Fortinet FortiProxy 集成
编辑Fortinet FortiProxy 集成
编辑此集成适用于以 syslog 格式发送的 Fortinet FortiProxy 日志。
兼容性
编辑此集成已针对 FortiProxy 7.x 至 7.4.3 版本进行了测试。预计较新版本也可工作,但尚未经过测试。
注意
编辑- 使用 TCP 输入时,请注意配置的 TCP 帧。根据 FortiProxy 参考,当 syslog 模式为
可靠时,帧应设置为rfc6587。
配置
编辑在 Fortinet FortiProxy 上,应为 syslogd 配置 udp 或 可靠 模式,并使用 default 格式。
| 设置 | 值 |
|---|---|
模式 |
udp / 可靠 |
格式 |
默认 |
日志
编辑log 数据集收集 Fortinet FortiProxy 日志。
示例
log 的示例事件如下:
{
"@timestamp": "2024-04-11T02:56:17.000Z",
"agent": {
"ephemeral_id": "5bdc4789-78f8-49b0-807e-5a6c1e876d58",
"id": "5b7ea00b-603f-4de7-b7f7-240330ab7d50",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.13.2"
},
"client": {
"bytes": 798,
"ip": "10.0.0.3",
"nat": {
"ip": "10.0.128.2",
"port": 53184
},
"port": 47886
},
"data_stream": {
"dataset": "fortinet_fortiproxy.log",
"namespace": "ep",
"type": "logs"
},
"destination": {
"bytes": 125800732,
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.10",
"port": 443
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "5b7ea00b-603f-4de7-b7f7-240330ab7d50",
"snapshot": false,
"version": "8.13.2"
},
"event": {
"action": "accept",
"agent_id_status": "verified",
"category": [
"network"
],
"code": "0000000010",
"dataset": "fortinet_fortiproxy.log",
"duration": 8089000000000,
"ingested": "2024-06-07T14:49:44Z",
"kind": "event",
"original": "<189>date=2024-04-10 time=19:56:17 devname=\"TEST-PXY01\" devid=\"FPXTESTPXY01\" eventtime=1712771778239212440 tz=\"-0700\" logid=\"0000000010\" type=\"traffic\" subtype=\"forward\" level=\"notice\" vd=\"root\" srcip=10.0.0.3 srcport=47886 srcintf=\"port2\" srcintfrole=\"lan\" dstcountry=\"United States\" srccountry=\"Reserved\" dstip=67.43.156.10 dstport=443 dstintf=\"port1\" dstintfrole=\"undefined\" sessionid=1781818019 service=\"HTTPS\" proxyapptype=\"web-proxy\" proto=6 action=\"accept\" policyid=1 policytype=\"proxy-policy\" poluuid=\"27b09930-033d-51ef-0c72-6c1221a8d893\" policyname=\"test-proxy\" trandisp=\"snat\" transip=10.0.128.2 transport=53184 clientip=10.0.0.3 duration=8089 wanin=125800732 rcvdbyte=125800732 wanout=632 lanin=798 sentbyte=798 lanout=125824455 appcat=\"unscanned\" utmaction=\"allow\"",
"start": "2024-04-10T17:56:18.239Z",
"timezone": "-0700"
},
"fortinet": {
"proxy": {
"dstintfrole": "undefined",
"lanin": 798,
"lanout": 125824455,
"proxyapptype": "web-proxy",
"sessionid": "1781818019",
"srcintfrole": "lan",
"subtype": "forward",
"trandisp": "snat",
"type": "traffic",
"utmaction": "allow",
"vd": "root",
"wanin": 125800732,
"wanout": 632
}
},
"input": {
"type": "filestream"
},
"log": {
"file": {
"device_id": "35",
"inode": "80",
"path": "/tmp/service_logs/fortinet-fortiproxy.log"
},
"level": "notice",
"offset": 15140,
"syslog": {
"facility": {
"code": 23
},
"priority": 189,
"severity": {
"code": 5
}
}
},
"network": {
"bytes": 125801530,
"iana_number": "6",
"protocol": "https",
"transport": "tcp"
},
"observer": {
"egress": {
"interface": {
"name": "port1"
}
},
"hostname": "TEST-PXY01",
"ingress": {
"interface": {
"name": "port2"
}
},
"product": "FortiProxy",
"serial_number": "FPXTESTPXY01",
"type": "proxy",
"vendor": "Fortinet"
},
"rule": {
"category": "unscanned",
"id": "1",
"name": "test-proxy",
"ruleset": "proxy-policy",
"uuid": "27b09930-033d-51ef-0c72-6c1221a8d893"
},
"server": {
"bytes": 125800732,
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.10",
"port": 443
},
"source": {
"bytes": 798,
"ip": "10.0.0.3",
"nat": {
"ip": "10.0.128.2",
"port": 53184
},
"port": 47886
},
"tags": [
"preserve_original_event",
"fortinet-fortiproxy",
"forwarded"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
client.bytes |
从客户端发送到服务器的字节数。 |
long |
client.geo.city_name |
城市名称。 |
keyword |
client.geo.continent_name |
洲的名称。 |
keyword |
client.geo.country_iso_code |
国家 ISO 代码。 |
keyword |
client.geo.country_name |
国家名称。 |
keyword |
client.geo.location |
经度和纬度。 |
geo_point |
client.geo.name |
用户定义的位置描述,在其关心的粒度级别。可以是他们的数据中心的名称,楼层号(如果这描述的是本地物理实体),城市名称。通常不用于自动化地理位置。 |
keyword |
client.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
client.geo.region_name |
区域名称。 |
keyword |
client.ip |
客户端的 IP 地址(IPv4 或 IPv6)。 |
ip |
client.mac |
客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,表示该八位字节的值为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
client.nat.ip |
基于源的 NAT 会话的转换 IP(例如,内部客户端到互联网)。通常是遍历负载均衡器、防火墙或路由器的连接。 |
ip |
client.nat.port |
基于源的 NAT 会话的转换端口(例如,内部客户端到互联网)。通常是遍历负载均衡器、防火墙或路由器的连接。 |
long |
client.packets |
从客户端发送到服务器的数据包。 |
long |
client.port |
客户端的端口。 |
long |
client.user.group.name |
组的名称。 |
keyword |
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机运行所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
Google Cloud 中项目的名称。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机运行所在的区域。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域名或 unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.bytes |
从目标发送到源的字节数。 |
long |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲的名称。 |
keyword |
destination.geo.country_iso_code |
国家 ISO 代码。 |
keyword |
destination.geo.country_name |
国家名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户定义的位置描述,在其关心的粒度级别。可以是他们的数据中心的名称,楼层号(如果这描述的是本地物理实体),城市名称。通常不用于自动化地理位置。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标的 IP 地址(IPv4 或 IPv6)。 |
ip |
destination.mac |
目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,表示该八位字节的值为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
destination.nat.ip |
基于目标的 NAT 会话的转换 IP(例如,互联网到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。 |
ip |
destination.nat.port |
源会话通过 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。 |
long |
destination.packets |
从目标发送到源的数据包。 |
long |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
event.action |
事件捕获的操作。这描述了事件中的信息。它比 |
keyword |
event.code |
此事件的标识代码(如果存在)。某些事件源使用事件代码来明确地标识消息,而不管消息语言或随着时间的推移的措辞调整如何。Windows 事件 ID 就是一个例子。 |
keyword |
event.dataset |
数据集的名称。 |
constant_keyword |
event.duration |
事件的持续时间(以纳秒为单位)。如果已知 |
long |
event.module |
此数据来自的模块的名称。 |
constant_keyword |
event.reason |
根据源,此事件发生的原因。这描述了事件中捕获的特定操作或结果的原因。如果 |
keyword |
event.start |
|
日期 |
event.type |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。 |
keyword |
fortinet.proxy.accessctrl |
accessctrl |
keyword |
fortinet.proxy.accessproxy |
accessproxy |
keyword |
fortinet.proxy.acct_stat |
记帐状态 (RADIUS) |
keyword |
fortinet.proxy.acktime |
告警确认时间 |
keyword |
fortinet.proxy.act |
操作 |
keyword |
fortinet.proxy.activity |
HA 活动消息 |
keyword |
fortinet.proxy.activitycategory |
activitycategory |
keyword |
fortinet.proxy.addr |
IP 地址 |
keyword |
fortinet.proxy.addr_type |
addr_type |
keyword |
fortinet.proxy.adgroup |
FSSO 用户的 AD 组名称 |
keyword |
fortinet.proxy.admin |
管理员 |
keyword |
fortinet.proxy.advpnsc |
advpnsc |
long |
fortinet.proxy.agent |
用户代理 - 例如,agent="Mozilla/5.0" |
keyword |
fortinet.proxy.alarmid |
告警 ID |
keyword |
fortinet.proxy.analyticscksum |
提交分析的文件的校验和 |
keyword |
fortinet.proxy.analyticssubmit |
分析提交的标志 |
keyword |
fortinet.proxy.antiphishdc |
antiphishdc |
keyword |
fortinet.proxy.antiphishrule |
antiphishrule |
keyword |
fortinet.proxy.apn |
接入点名称 |
keyword |
fortinet.proxy.app |
应用程序名称 |
keyword |
fortinet.proxy.app-type |
app-type |
keyword |
fortinet.proxy.appact |
来自应用程序控制的安全操作 |
keyword |
fortinet.proxy.appid |
应用程序 ID |
keyword |
fortinet.proxy.applist |
应用程序控制配置文件(名称) |
keyword |
fortinet.proxy.apprisk |
应用程序风险级别 |
keyword |
fortinet.proxy.assigned |
通过 PPPoE 分配的 IP 地址 |
ip |
fortinet.proxy.assignip |
IPsec VPN 隧道分配的 IP 地址 |
ip |
fortinet.proxy.attachment |
附件 |
keyword |
fortinet.proxy.attack |
攻击名称 |
keyword |
fortinet.proxy.attackcontext |
具有 base64 编码的触发模式和数据包数据 |
keyword |
fortinet.proxy.attackcontextid |
攻击上下文 ID / 总数 |
keyword |
fortinet.proxy.attackid |
攻击 ID |
keyword |
fortinet.proxy.auditid |
安全评级 ID |
keyword |
fortinet.proxy.auditreporttype |
安全评级报告类型 |
keyword |
fortinet.proxy.auditscore |
安全评级得分 |
keyword |
fortinet.proxy.audittime |
安全评级时间 |
long |
fortinet.proxy.authalgo |
authalgo |
keyword |
fortinet.proxy.authgrp |
authgrp |
keyword |
fortinet.proxy.authid |
authid |
keyword |
fortinet.proxy.authproto |
启动身份验证的协议 |
keyword |
fortinet.proxy.authserver |
用户身份验证服务器 |
keyword |
fortinet.proxy.bandwidth |
带宽 |
keyword |
fortinet.proxy.banned_rule |
NAC 隔离禁止规则名称 |
keyword |
fortinet.proxy.banned_src |
NAC 隔离禁止源 IP |
keyword |
fortinet.proxy.banword |
禁止词 |
keyword |
fortinet.proxy.botnetdomain |
僵尸网络域名 |
keyword |
fortinet.proxy.botnetip |
僵尸网络 IP 地址 |
ip |
fortinet.proxy.c-bytes |
控制平面数据字节数 |
long |
fortinet.proxy.c-ggsn |
控制平面 GGSN IP 地址 |
ip |
fortinet.proxy.c-ggsn-teid |
控制平面 GGSN 隧道端点标识符 |
keyword |
fortinet.proxy.c-gsn |
控制平面 GSN |
ip |
fortinet.proxy.c-pkts |
控制平面数据包 |
long |
fortinet.proxy.c-sgsn |
控制平面 SGSN IP 地址 |
ip |
fortinet.proxy.c-sgsn-teid |
控制平面 SGSN 隧道端点标识符 |
keyword |
fortinet.proxy.carrier_ep |
FortiProxy 运营商端点标识 |
keyword |
fortinet.proxy.cat |
Web 类别 ID |
long |
fortinet.proxy.catdesc |
Web 类别描述 |
keyword |
fortinet.proxy.category |
日志类别 |
long |
fortinet.proxy.cc |
cc |
keyword |
fortinet.proxy.ccertissuer |
ccertissuer |
keyword |
fortinet.proxy.cdrcontent |
cdrcontent |
keyword |
fortinet.proxy.centralnatid |
central-snat-map id |
keyword |
fortinet.proxy.cert |
证书 |
keyword |
fortinet.proxy.cert-type |
证书类型 |
keyword |
fortinet.proxy.certdesc |
certdesc |
keyword |
fortinet.proxy.certhash |
certhash |
keyword |
fortinet.proxy.cfgattr |
配置属性 |
keyword |
fortinet.proxy.cfgobj |
配置对象 |
keyword |
fortinet.proxy.cfgpath |
配置路径 |
keyword |
fortinet.proxy.cfgtid |
配置事务 ID |
keyword |
fortinet.proxy.cfseid |
cfseid |
keyword |
fortinet.proxy.cfseidaddr |
cfseidaddr |
ip |
fortinet.proxy.cggsn6 |
cggsn6 |
ip |
fortinet.proxy.cgsn6 |
cgsn6 |
ip |
fortinet.proxy.channeltype |
通道类型:x11、shell、exec、tcp-forward、tun-forward、sftp、scp |
keyword |
fortinet.proxy.chassisid |
机箱 ID |
keyword |
fortinet.proxy.checksum |
扫描文件的校验和 |
keyword |
fortinet.proxy.chgheaders |
更改标头 |
keyword |
fortinet.proxy.cipher |
cipher |
keyword |
fortinet.proxy.clashtunnelidx |
clashtunnelidx |
long |
fortinet.proxy.cldobjid |
cldobjid |
keyword |
fortinet.proxy.clientdeviceid |
clientdeviceid |
keyword |
fortinet.proxy.clientdevicemanageable |
clientdevicemanageable |
keyword |
fortinet.proxy.clientdeviceowner |
clientdeviceowner |
keyword |
fortinet.proxy.clientdevicetags |
clientdevicetags |
keyword |
fortinet.proxy.clientip |
clientip |
ip |
fortinet.proxy.cloudaction |
云应用程序执行的操作 |
keyword |
fortinet.proxy.clouddevice |
clouddevice |
keyword |
fortinet.proxy.clouduser |
深度应用程序控制功能检测到的用户登录 ID |
keyword |
fortinet.proxy.cn |
cn |
keyword |
fortinet.proxy.command |
command |
keyword |
fortinet.proxy.comment |
自定义策略注释 |
keyword |
fortinet.proxy.community |
社区 |
keyword |
fortinet.proxy.connection_type |
FortiClient 连接类型 |
keyword |
fortinet.proxy.conserve |
节能模式标志 |
keyword |
fortinet.proxy.contentdisarmed |
内容解除武装操作,例如:解除武装、已检测到 |
keyword |
fortinet.proxy.contentencoding |
contentencoding |
keyword |
fortinet.proxy.contenttype |
来自 HTTP 标头的内容类型 |
keyword |
fortinet.proxy.cookies |
Cookie |
keyword |
fortinet.proxy.core |
core |
long |
fortinet.proxy.count |
计数 |
long |
fortinet.proxy.countapp |
与会话关联的应用程序控制日志数量 |
long |
fortinet.proxy.countav |
与会话关联的防病毒日志数量 |
long |
fortinet.proxy.countcasb |
countcasb |
long |
fortinet.proxy.countcifs |
countcifs |
long |
fortinet.proxy.countdlp |
与会话关联的 DLP 日志数量 |
long |
fortinet.proxy.countdns |
与会话关联的 DNS 查询日志数量 |
long |
fortinet.proxy.countemail |
与会话关联的电子邮件日志数量 |
long |
fortinet.proxy.countff |
countff |
long |
fortinet.proxy.counticap |
counticap |
long |
fortinet.proxy.countips |
与会话关联的 IPS 日志数量 |
long |
fortinet.proxy.countsctpf |
countsctpf |
long |
fortinet.proxy.countssh |
与会话关联的 SSH 日志数量 |
long |
fortinet.proxy.countssl |
countssl |
long |
fortinet.proxy.countwaf |
与会话关联的 WAF 日志数量 |
long |
fortinet.proxy.countweb |
与会话关联的 Web 过滤器日志数量 |
long |
fortinet.proxy.cpaddr |
控制平面地址(下行链路或上行链路) |
ip |
fortinet.proxy.cpaddr6 |
cpaddr6 |
ip |
fortinet.proxy.cpdladdr |
控制平面下行链路 IP 地址 |
ip |
fortinet.proxy.cpdladdr6 |
cpdladdr6 |
ip |
fortinet.proxy.cpdlisraddr |
控制平面 ISR 下行链路 IP 地址 |
ip |
fortinet.proxy.cpdlisraddr6 |
cpdlisraddr6 |
ip |
fortinet.proxy.cpdlisrteid |
控制平面 ISR 下行链路隧道端点标识符 |
keyword |
fortinet.proxy.cpdlteid |
控制平面下行链路隧道端点标识符 |
keyword |
fortinet.proxy.cpteid |
控制平面 teid(下行链路或上行链路) |
keyword |
fortinet.proxy.cpu |
CPU 使用率 |
long |
fortinet.proxy.cpuladdr |
控制平面上行链路 IP 地址 |
ip |
fortinet.proxy.cpuladdr6 |
cpuladdr6 |
ip |
fortinet.proxy.cpulteid |
控制平面上行链路 teid |
keyword |
fortinet.proxy.craction |
客户端信誉操作 |
long |
fortinet.proxy.criticalcount |
严重级别威胁计数 |
long |
fortinet.proxy.crl |
证书吊销列表 |
keyword |
fortinet.proxy.crlevel |
客户端信誉级别 |
keyword |
fortinet.proxy.crscore |
客户端信誉评分 |
long |
fortinet.proxy.csgsn6 |
csgsn6 |
ip |
fortinet.proxy.cveid |
CVE ID |
keyword |
fortinet.proxy.daddr |
目标地址 |
keyword |
fortinet.proxy.daemon |
守护程序名称 |
keyword |
fortinet.proxy.datarange |
报表数据范围 |
keyword |
fortinet.proxy.date |
日期 |
keyword |
fortinet.proxy.ddnsserver |
DDNS 服务器 |
ip |
fortinet.proxy.deny_cause |
拒绝原因 |
keyword |
fortinet.proxy.desc |
描述 |
keyword |
fortinet.proxy.devintfname |
HA 设备接口名称 |
keyword |
fortinet.proxy.devtype |
设备类型 |
keyword |
fortinet.proxy.dhcp_msg |
DHCP 消息 |
keyword |
fortinet.proxy.dintf |
目标接口 |
keyword |
fortinet.proxy.dir |
方向 |
keyword |
fortinet.proxy.disk |
磁盘使用率 |
long |
fortinet.proxy.disklograte |
磁盘日志速率 |
long |
fortinet.proxy.dlpextra |
dlpextra |
keyword |
fortinet.proxy.dlpfilteridx |
dlpfilteridx |
long |
fortinet.proxy.dlpfiltername |
dlpfiltername |
keyword |
fortinet.proxy.dlpfiltertype |
dlpfiltertype |
keyword |
fortinet.proxy.dlpprofile |
dlpprofile |
keyword |
fortinet.proxy.dlpseverity |
dlpseverity |
keyword |
fortinet.proxy.docsource |
DLP 指纹文档来源 |
keyword |
fortinet.proxy.domainctrlauthstate |
domainctrlauthstate |
long |
fortinet.proxy.domainctrlauthtype |
domainctrlauthtype |
long |
fortinet.proxy.domainctrldomain |
domainctrldomain |
keyword |
fortinet.proxy.domainctrlip |
domainctrlip |
ip |
fortinet.proxy.domainctrlname |
domainctrlname |
keyword |
fortinet.proxy.domainctrlprotocoltype |
domainctrlprotocoltype |
long |
fortinet.proxy.domainctrlusername |
domainctrlusername |
keyword |
fortinet.proxy.domainfilteridx |
域过滤器索引 |
long |
fortinet.proxy.domainfilterlist |
域过滤器列表 |
keyword |
fortinet.proxy.dst_host |
目标主机 |
keyword |
fortinet.proxy.dstauthserver |
dstauthserver |
keyword |
fortinet.proxy.dstcity |
dstcity |
keyword |
fortinet.proxy.dstdevtype |
目标设备类型 |
keyword |
fortinet.proxy.dstfamily |
dstfamily |
keyword |
fortinet.proxy.dsthwvendor |
dsthwvendor |
keyword |
fortinet.proxy.dsthwversion |
dsthwversion |
keyword |
fortinet.proxy.dstinetsvc |
目标的 Internet 服务名称 |
keyword |
fortinet.proxy.dstintfrole |
目标接口的分配角色(LAN、WAN 等) |
keyword |
fortinet.proxy.dstosname |
目标操作系统名称 |
keyword |
fortinet.proxy.dstregion |
dstregion |
keyword |
fortinet.proxy.dstreputation |
dstreputation |
long |
fortinet.proxy.dstserver |
目标服务器 |
long |
fortinet.proxy.dstssid |
目标 SSID |
keyword |
fortinet.proxy.dstswversion |
dstswversion |
keyword |
fortinet.proxy.dstthreatfeed |
dstthreatfeed |
keyword |
fortinet.proxy.dstunauthuser |
dstunauthuser |
keyword |
fortinet.proxy.dstunauthusersource |
dstunauthusersource |
keyword |
fortinet.proxy.dstuser |
dstuser |
keyword |
fortinet.proxy.dstuuid |
dstuuid |
keyword |
fortinet.proxy.dtlexp |
详细说明 |
keyword |
fortinet.proxy.dtype |
病毒类别的数据类型 |
keyword |
fortinet.proxy.duid |
DHCPv6 唯一标识符 |
keyword |
fortinet.proxy.emsconnection |
emsconnection |
keyword |
fortinet.proxy.end-usr-address |
最终用户 IP 地址 |
ip |
fortinet.proxy.endusraddress6 |
endusraddress6 |
ip |
fortinet.proxy.epoch |
epoch |
long |
fortinet.proxy.error |
URL 评级错误消息 |
keyword |
fortinet.proxy.error_num |
错误编号 |
keyword |
fortinet.proxy.espauth |
IPsec Phase2 ESP 消息身份验证码 |
keyword |
fortinet.proxy.esptransform |
IPsec Phase2 ESP 加密方法 |
keyword |
fortinet.proxy.eventid |
eventid |
keyword |
fortinet.proxy.eventsubtype |
eventsubtype |
keyword |
fortinet.proxy.eventtype |
Web 过滤器事件类型 |
keyword |
fortinet.proxy.exch |
交换的 IKE 消息类型 |
keyword |
fortinet.proxy.exchange |
来自 DNS 响应答案部分的邮件交换 |
keyword |
fortinet.proxy.expiry |
FortiGuard 覆盖到期时间戳 |
keyword |
fortinet.proxy.failuredev |
failuredev |
keyword |
fortinet.proxy.fams_pause |
飞塔分析和管理服务暂停 |
long |
fortinet.proxy.fazlograte |
FortiAnalyzer 日志记录速率 |
long |
fortinet.proxy.fctemsname |
fctemsname |
keyword |
fortinet.proxy.fctemssn |
fctemssn |
keyword |
fortinet.proxy.fctuid |
FortiClient UID |
keyword |
fortinet.proxy.field |
NTP 日期时间字段 |
keyword |
fortinet.proxy.file |
报表文件完整路径 |
keyword |
fortinet.proxy.filefilter |
用于识别受影响文件的过滤器 |
keyword |
fortinet.proxy.filehash |
爆发预防外部哈希使用:检测中使用的哈希签名 |
keyword |
fortinet.proxy.filehashsrc |
爆发预防外部哈希使用:提供哈希签名的外部来源 |
keyword |
fortinet.proxy.filename |
文件名 |
keyword |
fortinet.proxy.filesize |
filesize |
long |
fortinet.proxy.filetype |
文件类型 |
keyword |
fortinet.proxy.filtercat |
DLP 过滤器类别 |
keyword |
fortinet.proxy.filteridx |
DLP 过滤器 ID |
long |
fortinet.proxy.filtername |
filtername |
keyword |
fortinet.proxy.filtertype |
过滤器类型 |
keyword |
fortinet.proxy.fndraction |
fndraction |
keyword |
fortinet.proxy.fndrconfidence |
fndrconfidence |
keyword |
fortinet.proxy.fndrfileid |
fndrfileid |
keyword |
fortinet.proxy.fndrfiletype |
fndrfiletype |
keyword |
fortinet.proxy.fndrseverity |
fndrseverity |
keyword |
fortinet.proxy.fndrverdict |
fndrverdict |
keyword |
fortinet.proxy.fortiguardresp |
fortiguardresp |
keyword |
fortinet.proxy.forwardedfor |
X-Forwarded-For HTTP 标头 |
keyword |
fortinet.proxy.fqdn |
完全限定域名 |
keyword |
fortinet.proxy.freediskstorage |
freediskstorage |
long |
fortinet.proxy.from |
仅限 MMS - 电子邮件的“发件人/收件人”标头 |
keyword |
fortinet.proxy.from4 |
来自 |
ip |
fortinet.proxy.from6 |
from6 |
ip |
fortinet.proxy.from_vcluster |
源虚拟集群号 |
long |
fortinet.proxy.fsaaction |
fsaaction |
keyword |
fortinet.proxy.fsafileid |
fsafileid |
keyword |
fortinet.proxy.fsafiletype |
fsafiletype |
keyword |
fortinet.proxy.fsaseverity |
fsaseverity |
keyword |
fortinet.proxy.fsaverdict |
FortiSandbox 分析后返回给 FortiProxy 的判决结果(清洁、低风险、中风险、高风险、恶意) |
keyword |
fortinet.proxy.ftlkintf |
ftlkintf |
keyword |
fortinet.proxy.fwserver_name |
fwserver_name |
keyword |
fortinet.proxy.gateway |
PPPoE 状态报告的网关 IP 地址 |
ip |
fortinet.proxy.gatewayid |
gatewayid |
keyword |
fortinet.proxy.green |
节能模式的绿色阈值 |
keyword |
fortinet.proxy.groupid |
用户组 ID |
keyword |
fortinet.proxy.ha-prio |
HA 优先级 |
long |
fortinet.proxy.ha_group |
HA 组号 - 可以是 0 - 255 |
long |
fortinet.proxy.ha_role |
集群中的 HA 角色 |
keyword |
fortinet.proxy.handshake |
handshake |
keyword |
fortinet.proxy.hash |
下载文件的哈希值 |
keyword |
fortinet.proxy.headerteid |
隧道端点 ID 标头 |
keyword |
fortinet.proxy.highcount |
高严重性安全评级结果失败计数 |
long |
fortinet.proxy.host |
host |
keyword |
fortinet.proxy.hostkeystatus |
hostkeystatus |
keyword |
fortinet.proxy.hseid |
hseid |
keyword |
fortinet.proxy.httpcode |
httpcode |
long |
fortinet.proxy.iaid |
DHCPv6 身份关联标识符 |
keyword |
fortinet.proxy.icmpcode |
ICMP 消息的目标端口 |
keyword |
fortinet.proxy.icmpid |
ICMP 消息的源端口 |
keyword |
fortinet.proxy.icmptype |
ICMP 消息的类型 |
keyword |
fortinet.proxy.identifier |
identifier |
keyword |
fortinet.proxy.ietype |
格式错误的 GTP IE 编号 |
long |
fortinet.proxy.imei-sv |
IMEI(国际移动设备身份)软件版本 |
keyword |
fortinet.proxy.imgdimension |
imgdimension |
keyword |
fortinet.proxy.imsi |
国际移动用户 ID |
keyword |
fortinet.proxy.in_spi |
传入流量的 SPI |
keyword |
fortinet.proxy.incidentserialno |
事件序列号 |
long |
fortinet.proxy.infectedfilelevel |
受感染文件级别(严重、警告等) |
long |
fortinet.proxy.infectedfilename |
受感染文件名 |
keyword |
fortinet.proxy.infectedfilesize |
受感染文件大小 |
long |
fortinet.proxy.infectedfiletype |
受感染文件类型 |
keyword |
fortinet.proxy.infection |
infection |
keyword |
fortinet.proxy.informationsource |
信息来源 |
keyword |
fortinet.proxy.init |
init |
keyword |
fortinet.proxy.initiator |
覆盖的发起用户 |
keyword |
fortinet.proxy.interface |
接口 |
keyword |
fortinet.proxy.intf |
接口 |
keyword |
fortinet.proxy.ip |
源 IP |
ip |
fortinet.proxy.ipaddr |
来自 DNS 响应答案部分的 IP 地址 |
keyword |
fortinet.proxy.iptype |
IP 类型 |
keyword |
fortinet.proxy.issuer |
issuer |
keyword |
fortinet.proxy.keyalgo |
keyalgo |
keyword |
fortinet.proxy.keysize |
keysize |
long |
fortinet.proxy.keyword |
用于搜索的关键字 |
keyword |
fortinet.proxy.kxcurve |
kxcurve |
keyword |
fortinet.proxy.kxproto |
kxproto |
keyword |
fortinet.proxy.lanin |
LAN 入站流量(以字节为单位) |
long |
fortinet.proxy.lanout |
LAN 出站流量(以字节为单位) |
long |
fortinet.proxy.lbgrpname |
lbgrpname |
keyword |
fortinet.proxy.lease |
DHCP 租用时间 |
long |
fortinet.proxy.license_limit |
许可证的最大 FortiClient 数量 |
keyword |
fortinet.proxy.limit |
虚拟域资源限制 |
long |
fortinet.proxy.linked-nsapi |
链接的 Netscape 服务器应用程序编程接口 |
long |
fortinet.proxy.local |
PPPD 连接的本地 IP |
ip |
fortinet.proxy.localdevcount |
localdevcount |
long |
fortinet.proxy.locip |
IPsec VPN 本地网关 IP 地址 |
ip |
fortinet.proxy.locport |
本地端口 |
long |
fortinet.proxy.log |
日志轮换的日志名称 |
keyword |
fortinet.proxy.login |
SSH 登录名 |
keyword |
fortinet.proxy.lowcount |
低严重性安全评级结果失败计数 |
long |
fortinet.proxy.mac |
MAC 地址 |
keyword |
fortinet.proxy.masterdstmac |
目标主 MAC 地址 |
keyword |
fortinet.proxy.mastersrcmac |
具有多个网络接口的主机的父 MAC 地址 |
keyword |
fortinet.proxy.matchfilename |
matchfilename |
keyword |
fortinet.proxy.matchfiletype |
matchfiletype |
keyword |
fortinet.proxy.mediumcount |
中等严重性安全评级结果失败计数 |
long |
fortinet.proxy.mem |
内存使用情况 |
long |
fortinet.proxy.method |
方法 |
keyword |
fortinet.proxy.mitm |
mitm |
keyword |
fortinet.proxy.mode |
模式 |
keyword |
fortinet.proxy.module |
配置模块名称 |
keyword |
fortinet.proxy.monitor-name |
运行状况监视器类型 |
keyword |
fortinet.proxy.monitor-type |
运行状况监视器名称 |
keyword |
fortinet.proxy.msg-type |
消息类型 |
long |
fortinet.proxy.msgtypename |
msgtypename |
keyword |
fortinet.proxy.msisdn |
移动用户综合业务数字网络号码(SIM 卡的电话号码) |
keyword |
fortinet.proxy.mtu |
最大传输单元值 |
long |
fortinet.proxy.nai |
nai |
keyword |
fortinet.proxy.name |
连接的显示名称 |
keyword |
fortinet.proxy.netid |
netid |
keyword |
fortinet.proxy.new_status |
新状态 |
keyword |
fortinet.proxy.new_value |
新的虚拟域名称 |
keyword |
fortinet.proxy.newchannel |
新通道号 |
long |
fortinet.proxy.newchassisid |
新机箱 ID |
keyword |
fortinet.proxy.newslot |
新插槽号 |
long |
fortinet.proxy.nextstat |
下次统计的时间间隔(以秒为单位) |
long |
fortinet.proxy.notafter |
notafter |
keyword |
fortinet.proxy.notbefore |
notbefore |
keyword |
fortinet.proxy.nsapi |
Netscape 服务器应用程序编程接口 |
long |
fortinet.proxy.ocrlog |
ocrlog |
long |
fortinet.proxy.old_status |
原始状态 |
keyword |
fortinet.proxy.old_value |
原始虚拟域名称 |
keyword |
fortinet.proxy.oldchannel |
原始通道号 |
long |
fortinet.proxy.oldchassisid |
原始机箱号 |
keyword |
fortinet.proxy.oldslot |
原始插槽号 |
long |
fortinet.proxy.oldsn |
安全架构上游 FGT 旧序列号 |
keyword |
fortinet.proxy.oldwprof |
旧 Web 过滤配置文件 |
keyword |
fortinet.proxy.osname |
设备的操作系统名称 |
keyword |
fortinet.proxy.out_spi |
输出 SPI |
keyword |
fortinet.proxy.outintf |
IPsec VPN 绑定接口 |
keyword |
fortinet.proxy.parameters |
parameters |
keyword |
fortinet.proxy.passedcount |
安全评级结果通过计数 |
long |
fortinet.proxy.passwd |
密码 |
keyword |
fortinet.proxy.path |
path |
keyword |
fortinet.proxy.pathname |
pathname |
keyword |
fortinet.proxy.pdstport |
pdstport |
long |
fortinet.proxy.peer |
peer |
keyword |
fortinet.proxy.peer_notif |
IPsec VPN 对等通知 |
keyword |
fortinet.proxy.phase2_name |
阶段 2 名称 |
keyword |
fortinet.proxy.pid |
进程 ID |
long |
fortinet.proxy.policymode |
policymode |
keyword |
fortinet.proxy.port |
端口号 |
long |
fortinet.proxy.prefetch |
prefetch |
long |
fortinet.proxy.probeproto |
链接监视器探测协议 |
keyword |
fortinet.proxy.process |
进程 |
keyword |
fortinet.proxy.processtime |
报告的处理时间 |
long |
fortinet.proxy.profile |
Web 过滤配置文件名称 |
keyword |
fortinet.proxy.profiletype |
配置文件类型 |
keyword |
fortinet.proxy.protocol |
协议 |
keyword |
fortinet.proxy.proxyapptype |
proxyapptype |
keyword |
fortinet.proxy.psrcport |
psrcport |
long |
fortinet.proxy.qclass |
查询类 |
keyword |
fortinet.proxy.qname |
查询域名 |
keyword |
fortinet.proxy.qtype |
查询类型描述 |
keyword |
fortinet.proxy.qtypeval |
查询类型值 |
long |
fortinet.proxy.quarskip |
隔离跳过说明 |
keyword |
fortinet.proxy.quotaexceeded |
已超出配额 |
keyword |
fortinet.proxy.quotamax |
允许的最大配额 - 如果是基于时间的,则以秒为单位 - 如果是基于流量的,则以字节为单位 |
long |
fortinet.proxy.quotatype |
配额类型 |
keyword |
fortinet.proxy.quotaused |
已用配额 - 如果是基于时间的,则以秒为单位 - 如果是基于流量的,则以字节为单位 |
long |
fortinet.proxy.rai |
路由区标识符 |
keyword |
fortinet.proxy.rat-type |
无线接入技术类型 |
keyword |
fortinet.proxy.ratemethod |
ratemethod |
keyword |
fortinet.proxy.rawdata |
扩展的日志记录数据,包括 HTTP 方法、URL、客户端内容类型、服务器内容类型、用户代理、引用站点、X-Forwarded-For |
keyword |
fortinet.proxy.rawdataid |
rawdataid |
keyword |
fortinet.proxy.rcode |
rcode |
long |
fortinet.proxy.rcvddelta |
接收的字节增量 |
long |
fortinet.proxy.recipient |
来自 SMTP 信封的电子邮件地址 |
keyword |
fortinet.proxy.red |
red |
keyword |
fortinet.proxy.ref |
FortiGuard IPS 数据库中攻击条目的 URL |
keyword |
fortinet.proxy.referralurl |
引用 URI |
keyword |
fortinet.proxy.remip |
IPsec VPN 远程网关 IP 地址 |
ip |
fortinet.proxy.remote |
PPP 远程端的 IP 地址 |
ip |
fortinet.proxy.remotetunnelid |
remotetunnelid |
keyword |
fortinet.proxy.remport |
远程端口 |
long |
fortinet.proxy.reporttype |
报告类型 |
keyword |
fortinet.proxy.reqtime |
reqtime |
long |
fortinet.proxy.reqtype |
请求类型 |
keyword |
fortinet.proxy.respfinishtime |
respfinishtime |
long |
fortinet.proxy.resptime |
resptime |
long |
fortinet.proxy.resptype |
resptype |
keyword |
fortinet.proxy.result |
IPsec VPN 协商结果 |
keyword |
fortinet.proxy.role |
IPsec 对等角色,发起者或响应者 |
keyword |
fortinet.proxy.rsso_key |
RADIUS SSO 属性值 |
keyword |
fortinet.proxy.saasapp |
saasapp |
keyword |
fortinet.proxy.saasname |
saasname |
keyword |
fortinet.proxy.saddr |
源地址 IP |
keyword |
fortinet.proxy.san |
san |
keyword |
fortinet.proxy.scantime |
scantime |
long |
fortinet.proxy.scertcname |
服务器证书名称 |
keyword |
fortinet.proxy.scertissuer |
服务器证书颁发者 |
keyword |
fortinet.proxy.scope |
FortiGuard 覆盖范围 |
keyword |
fortinet.proxy.scorelist |
scorelist |
keyword |
fortinet.proxy.selection |
APN 选择,它是 gtp 数据包中的一个 IE |
keyword |
fortinet.proxy.sender |
来自 SMTP 信封的电子邮件地址 |
keyword |
fortinet.proxy.sensitivity |
文档指纹的敏感度 |
keyword |
fortinet.proxy.sentdelta |
发送的字节增量 |
long |
fortinet.proxy.seq |
序列 |
keyword |
fortinet.proxy.seqnum |
GTP 数据包序列号 |
long |
fortinet.proxy.serial |
serial |
long |
fortinet.proxy.serialno |
序列号 |
keyword |
fortinet.proxy.server |
服务器 IP 地址 |
keyword |
fortinet.proxy.serveraddr |
serveraddr |
keyword |
fortinet.proxy.servername |
servername |
keyword |
fortinet.proxy.session_id |
会话 ID |
keyword |
fortinet.proxy.sessionid |
会话 ID |
keyword |
fortinet.proxy.setuprate |
会话建立速率 |
long |
fortinet.proxy.severity |
shell 命令的严重级别 |
keyword |
fortinet.proxy.shapingpolicyname |
shapingpolicyname |
keyword |
fortinet.proxy.sharename |
sharename |
keyword |
fortinet.proxy.size |
电子邮件大小(以字节为单位) |
keyword |
fortinet.proxy.ski |
ski |
keyword |
fortinet.proxy.slot |
插槽号 |
long |
fortinet.proxy.sn |
sn |
keyword |
fortinet.proxy.snetwork |
源网络,它是 GTPv2 数据包中的 IE 类型 |
keyword |
fortinet.proxy.sni |
sni |
keyword |
fortinet.proxy.spi |
安全参数索引 |
keyword |
fortinet.proxy.srccity |
srccity |
keyword |
fortinet.proxy.srcdomain |
srcdomain |
keyword |
fortinet.proxy.srcfamily |
srcfamily |
keyword |
fortinet.proxy.srchwvendor |
srchwvendor |
keyword |
fortinet.proxy.srchwversion |
srchwversion |
keyword |
fortinet.proxy.srcinetsvc |
源的 Internet 服务名称 |
keyword |
fortinet.proxy.srcintfrole |
源接口的指定角色(LAN、WAN 等) |
keyword |
fortinet.proxy.srcmacvendor |
srcmacvendor |
keyword |
fortinet.proxy.srcregion |
srcregion |
keyword |
fortinet.proxy.srcreputation |
srcreputation |
long |
fortinet.proxy.srcserver |
源服务器 |
long |
fortinet.proxy.srcssid |
源 SSID |
keyword |
fortinet.proxy.srcswversion |
srcswversion |
keyword |
fortinet.proxy.srcuuid |
srcuuid |
keyword |
fortinet.proxy.sscname |
安全搜索 CNAME |
keyword |
fortinet.proxy.sslaction |
ssl-ssh-profile 采取的操作 |
keyword |
fortinet.proxy.stage |
stage |
long |
fortinet.proxy.stamac |
wifi 站点的 MAC 地址 |
keyword |
fortinet.proxy.state |
状态 |
keyword |
fortinet.proxy.status |
状态 |
keyword |
fortinet.proxy.stitch |
自动化串联名称 |
keyword |
fortinet.proxy.stitchaction |
stitchaction |
keyword |
fortinet.proxy.subject |
主题 |
keyword |
fortinet.proxy.submodule |
子模块名称。例如,autoupdate 是“config system autoupdate schedule”日志中的子模块 |
keyword |
fortinet.proxy.subservice |
子服务 |
keyword |
fortinet.proxy.subtype |
日志子类型 |
keyword |
fortinet.proxy.switchid |
交换机 ID |
keyword |
fortinet.proxy.sync_status |
与主设备的同步状态 |
keyword |
fortinet.proxy.sync_type |
与主设备的同步类型 |
keyword |
fortinet.proxy.sysuptime |
系统运行时间 |
long |
fortinet.proxy.time |
时间 |
keyword |
fortinet.proxy.timeoutdelete |
超时删除 |
long |
fortinet.proxy.tlsver |
TLS 版本 |
keyword |
fortinet.proxy.to |
仅限 MMS - 电子邮件的“发件人/收件人”标头 |
keyword |
fortinet.proxy.to4 |
目标 |
ip |
fortinet.proxy.to6 |
目标 IPv6 |
ip |
fortinet.proxy.to_vcluster |
目标虚拟集群号 |
long |
fortinet.proxy.total |
总计 |
long |
fortinet.proxy.totalsession |
会话总数 |
long |
fortinet.proxy.trandisp |
NAT 转换类型 |
keyword |
fortinet.proxy.transid |
事务 ID |
keyword |
fortinet.proxy.translationid |
转换 ID |
keyword |
fortinet.proxy.trigger |
自动化触发器名称 |
keyword |
fortinet.proxy.trueclntip |
True-Client-IP HTTP 标头 |
ip |
fortinet.proxy.tunnel-idx |
隧道序列号,内部分配 |
long |
fortinet.proxy.tunnelid |
隧道 ID |
keyword |
fortinet.proxy.tunnelip |
IPsec VPN 隧道 IP 地址 |
ip |
fortinet.proxy.tunneltype |
IPsec VPN 隧道类型 |
keyword |
fortinet.proxy.type |
日志类型 |
keyword |
fortinet.proxy.tz |
时区 |
keyword |
fortinet.proxy.u-bytes |
用户平面数据字节数 |
long |
fortinet.proxy.u-ggsn |
用户平面 GGSN IP 地址 |
ip |
fortinet.proxy.u-ggsn-teid |
用户平面 GGSN TEID |
keyword |
fortinet.proxy.u-gsn |
用户平面 GSN |
ip |
fortinet.proxy.u-pkts |
用户平面数据包数 |
long |
fortinet.proxy.u-sgsn |
用户平面 SGSN IP 地址 |
ip |
fortinet.proxy.u-sgsn-teid |
用户平面 SGSN 隧道端点标识符 |
keyword |
fortinet.proxy.ufseid |
UFSEID |
keyword |
fortinet.proxy.ufseidaddr |
UFSEID 地址 |
ip |
fortinet.proxy.uggsn6 |
uggsn6 |
ip |
fortinet.proxy.ugsn6 |
ugsn6 |
ip |
fortinet.proxy.ui |
用户界面 |
keyword |
fortinet.proxy.uli |
用户位置信息 |
keyword |
fortinet.proxy.ulimcc |
ulimcc |
long |
fortinet.proxy.ulimnc |
ulimnc |
long |
fortinet.proxy.unauthuser |
未认证用户 |
keyword |
fortinet.proxy.unauthusersource |
未认证用户来源 |
keyword |
fortinet.proxy.unit |
单元 |
long |
fortinet.proxy.upgradedevice |
升级设备 |
keyword |
fortinet.proxy.upteid |
UPTEID |
keyword |
fortinet.proxy.url |
URL 地址 |
keyword |
fortinet.proxy.urlfilteridx |
URL 过滤器 ID |
long |
fortinet.proxy.urlfilterlist |
URL 过滤器列表 |
keyword |
fortinet.proxy.urlsource |
URL 来源 |
keyword |
fortinet.proxy.urltype |
URL 过滤器类型 |
keyword |
fortinet.proxy.used |
已用 IP 数量 |
long |
fortinet.proxy.used_for_type |
用于该类型的连接 |
long |
fortinet.proxy.user |
用户名 |
keyword |
fortinet.proxy.user_data |
GTP-U 隧道内的用户流量内容 |
keyword |
fortinet.proxy.useractivity |
用户活动 |
keyword |
fortinet.proxy.useralt |
useralt |
keyword |
fortinet.proxy.usgsn6 |
usgsn6 |
ip |
fortinet.proxy.utmaction |
UTM 执行的安全操作 |
keyword |
fortinet.proxy.utmref |
utmref |
keyword |
fortinet.proxy.uuid |
UUID |
keyword |
fortinet.proxy.vcluster |
虚拟集群 |
long |
fortinet.proxy.vcluster_member |
虚拟集群成员 |
long |
fortinet.proxy.vcluster_state |
虚拟集群成员状态 |
keyword |
fortinet.proxy.vd |
虚拟域名称 |
keyword |
fortinet.proxy.vdname |
虚拟域名 |
keyword |
fortinet.proxy.vendorurl |
供应商 URL |
keyword |
fortinet.proxy.version |
版本 |
keyword |
fortinet.proxy.videocategoryid |
视频类别 ID |
keyword |
fortinet.proxy.videocategoryname |
视频类别名称 |
keyword |
fortinet.proxy.videochannelid |
视频频道 ID |
keyword |
fortinet.proxy.videoid |
视频 ID |
keyword |
fortinet.proxy.videoinfosource |
视频信息来源 |
keyword |
fortinet.proxy.violatecategory |
违规类别 |
keyword |
fortinet.proxy.violatescore |
违规分数 |
long |
fortinet.proxy.violations |
违规 |
keyword |
fortinet.proxy.vip |
虚拟 IP |
keyword |
fortinet.proxy.virus |
病毒名称 |
keyword |
fortinet.proxy.viruscat |
病毒类别 |
keyword |
fortinet.proxy.virusid |
病毒 ID(唯一病毒标识符) |
keyword |
fortinet.proxy.vpntunnel |
IPsec VPN 隧道名称 |
keyword |
fortinet.proxy.vpntype |
VPN 隧道类型 |
keyword |
fortinet.proxy.vrf |
虚拟路由转发 |
long |
fortinet.proxy.vulncat |
漏洞类别 |
keyword |
fortinet.proxy.vulnid |
漏洞 ID |
keyword |
fortinet.proxy.vulnname |
漏洞名称 |
keyword |
fortinet.proxy.vwlname |
vwlname |
keyword |
fortinet.proxy.vwlquality |
与流量匹配的服务规则的质量信息 |
keyword |
fortinet.proxy.vwlservice |
与流量匹配的应用程序 (internet-service-app-ctrl) |
keyword |
fortinet.proxy.vwpvlanid |
虚拟线对 VLAN ID |
keyword |
fortinet.proxy.wanin |
WAN 入站流量(字节) |
long |
fortinet.proxy.waninfo |
waninfo |
keyword |
fortinet.proxy.wanoptapptype |
WAN 优化应用程序类型 |
keyword |
fortinet.proxy.wanout |
WAN 出站流量(字节) |
long |
fortinet.proxy.webmailprovider |
网络邮件提供商 |
keyword |
fortinet.proxy.wscode |
wscode |
long |
fortinet.proxy.xauthgroup |
IPsec VPN Xauth 用户组名称 |
keyword |
fortinet.proxy.xauthuser |
IPsec VPN Xauth 用户名 |
keyword |
fortinet.proxy.xid |
事务 ID |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
主机是否为容器。 |
布尔值 |
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的主机名。它通常包含主机上 |
keyword |
host.id |
唯一主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。 |
keyword |
host.name |
主机的名称。它可以包含 Unix 系统上 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
host.os.family |
操作系统系列(如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
文本 |
host.os.platform |
操作系统平台(如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,如 |
keyword |
http.request.bytes |
请求的总大小(字节),包括正文和标头。 |
long |
http.request.method |
HTTP 请求方法。值应保留其原始事件中的大小写。例如, |
keyword |
http.response.bytes |
响应的总大小(字节),包括正文和标头。 |
long |
http.response.status_code |
HTTP 响应状态代码。 |
long |
input.type |
输入类型 |
keyword |
log.file.device_id |
包含文件所在的 文件系统的设备的 ID。 |
keyword |
log.file.fingerprint |
启用指纹识别时,文件的 sha256 指纹标识。 |
keyword |
log.file.idxhi |
与文件关联的唯一标识符的高位部分。(仅限 Windows) |
keyword |
log.file.idxlo |
与文件关联的唯一标识符的低位部分。(仅限 Windows) |
keyword |
log.file.inode |
日志文件的 inode 号。 |
keyword |
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。应包括驱动器盘符(如果适用)。如果事件不是从日志文件读取的,则不要填充此字段。 |
keyword |
log.file.vol |
包含文件的卷的序列号。(仅限 Windows) |
keyword |
log.level |
日志事件的原始日志级别。如果事件源提供日志级别或文本严重性,则这是 |
keyword |
log.offset |
日志偏移量 |
long |
log.source.address |
读取/发送日志事件的源地址。 |
keyword |
log.syslog.facility.code |
日志事件的 Syslog 数字设施(如果可用)。根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。 |
long |
log.syslog.priority |
事件的 Syslog 数字优先级(如果可用)。根据 RFC 5424 和 3164,优先级为 8 * facility + severity。因此,此数字应包含 0 到 191 之间的值。 |
long |
log.syslog.severity.code |
日志事件的 Syslog 数字严重性(如果可用)。如果通过 Syslog 发布事件的事件源提供不同的数字严重性值(例如,防火墙、IDS),则您的源的数字严重性应转到 |
long |
message |
对于日志事件,消息字段包含日志消息,针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多个消息,可以将它们合并为一个消息。 |
match_only_text |
network.bytes |
双向传输的总字节数。如果已知 |
long |
network.direction |
网络流量方向。从基于主机的监视上下文中映射事件时,请从主机的角度使用值“ingress”或“egress”填充此字段。从基于网络或边界的监视上下文中映射事件时,请从网络边界的角度使用值“inbound”、“outbound”、“internal”或“external”填充此字段。请注意,“internal”不会跨越边界,而是用于描述边界内两个主机之间的通信。另请注意,“external”是指描述两个外部主机之间通信的流量。例如,这对于 ISP 或 VPN 服务提供商可能很有用。 |
keyword |
network.iana_number |
IANA 协议号(https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常吻合。 |
keyword |
network.packets |
双向传输的总数据包数。如果已知 |
long |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但使用传输层的关键字名称(udp、tcp、ipv6-icmp 等)。字段值必须规范化为小写以便查询。 |
keyword |
observer.egress.interface.name |
系统报告的接口名称。 |
keyword |
observer.hostname |
观察者主机名。 |
keyword |
observer.ingress.interface.name |
系统报告的接口名称。 |
keyword |
observer.name |
观察者的自定义名称。这是可以赋予观察者的名称。例如,如果组织中使用多个相同型号的防火墙,这会很有帮助。如果不需要自定义名称,则该字段可以留空。 |
keyword |
observer.product |
观察者的产品名称。 |
keyword |
observer.serial_number |
观察者序列号。 |
keyword |
observer.type |
数据来源的观察者类型。没有预定义的观察者类型列表。一些示例是 |
keyword |
observer.vendor |
观察者的供应商名称。 |
keyword |
rule.category |
实体使用规则检测此事件时使用的分类关键字值。 |
keyword |
rule.description |
生成事件的规则的描述。 |
keyword |
rule.id |
在代理、观察者或其他使用该规则检测此事件的实体范围内唯一的规则 ID。 |
keyword |
rule.name |
生成事件的规则或签名的名称。 |
keyword |
rule.ruleset |
用于生成此事件的规则所属的规则集、策略、组或父类别的名称。 |
keyword |
rule.uuid |
在代理、观察者或其他使用该规则检测此事件的实体集合或组范围内唯一的规则 ID。 |
keyword |
server.address |
某些事件服务器地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
server.bytes |
从服务器发送到客户端的字节数。 |
long |
server.geo.city_name |
城市名称。 |
keyword |
server.geo.continent_name |
洲的名称。 |
keyword |
server.geo.country_iso_code |
国家 ISO 代码。 |
keyword |
server.geo.country_name |
国家名称。 |
keyword |
server.geo.location |
经度和纬度。 |
geo_point |
server.geo.name |
用户定义的位置描述,在其关心的粒度级别。可以是他们的数据中心的名称,楼层号(如果这描述的是本地物理实体),城市名称。通常不用于自动化地理位置。 |
keyword |
server.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
server.geo.region_name |
区域名称。 |
keyword |
server.ip |
服务器的 IP 地址(IPv4 或 IPv6)。 |
ip |
server.mac |
服务器的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)用两个[大写]十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
keyword |
server.nat.ip |
基于目标的 NAT 会话的转换 IP(例如,互联网到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。 |
ip |
server.nat.port |
基于目标 NAT 会话的转换端口(例如,从互联网到私有 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。 |
long |
server.packets |
从服务器发送到客户端的数据包数。 |
long |
server.port |
服务器的端口。 |
long |
source.bytes |
从源发送到目标的字节数。 |
long |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲的名称。 |
keyword |
source.geo.country_iso_code |
国家 ISO 代码。 |
keyword |
source.geo.country_name |
国家名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户定义的位置描述,在其关心的粒度级别。可以是他们的数据中心的名称,楼层号(如果这描述的是本地物理实体),城市名称。通常不用于自动化地理位置。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
ip |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)用两个[大写]十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
keyword |
source.nat.ip |
基于源 NAT 会话的转换 IP(例如,从内部客户端到互联网)。通常是穿过负载均衡器、防火墙或路由器的连接。 |
ip |
source.nat.port |
基于源 NAT 会话的转换端口。(例如,从内部客户端到互联网)通常与负载均衡器、防火墙或路由器一起使用。 |
long |
source.packets |
从源发送到目标的数据包数。 |
long |
source.port |
源的端口。 |
long |
source.user.group.name |
组的名称。 |
keyword |
tags |
用于标记每个事件的关键字列表。 |
keyword |
threat.feed.name |
威胁源在用户界面友好的格式中的名称。 |
keyword |
url.domain |
URL 的域名,例如“https://elastic.ac.cn[www.elastic.co]”。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 |
keyword |
url.extension |
该字段包含来自原始请求 URL 的文件扩展名,不包括前导点。仅当文件扩展名存在时才设置文件扩展名,因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如,该值必须是“png”,而不是“.png”。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,应仅捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 |
keyword |
url.fragment |
URL 中 |
keyword |
url.full |
如果完整的 URL 对您的用例很重要,则应将其存储在 |
wildcard |
url.full.text |
|
match_only_text |
url.original |
事件源中看到的未修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是完整的还是不完整的。 |
wildcard |
url.original.text |
|
match_only_text |
url.password |
请求的密码。 |
keyword |
url.path |
请求的路径,例如“/search”。 |
wildcard |
url.port |
请求的端口,例如 443。 |
long |
url.query |
query 字段描述请求的查询字符串,例如“q=elasticsearch”。 |
keyword |
url.registered_domain |
最高的已注册 URL 域,去除了子域。例如,“foo.example.com”的已注册域为“example.com”。可以通过诸如公共后缀列表之类的列表精确地确定此值 (http://publicsuffix.org)。尝试通过简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将不起作用。 |
keyword |
url.scheme |
请求的方案,例如“https”。注意: |
keyword |
url.subdomain |
完全限定域名中的子域部分包括已注册域下主机名以外的所有名称。在部分限定的域中,或者如果无法确定完整名称的限定级别,则子域包含已注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,且不包含尾随句点。 |
keyword |
url.top_level_domain |
有效顶级域 (eTLD),也称为域后缀,是域名中的最后一部分。例如,example.com 的顶级域为“com”。可以通过诸如公共后缀列表之类的列表精确地确定此值 (http://publicsuffix.org)。尝试通过简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 将不起作用。 |
keyword |
url.username |
请求的用户名。 |
keyword |
user_agent.device.name |
设备名称。 |
keyword |
user_agent.name |
用户代理的名称。 |
keyword |
user_agent.original |
未解析的 user_agent 字符串。 |
keyword |
user_agent.original.text |
|
match_only_text |
user_agent.os.full |
操作系统名称,包括版本或代码名称。 |
keyword |
user_agent.os.full.text |
|
match_only_text |
user_agent.os.name |
操作系统名称,不带版本。 |
keyword |
user_agent.os.name.text |
|
match_only_text |
user_agent.os.version |
操作系统版本(原始字符串)。 |
keyword |
user_agent.version |
用户代理的版本。 |
keyword |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.0.1 |
Bug 修复 (查看拉取请求) |
8.12.2 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
8.12.2 或更高版本 |
0.3.1 |
Bug 修复 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.1 |
Bug 修复 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |