	关键词
rule.category	实体使用规则检测此事件时使用的分类值关键字。	关键词
rule.description	生成事件的规则的描述。	关键词
rule.id	在代理、观察者或使用该规则检测此事件的其他实体的范围内唯一的规则 ID。	关键词
rule.name	生成事件的规则或签名的名称。	关键词
rule.ruleset	用于生成此事件的规则所属的规则集、策略、组或父类别的名称。	关键词
rule.uuid	在代理、观察者或使用该规则检测此事件的其他实体的集合或组的范围内唯一的规则 ID。	关键词
source.address	某些事件源地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 `.address` 字段中。然后，它应复制到 `.ip` 或 `.domain`，具体取决于它是哪个。	关键词
source.as.number	分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。	长整型
source.as.organization.name	组织名称。	关键词
source.as.organization.name.text	`source.as.organization.name` 的多字段。	match_only_text
source.bytes	从源发送到目标的字节数。	长整型
source.geo.city_name	城市名称。	关键词
source.geo.continent_name	大洲名称。	关键词
source.geo.country_iso_code	国家/地区 ISO 代码。	关键词
source.geo.country_name	国家/地区名称。	关键词
source.geo.location	经度和纬度。	geo_point
source.geo.name	用户定义的地点描述，粒度级别由他们决定。如果描述本地物理实体，则可以是他们的数据中心名称、楼层号、城市名称。通常不用于自动地理位置。	关键词
source.geo.region_iso_code	区域 ISO 代码。	关键词
source.geo.region_name	区域名称。	关键词
source.ip	源的 IP 地址（IPv4 或 IPv6）。	ip
source.mac	源的 MAC 地址。建议使用 RFC 7042 的表示法格式：每个八位字节（即 8 位字节）用两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	关键词
source.nat.ip	基于 NAT 会话转换的源 IP（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。	ip
source.nat.port	基于 NAT 会话转换的源端口。（例如，内部客户端到互联网）通常与负载均衡器、防火墙或路由器一起使用。	长整型
source.packets	从源发送到目标的数据包数。	长整型
source.port	源的端口。	长整型
source.user.email	用户电子邮件地址。	关键词
source.user.group.name	组的名称。	关键词
source.user.name	用户的简称或登录名。	关键词
source.user.name.text	`source.user.name` 的多字段。	match_only_text
source.user.roles	事件发生时用户的角色数组。	关键词
tags	用于标记每个事件的关键字列表。	关键词
threat.feed.name	威胁源的名称，以用户友好的格式显示。	关键词
tls.cipher	指示当前连接期间使用的密码的字符串。	关键词
tls.client.issuer	客户端提供的 x.509 证书颁发者主题的专有名称。	关键词
tls.client.server_name	也称为 SNI，它告诉服务器客户端尝试连接的主机名。当此值可用时，应将其复制到 `destination.domain`。	关键词
tls.client.x509.issuer.common_name	颁发证书机构的公用名称 (CN) 列表。	关键词
tls.client.x509.public_key_algorithm	用于生成公钥的算法。	关键词
tls.curve	指示给定密码使用的曲线的字符串（如果适用）。	关键词
tls.established	布尔标志，指示 TLS 协商是否成功并转换为加密隧道。	boolean
tls.server.hash.sha1	使用服务器提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希值。	关键词
tls.server.issuer	服务器提供的 x.509 证书颁发者的主题。	关键词
tls.server.not_after	指示服务器证书不再被视为有效的时的时间戳。	日期
tls.server.not_before	指示首次将服务器证书视为有效的时的时间戳。	日期
tls.server.x509.alternative_names	主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异，但通常包含 IP 地址、DNS 名称（和通配符）以及电子邮件地址。	关键词
tls.server.x509.issuer.common_name	颁发证书机构的公用名称 (CN) 列表。	关键词
tls.server.x509.not_after	证书不再被视为有效的时间。	日期
tls.server.x509.not_before	首次将证书视为有效的时间。	日期
tls.server.x509.public_key_algorithm	用于生成公钥的算法。	关键词
tls.server.x509.public_key_size	公钥空间的大小（以位为单位）。	长整型
tls.server.x509.serial_number	证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应格式化为不带冒号和大写字符。	关键词
tls.server.x509.subject.common_name	主题的公用名称 (CN) 列表。	关键词
tls.version	从原始字符串解析的版本数字部分。	关键词
tls.version_protocol	从原始字符串解析的规范化小写协议名称。	关键词
url.domain	URL 的域，例如“https://elastic.ac.cn[www.elastic.co]”。在某些情况下，URL 可能直接引用 IP 和/或端口，而不使用域名。在这种情况下，IP 地址将转到 `domain` 字段。如果 URL 包含由 `[` 和 `]`（IETF RFC 2732）括起来的文字 IPv6 地址，则 `[` 和 `]` 字符也应捕获到 `domain` 字段中。	关键词
url.extension	该字段包含原始请求 URL 中的文件扩展名，不包括前导点。仅当存在文件扩展名时才会设置文件扩展名，因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如，该值必须为“png”，而不是“.png”。请注意，当文件名具有多个扩展名 (example.tar.gz) 时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。	关键词
url.path	请求的路径，例如“/search”。	wildcard
url.query	query 字段描述请求的查询字符串，例如“q=elasticsearch”。`?` 从查询字符串中排除。如果 URL 不包含 `?`，则不存在 query 字段。如果存在 `?` 但没有查询，则存在一个空字符串的 query 字段。可以使用 `exists` 查询来区分这两种情况。	关键词
url.scheme	请求的方案，例如“https”。注意：`:` 不是方案的一部分。	关键词
user.name	用户的简称或登录名。	关键词
user.name.text	`user.name` 的多字段。	match_only_text
user.roles	事件发生时用户的角色数组。	关键词
user_agent.original	未解析的 user_agent 字符串。	关键词
user_agent.original.text	`user_agent.original` 的多字段。	match_only_text
vulnerability.category	漏洞影响的系统或架构的类型。这些可能是特定于平台的（例如，Debian 或 SUSE）或通用的（例如，数据库或防火墙）。例如（Qualys[https://qualysguard.qualys.com/qwebhelp/fo_portal/knowledgebase/vulnerability_categories.htm[Qualys 漏洞类别]）。此字段必须是一个数组。	关键词

变更日志

编辑

变更日志

版本	详细信息	Kibana 版本
1.27.0	增强 (查看拉取请求) 添加 syslog 的主机名解析。	8.3.0 或更高版本
1.26.0	缺陷修复 (查看拉取请求) 交换 vpn 事件类型的目标和源。	8.3.0 或更高版本
1.25.8	缺陷修复 (查看拉取请求) 在引用摄取管道中的变量时使用三括号 Mustache 模板。	8.3.0 或更高版本
1.25.7	缺陷修复 (查看拉取请求) 修复尚未实例化 tls 映射时的 TLS 解析错误	8.3.0 或更高版本
1.25.6	缺陷修复 (查看拉取请求) 修复测试数据	8.3.0 或更高版本
1.25.5	缺陷修复 (查看拉取请求) 修复管理员登录的备用日志处理	8.3.0 或更高版本
1.25.4	缺陷修复 (查看拉取请求) 修复 URL 字段的解析	8.3.0 或更高版本
1.25.3	缺陷修复 (查看拉取请求) 容忍从 Fortinet Analyzer 接收消息时 syslog 优先级后面的空格。	8.3.0 或更高版本
1.25.2	缺陷修复 (查看拉取请求) 修复从 https 解析失败的登录。	8.3.0 或更高版本
1.25.1	缺陷修复 (查看拉取请求) 确保 event.original 与消息字段的值匹配。	8.3.0 或更高版本
1.25.0	增强 (查看拉取请求) 添加更多对不需要字符的清理。	8.3.0 或更高版本
1.24.0	增强 (查看拉取请求) 将包规范更新到 3.0.3。	8.3.0 或更高版本
1.23.2	增强 (查看拉取请求) 已更改所有者	8.3.0 或更高版本
1.23.1	缺陷修复 (查看拉取请求) 修复 event.module 值	8.3.0 或更高版本
1.23.0	增强 (查看拉取请求) 解析登录事件缺陷修复 (查看拉取请求) 修复事件管道中 startsWith 的可能空值。	8.3.0 或更高版本
1.22.2	缺陷修复 (查看拉取请求) 修复 exclude_files 模式。	8.3.0 或更高版本
1.22.1	增强 (查看拉取请求) 修复模板文件中的处理器缩进。	8.3.0 或更高版本
1.22.0	增强 (查看拉取请求) ECS 版本已更新至 8.11.0。	8.3.0 或更高版本
1.21.0	增强 (查看拉取请求) 添加对 FortiOS 7.x 的支持。缺陷修复 (查看拉取请求) 修复 udp 和 tcp 输入的网络选项。增强 (查看拉取请求) 除了基于接口的方向解析外，添加网络处理器。增强 (查看拉取请求) 清理值模板，并删除管道中的 `ctx` 空值检查。	8.3.0 或更高版本
1.20.0	增强 (查看拉取请求) 改进 event.original 检查，以避免在设置时出错。	8.3.0 或更高版本
1.19.0	增强 (查看拉取请求) ECS 版本已更新至 8.10.0。	8.3.0 或更高版本
1.18.0	增强 (查看拉取请求) 软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除点状 YAML 键。向软件包清单添加了 owner.type: elastic。	8.3.0 或更高版本
1.17.0	增强 (查看拉取请求) 添加 tags.yml 文件，以便将集成的仪表板和已保存的搜索标记为“安全解决方案”，并显示在安全解决方案 UI 中。	8.3.0 或更高版本
1.16.1	缺陷修复 (查看拉取请求) 默认情况下在 TCP 输入上启用 RFC 6587 框架。	8.3.0 或更高版本
1.16.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.9.0。	8.3.0 或更高版本
1.15.0	增强 (查看拉取请求) 允许没有优先级的 syslog 行。	8.3.0 或更高版本
1.14.0	增强 (查看拉取请求) 确保为管道错误正确设置 event.kind。	8.3.0 或更高版本
1.13.0	增强 (查看拉取请求) 将软件包更新至 package-spec 2.7.0。	8.3.0 或更高版本
1.12.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.8.0。	8.3.0 或更高版本
1.11.0	增强 (查看拉取请求) 将 host.name 字段转换为小写，并在操作为拒绝时添加 event.type denied	8.3.0 或更高版本
1.10.1	缺陷修复 (查看拉取请求) 修复 syslog KV 拆分以考虑带引号的值。	8.3.0 或更高版本
1.10.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.7.0。	8.3.0 或更高版本
1.9.0	增强 (查看拉取请求) 添加 user.name、host.name 和 dns.question.registered_domain	8.3.0 或更高版本
1.8.0	增强 (查看拉取请求) 在 `related.ip` 中包含 NAT 和防火墙 IP。	8.3.0 或更高版本
1.7.0	增强 (查看拉取请求) 处理更广泛的时区格式。	8.3.0 或更高版本
1.6.1	增强 (查看拉取请求) 添加了类别和/或子类别。	8.3.0 或更高版本
1.6.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.6.0。	8.3.0 或更高版本
1.5.0	增强 (查看拉取请求) 向 UDP 输入添加 `udp_options`。	8.3.0 或更高版本
1.4.0	增强 (查看拉取请求) 将源和目标 NAT IP 添加到 `related.ip`。	8.3.0 或更高版本
1.3.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.5.0。	8.3.0 或更高版本
1.2.5	缺陷修复 (查看拉取请求) 提高与较新版本的 FortiOS 的兼容性。	8.3.0 或更高版本
1.2.4	缺陷修复 (查看拉取请求) 删除重复字段。	8.3.0 或更高版本
1.2.3	缺陷修复 (查看拉取请求) 删除重复字段。	8.3.0 或更高版本
1.2.2	缺陷修复 (查看拉取请求) 确保 network.direction 值符合 ECS。	8.3.0 或更高版本
1.2.1	增强 (查看拉取请求) 使用 ECS geo.location 定义。	8.3.0 或更高版本
1.2.0	增强 (查看拉取请求) 使用观察者字段更新 Ingest 管道	8.3.0 或更高版本
1.1.0	增强 (查看拉取请求) 添加仪表板。增强 (查看拉取请求) 处理 syslog 优先级和设备。	8.3.0 或更高版本
1.0.1	缺陷修复 (查看拉取请求) 修复 sip 事件的处理。	7.14.1 或更高版本 8.0.0 或更高版本
1.0.0	增强 (查看拉取请求) Fortinet FortiGate 作为单独软件包的初始版本	7.14.1 或更高版本 8.0.0 或更高版本

« Fortinet FortiEDR 集成 Fortinet FortiMail »