Juniper SRX 集成

@timestamp

事件发生时的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

日期

agent.build.original

代理的扩展构建信息。此字段旨在包含数据源可能提供的任何构建信息，不需要特定的格式。

关键词

agent.ephemeral_id

此代理的临时标识符（如果存在）。此 ID 通常在重启时更改，但 agent.id 不会。

关键词

agent.id

此代理的唯一标识符（如果存在）。示例：对于 Beats，这将是 beat.id。

关键词

agent.name

代理的自定义名称。这是可以分配给代理的名称。例如，如果两个 Filebeat 实例在同一主机上运行，但需要人为可读地分隔数据来自哪个 Filebeat 实例，则此功能非常有用。

关键词

agent.type

代理的类型。代理类型始终保持不变，应由所使用的代理给出。在 Filebeat 的情况下，即使在同一台机器上运行两个 Filebeat 实例，代理也始终是 Filebeat。

关键词

agent.version

代理的版本。

关键词

client.address

某些事件客户端地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后应根据它是哪个，将其复制到 .ip 或 .domain。

关键词

client.as.organization.name

组织名称。

关键词

client.as.organization.name.text

client.as.organization.name 的多字段。

match_only_text

client.bytes

从客户端发送到服务器的字节数。

长整型

client.domain

客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从丰富中添加。

关键词

client.ip

客户端的 IP 地址（IPv4 或 IPv6）。

ip

client.mac

客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

关键词

client.nat.ip

基于源 NAT 会话的转换 IP（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

ip

client.nat.port

基于源 NAT 会话的转换端口（例如，内部客户端到互联网）。通常是遍历负载均衡器、防火墙或路由器的连接。

长整型

client.packets

从客户端发送到服务器的数据包。

长整型

client.port

客户端的端口。

长整型

client.registered_domain

最高的已注册客户端域，已剥离子域。例如，“foo.example.com”的已注册域为“example.com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。尝试通过简单地获取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 不会很好地工作。

关键词

client.top_level_domain

有效的顶级域 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域是“com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。尝试通过简单地获取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 不会很好地工作。

关键词

client.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

关键词

client.user.email

用户电子邮件地址。

关键词

client.user.full_name

用户的全名（如果可用）。

关键词

client.user.full_name.text

client.user.full_name 的多字段。

match_only_text

client.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

关键词

client.user.group.id

系统/平台上组的唯一标识符。

关键词

client.user.group.name

组的名称。

关键词

client.user.hash

唯一的用户哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息且无法使用，则此功能非常有用。

关键词

client.user.id

用户的唯一标识符。

关键词

client.user.name

用户的简称或登录名。

关键词

client.user.name.text

client.user.name 的多字段。

match_only_text

client.user.roles

事件发生时用户的角色数组。

关键词

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键词

cloud.account.name

用于在多租户环境中标识不同实体的云帐户名称或别名。示例：AWS 帐户名称、Google Cloud ORG 显示名称。

关键词

cloud.availability_zone

此主机、资源或服务所在的可用区。

关键词

cloud.image.id

云实例的镜像 ID。

关键词

cloud.instance.id

主机机器的实例 ID。

关键词

cloud.instance.name

主机机器的实例名称。

关键词

cloud.machine.type

主机机器的机器类型。

关键词

cloud.project.id

云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

关键词

cloud.project.name

云项目名称。示例：Google Cloud 项目名称、Azure 项目名称。

关键词

cloud.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

关键词

cloud.region

此主机、资源或服务所在的区域。

关键词

container.id

唯一的容器 ID。

关键词

container.image.name

构建容器所基于的镜像的名称。

关键词

container.image.tag

容器镜像标签。

关键词

container.labels

镜像标签。

对象

container.name

容器名称。

关键词

container.runtime

管理此容器的运行时。

关键词

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

destination.address

某些事件目标地址的定义不明确。事件有时会列出 IP、域名或 Unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后应根据它是哪个，将其复制到 .ip 或 .domain。

关键词

destination.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识互联网上的每个网络。

长整型

destination.as.organization.name

组织名称。

关键词

destination.as.organization.name.text

destination.as.organization.name 的多字段。

match_only_text

destination.bytes

从目标发送到源的字节数。

长整型

destination.domain

目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从丰富中添加。

关键词

destination.geo.city_name

城市名称。

关键词

destination.geo.continent_name

大洲名称。

关键词

destination.geo.country_iso_code

国家/地区 ISO 代码。

关键词

destination.geo.country_name

国家/地区名称。

关键词

destination.geo.location

经度和纬度。

geo_point

destination.geo.name

用户定义的位置描述，在他们关心的粒度级别上。可能是其数据中心的名称、楼层号（如果这描述的是本地物理实体）或城市名称。通常不用于自动地理位置。

关键词

destination.geo.region_iso_code

地区 ISO 代码。

关键词

destination.geo.region_name

地区名称。

关键词

destination.ip

目标的 IP 地址（IPv4 或 IPv6）。

ip

destination.mac

目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

关键词

destination.nat.ip

基于目标 NAT 会话转换后的目标 IP 地址（例如，从互联网到私有 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

ip

destination.nat.port

源会话通过 NAT 设备转换成的端口。通常与负载均衡器、防火墙或路由器一起使用。

长整型

destination.packets

从目标发送到源的数据包。

长整型

destination.port

目标的端口。

长整型

destination.registered_domain

已注册的最高级目标域，不包含子域。例如，“foo.example.com” 的注册域是 “example.com”。可以使用公共后缀列表等列表精确地确定此值 (http://publicsuffix.org)。尝试仅取最后两个标签来近似此值对于 “co.uk” 等 TLD 将不起作用。

关键词

destination.top_level_domain

有效的顶级域 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域是“com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。尝试通过简单地获取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 不会很好地工作。

关键词

destination.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

关键词

destination.user.email

用户电子邮件地址。

关键词

destination.user.full_name

用户的全名（如果可用）。

关键词

destination.user.full_name.text

destination.user.full_name 的多字段。

match_only_text

destination.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

关键词

destination.user.group.id

系统/平台上组的唯一标识符。

关键词

destination.user.group.name

组的名称。

关键词

destination.user.hash

唯一的用户哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息且无法使用，则此功能非常有用。

关键词

destination.user.id

用户的唯一标识符。

关键词

destination.user.name

用户的简称或登录名。

关键词

destination.user.name.text

destination.user.name 的多字段。

match_only_text

destination.user.roles

事件发生时用户的角色数组。

关键词

dll.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

dll.code_signature.status

关于证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，则保持未填充。

关键词

dll.code_signature.subject_name

代码签名者的主题名称

关键词

dll.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，并且此字段应仅由主动检查状态的工具填充。

boolean

dll.code_signature.valid

用于捕获是否针对二进制内容验证数字签名的布尔值。如果未检查证书，则保持未填充。

boolean

dll.hash.md5

MD5 哈希值。

关键词

dll.hash.sha1

SHA1 哈希值。

关键词

dll.hash.sha256

SHA256 哈希值。

关键词

dll.hash.sha512

SHA512 哈希值。

关键词

dll.name

库的名称。这通常映射到磁盘上的文件名。

关键词

dll.path

库的完整文件路径。

关键词

dll.pe.architecture

文件的 CPU 架构目标。

关键词

dll.pe.company

在编译时提供的文件的内部公司名称。

关键词

dll.pe.description

在编译时提供的文件的内部描述。

关键词

dll.pe.file_version

在编译时提供的文件的内部版本。

关键词

dll.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或发生其他代码级转换之后，也可以使用 imphash（或导入哈希值）来指纹识别二进制文件，这会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

关键词

dll.pe.original_file_name

在编译时提供的文件的内部名称。

关键词

dll.pe.product

在编译时提供的文件的内部产品名称。

关键词

dns.answers

一个数组，其中包含服务器返回的每个答案部分的对象。这些对象中应存在的主要键由 ECS 定义。具有更多信息的记录可能包含比 ECS 定义的更多的键。并非所有 DNS 数据源都提供有关 DNS 答案的所有详细信息。至少，答案对象必须包含 data 键。如果存在更多信息，请尽可能将其映射到 ECS，并将任何其他字段作为自定义字段添加到答案对象中。

group

dns.answers.class

此资源记录中包含的 DNS 数据的类。

关键词

dns.answers.data

描述资源的数据。此数据的含义取决于资源记录的类型和类。

关键词

dns.answers.name

此资源记录所属的域名。如果要解析 CNAME 链，则每个答案的 name 应与该答案的 data 相对应。它不应只是重复的原始 question.name。

关键词

dns.answers.ttl

在丢弃此资源记录之前可以缓存此资源记录的时间间隔（以秒为单位）。零值表示不应缓存数据。

长整型

dns.answers.type

此资源记录中包含的数据的类型。

关键词

dns.header_flags

包含 2 个字母的 DNS 标头标志的数组。

关键词

dns.id

生成查询的程序分配的 DNS 数据包标识符。该标识符被复制到响应中。

关键词

dns.op_code

指定消息中查询类型的 DNS 操作码。此值由查询的发起者设置，并复制到响应中。

关键词

dns.question.class

要查询的记录的类。

关键词

dns.question.name

要查询的名称。如果 name 字段包含不可打印的字符（低于 32 或高于 126），则这些字符应表示为转义的十进制整数 (\DDD)。反斜杠和引号应转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

关键词

dns.question.registered_domain

已注册的最高级域，不包含子域。例如，“foo.example.com” 的注册域是 “example.com”。可以使用公共后缀列表等列表精确地确定此值 (http://publicsuffix.org)。尝试仅取最后两个标签来近似此值对于 “co.uk” 等 TLD 将不起作用。

关键词

dns.question.subdomain

子域是 registered_domain 下的所有标签。如果域具有多个子域级别，例如 "sub2.sub1.example.com"，则子域字段应包含 "sub2.sub1"，不带尾随句点。

关键词

dns.question.top_level_domain

有效的顶级域 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域是“com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。尝试通过简单地获取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 不会很好地工作。

关键词

dns.question.type

要查询的记录的类型。

关键词

dns.resolved_ip

包含在 answers.data 中看到的所有 IP 的数组。answers 数组可能难以使用，因为它可能包含各种数据格式。将其中看到的所有 IP 地址提取到 dns.resolved_ip 中，可以将其作为 IP 地址进行索引，并使其更易于可视化和查询。

ip

dns.response_code

DNS 响应代码。

关键词

dns.type

捕获的 DNS 事件类型，查询或答案。如果您的 DNS 事件源仅提供 DNS 查询，则应仅创建类型为 dns.type:query 的 dns 事件。如果您的 DNS 事件源也提供答案，则应为每个查询创建一个事件（可以选择在看到查询后立即创建）。以及包含所有查询详细信息以及答案数组的第二个事件。

关键词

ecs.version

此事件符合的 ECS 版本。ecs.version 是一个必填字段，必须存在于所有事件中。当跨多个索引进行查询时（这些索引可能符合略有不同的 ECS 版本），此字段使集成能够适应事件的模式版本。

关键词

error.code

描述错误的错误代码。

关键词

error.id

错误的唯一标识符。

关键词

error.message

错误消息。

match_only_text

error.stack_trace

此错误的堆栈跟踪（纯文本）。

wildcard

error.stack_trace.text

error.stack_trace 的多字段。

match_only_text

error.type

错误的类型，例如异常的类名。

关键词

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。例如，group-add、process-started、file-created。该值通常由实施者定义。

关键词

event.category

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第二层。event.category 表示 ECS 类别的“大桶”。例如，过滤 event.category:process 会产生与进程活动相关的所有事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行适当分类。

关键词

event.code

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确标识消息，而与消息语言或随时间推移的措辞调整无关。一个例子是 Windows 事件 ID。

关键词

event.created

event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。可以使用差值来计算您的源生成事件与您的代理首次处理事件之间的时间延迟。这可以用于监控您的代理或管道跟上事件源的能力。如果两个时间戳相同，则应使用 @timestamp。

日期

event.dataset

事件数据集

constant_keyword

event.duration

事件的持续时间（以纳秒为单位）。如果知道 event.start 和 event.end，则此值应为结束时间和开始时间之间的差值。

长整型

event.end

event.end 包含事件结束或上次观察到活动时的日期。

日期

event.hash

原始字段的哈希值（可能是 logstash 指纹），以便能够证明日志的完整性。

关键词

event.id

描述事件的唯一 ID。

关键词

event.ingested

事件到达中央数据存储的时间戳。这与 @timestamp 不同，后者是事件最初发生的时间。它也与 event.created 不同，后者旨在捕获代理第一次看到事件的时间。在正常情况下，假设没有篡改，时间戳应按时间顺序如下所示：@timestamp < event.created < event.ingested。

日期

event.kind

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最高级别。event.kind 提供有关事件包含的信息类型的高级信息，而不特定于事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留期、不同的访问控制，它还可以帮助了解数据是否以固定的时间间隔传入。

关键词

event.module

事件模块

constant_keyword

event.original

整个事件的原始文本消息。用于演示日志完整性，或者在需要完整日志消息（在将其拆分为多个部分之前）的情况下使用，例如，用于重新索引。此字段未被索引，并且禁用了 doc_values。它不能被搜索，但可以从 _source 中检索。如果用户希望覆盖此设置并索引此字段，请参阅 字段数据类型 在 Elasticsearch 参考 中。

关键词

event.outcome

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最低级别。 event.outcome 仅表示从生成事件的实体的角度来看，该事件是成功还是失败。请注意，当单个事务在多个事件中描述时，每个事件可能会根据其角度填充不同的 event.outcome 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能从事件生成者的角度捕获整体成功或失败的值。此外，并非所有事件都会有相关的结果。例如，此字段通常不填充度量事件、event.type:info 的事件，或任何没有逻辑意义的结果的事件。

关键词

event.provider

事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如 Sysmon、httpd），或者操作系统的子系统（内核、Microsoft-Windows-Security-Auditing）。

关键词

event.reason

根据来源，此事件发生的原因。这描述了事件中捕获的特定操作或结果的原因。当 event.action 捕获事件的操作时，event.reason 描述了采取该操作的原因。例如，event.action 拒绝请求的 Web 代理也可以使用原因填充 event.reason（例如 被阻止的站点）。

关键词

event.reference

链接到有关此事件的更多信息的参考 URL。此 URL 链接到此事件的静态定义。由 event.kind:alert 指示的警报事件是此字段的常见用例。

关键词

event.risk_score

事件的风险评分或优先级（例如，安全解决方案）。在此处使用系统的原始值。

float

event.risk_score_norm

事件的标准化风险评分或优先级，范围为 0 到 100。如果您使用多个分配风险评分的系统，并且希望查看所有系统中的标准化值，则此值非常有用。

float

event.sequence

事件的序列号。序列号是一些事件源发布的值，以使事件的确切顺序明确无误，而与时间戳精度无关。

长整型

event.severity

根据事件源，事件的数字严重性。不同的严重性值意味着什么在不同的来源和用例之间可能有所不同。实施者有责任确保来自同一来源的事件的严重性一致。Syslog 严重性属于 log.syslog.severity.code。 event.severity 旨在表示根据事件源（例如，防火墙、IDS）的严重性。如果事件源未发布其自身的严重性，则您可以选择将 log.syslog.severity.code 复制到 event.severity。

长整型

event.start

event.start 包含事件开始的时间或首次观察到活动的时间。

日期

event.timezone

当事件的时间戳不包含时区信息时（例如，默认的 Syslog 时间戳），应填充此字段。否则，它是可选的。可接受的时区格式为：规范 ID（例如“Europe/Amsterdam”）、缩写形式（例如“EST”）或 HH:mm 时差（例如“-05:00”）。

关键词

event.type

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第三级。 event.type 表示一个分类“子桶”，与 event.category 字段值一起使用时，可以使事件过滤到适合单次可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的某些事件进行适当的分类。

关键词

event.url

链接到外部系统以继续调查此事件的 URL。此 URL 链接到另一个系统，可以在其中对该特定事件的发生进行深入调查。由 event.kind:alert 指示的警报事件是此字段的常见用例。

关键词

file.accessed

上次访问文件的时间。请注意，并非所有文件系统都会跟踪访问时间。

日期

file.attributes

文件属性的数组。属性名称将因平台而异。以下是此字段中预期的值的非详尽列表：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。

关键词

file.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

file.code_signature.status

关于证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，则保持未填充。

关键词

file.code_signature.subject_name

代码签名者的主题名称

关键词

file.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，并且此字段应仅由主动检查状态的工具填充。

boolean

file.code_signature.valid

用于捕获是否针对二进制内容验证数字签名的布尔值。如果未检查证书，则保持未填充。

boolean

file.created

文件创建时间。请注意，并非所有文件系统都存储创建时间。

日期

file.ctime

上次更改文件属性或元数据的时间。请注意，对文件内容的更改将更新 mtime。这意味着 ctime 将同时进行调整，因为 mtime 是文件的属性。

日期

file.device

作为文件来源的设备。

关键词

file.directory

文件所在的目录。应包括驱动器号（如果适用）。

关键词

file.drive_letter

文件所在的驱动器号。此字段仅在 Windows 上相关。值应为大写，且不包含冒号。

关键词

file.extension

文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名（example.tar.gz）时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

关键词

file.gid

文件的主要组 ID (GID)。

关键词

file.group

文件的主要组名称。

关键词

file.hash.md5

MD5 哈希值。

关键词

file.hash.sha1

SHA1 哈希值。

关键词

file.hash.sha256

SHA256 哈希值。

关键词

file.hash.sha512

SHA512 哈希值。

关键词

file.inode

表示文件系统中文件的 Inode。

关键词

file.mime_type

MIME 类型应使用 IANA[https://www.iana.org/assignments/media-types/media-types.xhtml[IANA 官方类型]（如果可能）来标识文件或字节流的格式。当有多个类型适用时，应使用最具体的类型。

关键词

file.mode

文件模式的八进制表示形式。

关键词

file.mtime

上次修改文件内容的时间。

日期

file.name

文件名，包括扩展名，但不包括目录。

关键词

file.owner

文件所有者的用户名。

关键词

file.path

文件的完整路径，包括文件名。应包括驱动器号（如果适用）。

关键词

file.path.text

file.path 的多字段。

match_only_text

file.pe.architecture

文件的 CPU 架构目标。

关键词

file.pe.company

在编译时提供的文件的内部公司名称。

关键词

file.pe.description

在编译时提供的文件的内部描述。

关键词

file.pe.file_version

在编译时提供的文件的内部版本。

关键词

file.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或发生其他代码级转换之后，也可以使用 imphash（或导入哈希值）来指纹识别二进制文件，这会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

关键词

file.pe.original_file_name

在编译时提供的文件的内部名称。

关键词

file.pe.product

在编译时提供的文件的内部产品名称。

关键词

file.size

文件大小（以字节为单位）。仅当 file.type 为“file”时才相关。

长整型

file.target_path

符号链接的目标路径。

关键词

file.target_path.text

file.target_path 的多字段。

match_only_text

file.type

文件类型（文件、目录或符号链接）。

关键词

file.uid

文件所有者的用户 ID (UID) 或安全标识符 (SID)。

关键词

group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

关键词

group.id

系统/平台上组的唯一标识符。

关键词

group.name

组的名称。

关键词

host.architecture

操作系统架构。

关键词

host.containerized

如果主机是一个容器。

boolean

host.domain

主机所属域的名称。例如，在 Windows 上，这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可能是主机 LDAP 提供商的域。

关键词

host.hostname

主机的 hostname。它通常包含主机机器上的 hostname 命令返回的内容。

关键词

host.id

唯一主机 ID。由于 hostname 并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 beat.name。

关键词

host.ip

主机 IP 地址。

ip

host.mac

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）都由两个 [大写] 十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

关键词

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。推荐值是主机的小写 FQDN。

关键词

host.os.build

OS 构建信息。

关键词

host.os.codename

OS 代码名称（如果有）。

关键词

host.os.family

OS 系列（例如 redhat、debian、freebsd、windows）。

关键词

host.os.full

操作系统名称，包括版本或代码名称。

关键词

host.os.full.text

host.os.full 的多字段。

match_only_text

host.os.kernel

原始字符串形式的操作系统内核版本。

关键词

host.os.name

操作系统名称，不包括版本。

关键词

host.os.name.text

host.os.name 的多字段。

match_only_text

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

关键词

host.os.version

原始字符串形式的操作系统版本。

关键词

host.type

主机类型。对于云提供商，这可以是计算机类型，例如 t2.medium。如果是虚拟机，这可以是容器，例如，或者在您的环境中具有意义的其他信息。

关键词

host.uptime

主机已启动的秒数。

长整型

http.request.body.bytes

请求主体的大小（以字节为单位）。

长整型

http.request.body.content

完整的 HTTP 请求主体。

wildcard

http.request.body.content.text

http.request.body.content 的多字段。

match_only_text

http.request.bytes

请求的总大小（以字节为单位）（主体和标头）。

长整型

http.request.method

HTTP 请求方法。该值应保留原始事件中的大小写。例如，GET、get 和 GeT 都被视为此字段的有效值。

关键词

http.request.referrer

此 HTTP 请求的引用。

关键词

http.response.body.bytes

响应主体的大小（以字节为单位）。

长整型

http.response.body.content

完整的 HTTP 响应主体。

wildcard

http.response.body.content.text

http.response.body.content 的多字段。

match_only_text

http.response.bytes

响应的总大小（以字节为单位）（主体和标头）。

长整型

http.response.status_code

HTTP 响应状态码。

长整型

http.version

HTTP 版本。

关键词

input.type

输入类型。

关键词

juniper.srx.action

动作

关键词

juniper.srx.action_detail

动作详情

关键词

juniper.srx.admin_status

关键词

juniper.srx.alert

重复警报

关键词

juniper.srx.apbr_rule_type

APBR 规则类型

关键词

juniper.srx.application

应用

关键词

juniper.srx.application_category

应用类别

关键词

juniper.srx.application_characteristics

应用特性

关键词

juniper.srx.application_name

应用名称

关键词

juniper.srx.application_sub_category

应用子类别

关键词

juniper.srx.argument1

关键词

juniper.srx.attack_name

攻击名称

关键词

juniper.srx.category

过滤器类别

关键词

juniper.srx.client_ip

客户端 IP

ip

juniper.srx.connection_hit_rate

连接命中率

整数

juniper.srx.connection_tag

连接标签

关键词

juniper.srx.context_hit_rate

上下文命中率

整数

juniper.srx.context_name

上下文名称

关键词

juniper.srx.context_value

上下文值

关键词

juniper.srx.context_value_hit_rate

上下文值命中率

整数

juniper.srx.ddos_application_name

DDoS 应用名称

关键词

juniper.srx.dpdk.port_number

整数

juniper.srx.dpdk.port_state

整数

juniper.srx.dpdk.swt_port_state

整数

juniper.srx.dscp_value

APBR 规则类型

整数

juniper.srx.dst_nat_rule_name

目标 NAT 规则名称

关键词

juniper.srx.dst_nat_rule_type

目标 NAT 规则类型

关键词

juniper.srx.dst_vrf_grp

目标 VRF 组

关键词

juniper.srx.elapsed_time

经过时间

日期

juniper.srx.encrypted

已加密

关键词

juniper.srx.epoch_time

Epoch 时间

日期

juniper.srx.error_code

错误代码

关键词

juniper.srx.error_message

错误消息

关键词

juniper.srx.export_id

数据包日志 ID

整数

juniper.srx.feed_name

源名称

关键词

juniper.srx.file_category

文件类别

关键词

juniper.srx.file_hash_lookup

文件哈希查找

关键词

juniper.srx.file_name

文件名

关键词

juniper.srx.filename

文件名

关键词

juniper.srx.first_forwarding_class

关键词

juniper.srx.function_name

关键词

juniper.srx.hostname

主机名

关键词

juniper.srx.icmp_type

ICMP 类型

整数

juniper.srx.inbound_bytes

来自服务器的字节数

整数

juniper.srx.inbound_packets

来自服务器的数据包数

整数

juniper.srx.index

索引

关键词

juniper.srx.index1

关键词

juniper.srx.index2

关键词

juniper.srx.ip_mon_reth_scan.trigger

关键词

juniper.srx.kern_arp_addr_change.ip

ip

juniper.srx.kern_arp_addr_change.mac1

关键词

juniper.srx.kern_arp_addr_change.mac2

关键词

juniper.srx.local_initiator

关键词

juniper.srx.log_type

关键词

juniper.srx.logical_system_name

逻辑系统名称

关键词

juniper.srx.malware_info

恶意软件信息

关键词

juniper.srx.message

消息

关键词

juniper.srx.message_type

消息类型

关键词

juniper.srx.mode

关键词

juniper.srx.name

名称

关键词

juniper.srx.nat_connection_tag

NAT 连接标签

关键词

juniper.srx.negotiation.err_msg

关键词

juniper.srx.negotiation.message

关键词

juniper.srx.negotiation.type

关键词

juniper.srx.nested_application

嵌套应用

关键词

juniper.srx.obj

URL 路径

关键词

juniper.srx.occur_count

出现计数

整数

juniper.srx.operational_status

关键词

juniper.srx.outbound_bytes

来自客户端的字节数

整数

juniper.srx.outbound_packets

来自客户端的数据包数

整数

juniper.srx.packet_log_id

数据包日志 ID

整数

juniper.srx.peer_destination_address

对等目标地址

ip

juniper.srx.peer_destination_port

对等目标端口

整数

juniper.srx.peer_session_id

对等会话 ID

关键词

juniper.srx.peer_source_address

对等源地址

ip

juniper.srx.peer_source_port

对等源端口

整数

juniper.srx.ping_test.name

关键词

juniper.srx.ping_test.owner

关键词

juniper.srx.policy_name

策略名称

关键词

juniper.srx.process

生成消息的进程

关键词

juniper.srx.profile

过滤器配置文件

关键词

juniper.srx.profile_name

配置文件名称

关键词

juniper.srx.protocol

协议

关键词

juniper.srx.protocol_id

协议 ID

关键词

juniper.srx.protocol_name

协议名称

关键词

juniper.srx.reason

原因

关键词

juniper.srx.remote_responder

关键词

juniper.srx.repeat_count

重复计数

整数

juniper.srx.roles

角色

关键词

juniper.srx.routing_instance

路由实例

关键词

juniper.srx.rtlog_conn_error.code

长整型

juniper.srx.rtlog_conn_error.description

关键词

juniper.srx.rtlog_conn_error.err_msg

关键词

juniper.srx.rtlog_conn_error.major

长整型

juniper.srx.rtlog_conn_error.minor

长整型

juniper.srx.rtlog_conn_error.status

长整型

juniper.srx.rtlog_conn_error.stream_name

关键词

juniper.srx.rtslib_dfwsm.k_usr_d

关键词

juniper.srx.rtslib_dfwsm.u_data

关键词

juniper.srx.rule_name

规则名称

关键词

juniper.srx.ruleebase_name

规则库名称

关键词

juniper.srx.sample_sha256

示例 SHA256

关键词

juniper.srx.secure_web_proxy_session_type

安全 Web 代理会话类型

关键词

juniper.srx.service_name

服务名称

关键词

juniper.srx.session_flag

会话标志

整数

juniper.srx.session_id

会话 ID

关键词

juniper.srx.session_id_32

会话 ID 32

关键词

juniper.srx.snmp_interface_index

关键词

juniper.srx.src_nat_rule_name

源 NAT 规则名称

关键词

juniper.srx.src_nat_rule_type

源 NAT 规则类型

关键词

juniper.srx.src_vrf_grp

源 VRF 组

关键词

juniper.srx.state

状态

关键词

juniper.srx.status

状态

关键词

juniper.srx.sub_category

子类别

关键词

juniper.srx.system.aux_spi

整数

juniper.srx.system.direction

关键词

juniper.srx.system.ike_version

整数

juniper.srx.system.local

关键词

juniper.srx.system.local_gateway

ip

juniper.srx.system.local_id

关键词

juniper.srx.system.local_ike_id

关键词

juniper.srx.system.mode

关键词

juniper.srx.system.remote

关键词

juniper.srx.system.remote_gateway

关键词

juniper.srx.system.remote_id

关键词

juniper.srx.system.remote_ike_id

关键词

juniper.srx.system.role

关键词

juniper.srx.system.spi

关键词

juniper.srx.system.traffic_selector

关键词

juniper.srx.system.type

关键词

juniper.srx.system.vpn

关键词

juniper.srx.system.vr_id

关键词

juniper.srx.tag

系统日志消息标签，用于唯一标识消息。

关键词

juniper.srx.temporary_filename

临时文件名

关键词

juniper.srx.tenant_id

租户 ID

关键词

juniper.srx.th

th

关键词

juniper.srx.threat_severity

威胁严重程度

关键词

juniper.srx.time_count

时间计数

整数

juniper.srx.time_period

时间段

整数

juniper.srx.time_scope

时间范围

关键词

juniper.srx.timestamp

时间戳

日期

juniper.srx.traffic_selector_name

关键词

juniper.srx.tunnel_inspection

隧道检查

关键词

juniper.srx.tunnel_inspection_policy_set

隧道检查策略集

关键词

juniper.srx.type

类型

关键词

juniper.srx.uplink_rx_bytes

上行接收字节数

整数

juniper.srx.uplink_tx_bytes

上行发送字节数

整数

juniper.srx.url

URL 域名

关键词

juniper.srx.username

用户名

关键词

juniper.srx.verdict_number

裁决编号

整数

juniper.srx.verdict_source

裁决来源

关键词

labels

自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例：docker 和 k8s 标签。

对象

log.file.device_id

包含文件所在文件系统的设备的 ID。

关键词

log.file.fingerprint

启用指纹识别时文件的 SHA256 指纹标识。

关键词

log.file.idxhi

与文件关联的唯一标识符的高位部分。（仅限 Windows）

关键词

log.file.idxlo

与文件关联的唯一标识符的低位部分。（仅限 Windows）

关键词

log.file.inode

日志文件的 Inode 编号。

关键词

log.file.path

此事件来自的日志文件的完整路径，包括文件名。它应包含驱动器盘符（如果适用）。如果事件不是从日志文件读取的，则不要填充此字段。

关键词

log.file.vol

包含文件的卷的序列号。（仅限 Windows）

关键词

log.level

日志事件的原始日志级别。如果事件源提供日志级别或文本严重性，则此值将放入 log.level 中。如果您的源未指定日志级别，则可以将事件传输的严重性放在此处（例如，Syslog 严重性）。一些示例是 warn、 err、i、informational。

关键词

log.logger

应用程序内部的记录器名称。这通常是初始化记录器的类的名称，也可以是自定义名称。

关键词

log.offset

日志行在其文件中的字节偏移量。

长整型

log.source.address

syslog 消息的源地址。

关键词

log.syslog

如果事件是通过 Syslog 传输的，则事件的 Syslog 元数据。请参阅 RFC 5424 或 3164。

group

log.syslog.facility.code

如果可用，则日志事件的 Syslog 数字设施。根据 RFC 5424 和 3164，此值应为 0 到 23 之间的整数。

长整型

log.syslog.facility.name

如果可用，则日志事件的基于文本的 Syslog 设施。

关键词

log.syslog.priority

如果可用，则事件的 Syslog 数字优先级。根据 RFC 5424 和 3164，优先级为 8 * 设施 + 严重性。因此，此数字预计包含 0 到 191 之间的值。

长整型

log.syslog.severity.code

如果可用，则日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件源提供了不同的数字严重性值（例如，防火墙、IDS），则您的源的数字严重性应转到 event.severity。如果事件源未指定不同的严重性，您可以选择将 Syslog 严重性复制到 event.severity。

长整型

log.syslog.severity.name

如果可用，则日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件源提供了不同的严重性值（例如，防火墙、IDS），则您的源的文本严重性应转到 log.level。如果事件源未指定不同的严重性，您可以选择将 Syslog 严重性复制到 log.level。

关键词

message

对于日志事件，消息字段包含日志消息，该消息已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志，可以连接其他字段以形成事件的人类可读摘要。如果存在多条消息，则可以将它们合并为一条消息。

match_only_text

network.application

当从网络连接详细信息（源/目标 IP、端口、证书或线路格式）中识别出特定的应用程序或服务时，此字段会捕获应用程序或服务的名称。例如，原始事件标识网络连接来自 https 网络连接中的特定 Web 服务，例如 facebook 或 twitter。必须将字段值规范化为小写以进行查询。

关键词

network.bytes

在两个方向上总共传输的字节数。如果知道 source.bytes 和 destination.bytes，则 network.bytes 是它们的总和。

长整型

network.community_id

通信中使用的源和目标 IP 和端口以及协议的哈希值。这是用于识别流的与工具无关的标准。在 https://github.com/corelight/community-id-spec 了解更多信息。

关键词

network.direction

网络流量的方向。当映射来自基于主机的监视上下文的事件时，请使用 "ingress" 或 "egress" 值从主机的角度填充此字段。当映射来自基于网络或边界的监视上下文的事件时，请使用 "inbound"、"outbound"、"internal" 或 "external" 值从网络边界的角度填充此字段。请注意，"internal" 不会跨越边界，而是指边界内两台主机之间的通信。另请注意，"external" 是指边界外部两台主机之间的流量。例如，这对于 ISP 或 VPN 服务提供商可能很有用。

关键词

network.forwarded_ip

当源 IP 地址为代理时的主机 IP 地址。

ip

network.iana_number

IANA 协议号 (https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常一致。

关键词

network.inner

除了 network.vlan 字段外，还会添加 network.inner 字段，以描述存在 q-in-q VLAN 标记时的最内层 VLAN。允许的字段包括 vlan.id 和 vlan.name。当使用多个 802.1q 封装将流量发送到网络传感器（例如 Zeek、Wireshark）时，通常会使用内部 VLAN 字段。

group

network.inner.vlan.id

观察者报告的 VLAN ID。

关键词

network.inner.vlan.name

观察者报告的可选 VLAN 名称。

关键词

network.name

运营商为其网络部分指定的名称。

关键词

network.packets

双向传输的总数据包数。如果已知 source.packets 和 destination.packets，则 network.packets 为它们的总和。

长整型

network.protocol

在 OSI 模型中，这将是应用层协议。例如，http、dns 或 ssh。该字段值必须规范化为小写以进行查询。

关键词

network.transport

与 network.iana_number 相同，但改为使用传输层的关键字名称（udp、tcp、ipv6-icmp 等）。该字段值必须规范化为小写以进行查询。

关键词

network.type

在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。该字段值必须规范化为小写以进行查询。

关键词

network.vlan.id

观察者报告的 VLAN ID。

关键词

network.vlan.name

观察者报告的可选 VLAN 名称。

关键词

observer.egress

Observer.egress 包含接口编号和名称、vlan 和区域信息等，用于对出口流量进行分类。单臂监控（例如，跨端口上的网络传感器）应仅使用 observer.ingress 来对流量进行分类。

group

observer.egress.interface.alias

系统报告的接口别名，通常在防火墙实现中用于例如内部、外部或 dmz 逻辑接口命名。

关键词

observer.egress.interface.id

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

关键词

observer.egress.interface.name

系统报告的接口名称。

关键词

observer.egress.vlan.id

观察者报告的 VLAN ID。

关键词

observer.egress.vlan.name

观察者报告的可选 VLAN 名称。

关键词

observer.egress.zone

观察者报告的出站流量网络区域，用于对出口流量的目标区域进行分类，例如内部、外部、DMZ、HR、法律等。

关键词

observer.hostname

观察者的主机名。

关键词

observer.ingress

Observer.ingress 包含接口编号和名称、vlan 和区域信息等，用于对入口流量进行分类。单臂监控（例如，跨端口上的网络传感器）应仅使用 observer.ingress 来对流量进行分类。

group

observer.ingress.interface.alias

系统报告的接口别名，通常在防火墙实现中用于例如内部、外部或 dmz 逻辑接口命名。

关键词

observer.ingress.interface.id

观察者报告的接口 ID（通常是 SNMP 接口 ID）。

关键词

observer.ingress.interface.name

系统报告的接口名称。

关键词

observer.ingress.vlan.id

观察者报告的 VLAN ID。

关键词

observer.ingress.vlan.name

观察者报告的可选 VLAN 名称。

关键词

observer.ingress.zone

观察者报告的入站流量网络区域，用于对入口流量的源区域进行分类。例如，内部、外部、DMZ、HR、法律等。

关键词

observer.ip

观察者的 IP 地址。

ip

observer.mac

观察者的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个 [大写] 十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

关键词

observer.name

观察者的自定义名称。这是可以赋予观察者的名称。例如，如果组织中使用多个相同型号的防火墙，这将很有帮助。如果不需要自定义名称，则可以保留该字段为空。

关键词

observer.product

观察者的产品名称。

关键词

observer.serial_number

观察者序列号。

关键词

observer.type

数据来源的观察者类型。没有预定义的观察者类型列表。一些示例包括 forwarder、firewall、ids、ips、proxy、poller、sensor、APM server。

关键词

observer.vendor

观察者的供应商名称。

关键词

observer.version

观察者版本。

关键词

organization.id

组织的唯一标识符。

关键词

organization.name

组织名称。

关键词

organization.name.text

organization.name 的多字段。

match_only_text

package.architecture

包架构。

关键词

package.build_version

有关已安装软件包的构建版本的其他信息。例如，使用未发布软件包的提交 SHA。

关键词

package.checksum

用于验证的已安装软件包的校验和。

关键词

package.description

软件包的描述。

关键词

package.install_scope

指示软件包的安装方式，例如用户本地、全局。

关键词

package.installed

软件包的安装时间。

日期

package.license

软件包发布的许可证。尽可能使用短名称，例如 SPDX 许可证列表中的许可证标识符 (https://spdx.org/licenses/)。

关键词

package.name

软件包名称

关键词

package.path

软件包的安装路径。

关键词

package.reference

如果可用，此软件包中软件的主页或参考 URL。

关键词

package.size

软件包大小（以字节为单位）。

长整型

package.type

软件包的类型。这应该包含软件包文件类型，而不是软件包管理器名称。示例：rpm、dpkg、brew、npm、gem、nupkg、jar。

关键词

package.version

软件包版本

关键词

process.args

进程参数数组，从可执行文件的绝对路径开始。可以过滤以保护敏感信息。

关键词

process.args_count

process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行存储桶分析。更多参数可能表明存在可疑活动。

长整型

process.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

process.code_signature.status

关于证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，则保持未填充。

关键词

process.code_signature.subject_name

代码签名者的主题名称

关键词

process.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，并且此字段应仅由主动检查状态的工具填充。

boolean

process.code_signature.valid

用于捕获是否针对二进制内容验证数字签名的布尔值。如果未检查证书，则保持未填充。

boolean

process.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。可以过滤某些参数以保护敏感信息。

wildcard

process.command_line.text

process.command_line 的多字段。

match_only_text

process.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可以使用的一些示例是进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希。构建全局唯一标识符是一种常见做法，可以缓解 PID 重用，并在多个受监视的主机上随时间识别特定进程。

关键词

process.executable

进程可执行文件的绝对路径。

关键词

process.executable.text

process.executable 的多字段。

match_only_text

process.exit_code

如果这是一个终止事件，则为进程的退出代码。如果事件没有退出代码，则该字段应不存在（例如，进程启动）。

长整型

process.hash.md5

MD5 哈希值。

关键词

process.hash.sha1

SHA1 哈希值。

关键词

process.hash.sha256

SHA256 哈希值。

关键词

process.hash.sha512

SHA512 哈希值。

关键词

process.name

进程名称。有时称为程序名称或类似名称。

关键词

process.name.text

process.name 的多字段。

match_only_text

process.parent.args

进程参数数组，从可执行文件的绝对路径开始。可以过滤以保护敏感信息。

关键词

process.parent.args_count

process.args 数组的长度。此字段可用于查询或对启动进程时提供的参数数量执行存储桶分析。更多参数可能表明存在可疑活动。

长整型

process.parent.code_signature.exists

用于捕获是否存在签名的布尔值。

boolean

process.parent.code_signature.status

关于证书状态的附加信息。这对于记录证书有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，则保持未填充。

关键词

process.parent.code_signature.subject_name

代码签名者的主题名称

关键词

process.parent.code_signature.trusted

存储证书链的信任状态。验证证书链的信任可能很复杂，并且此字段应仅由主动检查状态的工具填充。

boolean

process.parent.code_signature.valid

用于捕获是否针对二进制内容验证数字签名的布尔值。如果未检查证书，则保持未填充。

boolean

process.parent.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。可以过滤某些参数以保护敏感信息。

wildcard

process.parent.command_line.text

process.parent.command_line 的多字段。

match_only_text

process.parent.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可以使用的一些示例是进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希。构建全局唯一标识符是一种常见做法，可以缓解 PID 重用，并在多个受监视的主机上随时间识别特定进程。

关键词

process.parent.executable

进程可执行文件的绝对路径。

关键词

process.parent.executable.text

process.parent.executable 的多字段。

match_only_text

process.parent.exit_code

如果这是一个终止事件，则为进程的退出代码。如果事件没有退出代码，则该字段应不存在（例如，进程启动）。

长整型

process.parent.hash.md5

MD5 哈希值。

关键词

process.parent.hash.sha1

SHA1 哈希值。

关键词

process.parent.hash.sha256

SHA256 哈希值。

关键词

process.parent.hash.sha512

SHA512 哈希值。

关键词

process.parent.name

进程名称。有时称为程序名称或类似名称。

关键词

process.parent.name.text

process.parent.name 的多字段。

match_only_text

process.parent.pe.architecture

文件的 CPU 架构目标。

关键词

process.parent.pe.company

在编译时提供的文件的内部公司名称。

关键词

process.parent.pe.description

在编译时提供的文件的内部描述。

关键词

process.parent.pe.file_version

在编译时提供的文件的内部版本。

关键词

process.parent.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或发生其他代码级转换之后，也可以使用 imphash（或导入哈希值）来指纹识别二进制文件，这会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

关键词

process.parent.pe.original_file_name

在编译时提供的文件的内部名称。

关键词

process.parent.pe.product

在编译时提供的文件的内部产品名称。

关键词

process.parent.pgid

将在下一个主要版本中弃用并删除。此字段已由 process.group_leader.pid 取代。进程所属的进程组的标识符。

长整型

process.parent.pid

进程 ID。

长整型

process.parent.start

进程启动的时间。

日期

process.parent.thread.id

线程 ID。

长整型

process.parent.thread.name

线程名称。

关键词

process.parent.title

进程标题。proctitle，有时与进程名称相同。也可以不同：例如，浏览器将其标题设置为当前打开的网页。

关键词

process.parent.title.text

process.parent.title 的多字段。

match_only_text

process.parent.uptime

进程已运行的秒数。

长整型

process.parent.working_directory

进程的工作目录。

关键词

process.parent.working_directory.text

process.parent.working_directory 的多字段。

match_only_text

process.pe.architecture

文件的 CPU 架构目标。

关键词

process.pe.company

在编译时提供的文件的内部公司名称。

关键词

process.pe.description

在编译时提供的文件的内部描述。

关键词

process.pe.file_version

在编译时提供的文件的内部版本。

关键词

process.pe.imphash

PE 文件中导入的哈希值。即使在重新编译或发生其他代码级转换之后，也可以使用 imphash（或导入哈希值）来指纹识别二进制文件，这会更改更传统的哈希值。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。

关键词

process.pe.original_file_name

在编译时提供的文件的内部名称。

关键词

process.pe.product

在编译时提供的文件的内部产品名称。

关键词

process.pgid

将在下一个主要版本中弃用并删除。此字段已由 process.group_leader.pid 取代。进程所属的进程组的标识符。

长整型

process.pid

进程 ID。

长整型

process.start

进程启动的时间。

日期

process.thread.id

线程 ID。

长整型

process.thread.name

线程名称。

关键词

process.title

进程标题。proctitle，有时与进程名称相同。也可以不同：例如，浏览器将其标题设置为当前打开的网页。

关键词

process.title.text

process.title 的多字段。

match_only_text

process.uptime

进程已运行的秒数。

长整型

process.working_directory

进程的工作目录。

关键词

process.working_directory.text

process.working_directory 的多字段。

match_only_text

registry.data.bytes

使用 base64 编码写入的原始字节。对于 Windows 注册表操作（例如 SetValueEx 和 RegQueryValueEx），这对应于 lp_data 指向的数据。这是可选的，但可以提供更好的可恢复性，并且应该为 REG_BINARY 编码的值填充。

关键词

registry.data.strings

写入字符串类型时的内容。写入字符串数据到注册表时，填充为数组。对于单个字符串注册表类型（REG_SZ、REG_EXPAND_SZ），这应该是一个包含一个字符串的数组。对于具有 REG_MULTI_SZ 的字符串序列，此数组的长度是可变的。对于数值数据（例如 REG_DWORD 和 REG_QWORD），这应该用十进制表示形式填充（例如 "1"）。

wildcard

registry.data.type

用于编码内容的标准注册表类型

关键词

registry.hive

配置单元的缩写名称。

关键词

registry.key

配置单元相关的键路径。

关键词

registry.path

完整路径，包括配置单元、键和值

关键词

registry.value

写入的值的名称。

关键词

related.hash

在您的事件中看到的所有哈希。填充此字段，然后使用它来搜索哈希，可以在您不确定哈希算法是什么（因此要搜索哪个键名称）的情况下提供帮助。

关键词

related.hosts

在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。

关键词

related.ip

在您的事件中看到的所有 IP。

ip

related.user

在事件中看到的所有用户名或其他用户标识符。

关键词

rule.author

创建此事件的规则的作者的姓名、组织或笔名。

关键词

rule.category

实体使用规则来检测此事件时使用的分类值关键字。

关键词

rule.description

生成事件的规则的描述。

关键词

rule.id

在代理、观察者或其他使用规则检测此事件的实体的范围内唯一的规则 ID。

关键词

rule.license

用于生成此事件的规则所依据的许可证名称。

关键词

rule.name

生成事件的规则或签名的名称。

关键词

rule.reference

指向关于用于生成此事件的规则的更多信息的参考 URL。该 URL 可以指向供应商关于该规则的文档。如果该文档不可用，也可以是指向描述此类警报的更通用页面的链接。

关键词

rule.ruleset

用于生成此事件的规则所属的规则集、策略、组或父类别的名称。

关键词

rule.uuid

在用于检测此事件的一组或一组代理、观察者或其他实体的范围内唯一的规则 ID。

关键词

rule.version

用于分析的规则的版本/修订号。

关键词

server.address

一些事件服务器地址的定义不明确。事件有时会列出 IP、域名或 unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后，应将其复制到 .ip 或 .domain，具体取决于它是哪个。

关键词

server.as.organization.name

组织名称。

关键词

server.as.organization.name.text

server.as.organization.name 的多字段。

match_only_text

server.bytes

从服务器发送到客户端的字节数。

长整型

server.domain

服务器系统的域名。此值可以是主机名、完全限定的域名或其他主机命名格式。该值可能来自原始事件或从富化中添加。

关键词

server.ip

服务器的 IP 地址（IPv4 或 IPv6）。

ip

server.mac

服务器的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值，作为无符号整数。连续的八位字节用连字符分隔。

关键词

server.nat.ip

基于目标 NAT 会话转换后的目标 IP 地址（例如，从互联网到私有 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

ip

server.nat.port

基于目标 NAT 会话的转换端口（例如，从 Internet 到私有 DMZ）。通常与负载均衡器、防火墙或路由器一起使用。

长整型

server.packets

从服务器发送到客户端的数据包数。

长整型

server.port

服务器的端口。

长整型

server.registered_domain

剥离子域的最高注册服务器域。例如，“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定此值。尝试通过简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 不会很好地工作。

关键词

server.top_level_domain

有效的顶级域 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域是“com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。尝试通过简单地获取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 不会很好地工作。

关键词

server.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

关键词

server.user.email

用户电子邮件地址。

关键词

server.user.full_name

用户的全名（如果可用）。

关键词

server.user.full_name.text

server.user.full_name 的多字段。

match_only_text

server.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

关键词

server.user.group.id

系统/平台上组的唯一标识符。

关键词

server.user.group.name

组的名称。

关键词

server.user.hash

唯一的用户哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息且无法使用，则此功能非常有用。

关键词

server.user.id

用户的唯一标识符。

关键词

server.user.name

用户的简称或登录名。

关键词

server.user.name.text

server.user.name 的多字段。

match_only_text

server.user.roles

事件发生时用户的角色数组。

关键词

service.ephemeral_id

此服务的临时标识符（如果存在）。此 ID 通常会在重启后发生变化，但 service.id 不会。

关键词

service.id

正在运行的服务的唯一标识符。如果服务由多个节点组成，则所有节点的 service.id 应相同。此 ID 应唯一标识该服务。这使得可以关联特定服务的日志和指标，无论哪个特定节点发出了事件。请注意，如果您需要查看来自服务的特定主机的事件，则应改为根据该 host.name 或 host.id 进行过滤。

关键词

service.name

从中收集数据的服务的名称。服务的名称通常是用户给定的。这允许在多个主机上运行的分布式服务基于名称关联相关实例。在 Elasticsearch 的情况下，service.name 可以包含集群名称。对于 Beats，如果未指定名称，则 service.name 默认是 service.type 字段的副本。

关键词

service.node.name

服务节点的名称。这允许区分在同一主机上运行的同一服务的两个节点。因此，service.node.name 通常在给定服务的节点之间应该是唯一的。在 Elasticsearch 的情况下，service.node.name 可以包含 Elasticsearch 集群内的唯一节点名称。在服务没有节点名称概念的情况下，可以使用主机名或容器名称来区分构成此服务的正在运行的实例。如果这些不能提供唯一性（例如，在同一主机上运行的服务的多个实例） - 可以手动设置节点名称。

关键词

service.state

服务的当前状态。

关键词

service.type

从中收集服务数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 收集日志或指标，则 service.type 将为 elasticsearch。

关键词

service.version

从中收集数据的服务的版本。这允许仅查看特定服务版本的数据集。

关键词

source.address

一些事件源地址的定义不明确。事件有时会列出 IP、域名或 unix 套接字。您应该始终将原始地址存储在 .address 字段中。然后，应将其复制到 .ip 或 .domain，具体取决于它是哪个。

关键词

source.as.number

分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识互联网上的每个网络。

长整型

source.as.organization.name

组织名称。

关键词

source.as.organization.name.text

source.as.organization.name 的多字段。

match_only_text

source.bytes

从源发送到目标的字节数。

长整型

source.domain

源系统的域名。此值可以是主机名、完全限定的域名或其他主机命名格式。该值可能来自原始事件或从富化中添加。

关键词

source.geo.city_name

城市名称。

关键词

source.geo.continent_name

大洲名称。

关键词

source.geo.country_iso_code

国家/地区 ISO 代码。

关键词

source.geo.country_name

国家/地区名称。

关键词

source.geo.location

经度和纬度。

geo_point

source.geo.name

用户定义的位置描述，在他们关心的粒度级别上。可能是其数据中心的名称、楼层号（如果这描述的是本地物理实体）或城市名称。通常不用于自动地理位置。

关键词

source.geo.region_iso_code

地区 ISO 代码。

关键词

source.geo.region_name

地区名称。

关键词

source.ip

源的 IP 地址（IPv4 或 IPv6）。

ip

source.mac

源的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值，作为无符号整数。连续的八位字节用连字符分隔。

关键词

source.nat.ip

基于源 NAT 会话的转换 IP（例如，内部客户端到 Internet）。通常是遍历负载均衡器、防火墙或路由器的连接。

ip

source.nat.port

基于源 NAT 会话的转换端口。（例如，内部客户端到 Internet）通常与负载均衡器、防火墙或路由器一起使用。

长整型

source.packets

从源发送到目标的数据包数。

长整型

source.port

源的端口。

长整型

source.registered_domain

剥离子域的最高注册源域。例如，“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）等列表精确确定此值。尝试通过简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 不会很好地工作。

关键词

source.top_level_domain

有效的顶级域 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域是“com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。尝试通过简单地获取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 不会很好地工作。

关键词

source.user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

关键词

source.user.email

用户电子邮件地址。

关键词

source.user.full_name

用户的全名（如果可用）。

关键词

source.user.full_name.text

source.user.full_name 的多字段。

match_only_text

source.user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

关键词

source.user.group.id

系统/平台上组的唯一标识符。

关键词

source.user.group.name

组的名称。

关键词

source.user.hash

唯一的用户哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息且无法使用，则此功能非常有用。

关键词

source.user.id

用户的唯一标识符。

关键词

source.user.name

用户的简称或登录名。

关键词

source.user.name.text

source.user.name 的多字段。

match_only_text

source.user.roles

事件发生时用户的角色数组。

关键词

span.id

跨度在其跟踪范围内的唯一标识符。跨度表示事务中的操作，例如对另一个服务的请求或数据库查询。

关键词

tags

用于标记每个事件的关键字列表。

关键词

threat.framework

用于进一步分类和分类报告的威胁的策略和技术的威胁框架的名称。框架分类可以由检测系统提供，在摄取时评估，或以追溯方式标记到事件。

关键词

threat.tactic.id

此威胁使用的策略的 ID。例如，可以使用 MITRE ATT&CK® 策略。（例如 https://attack.mitre.org/tactics/TA0002/）

关键词

threat.tactic.name

此威胁使用的策略类型的名称。例如，可以使用 MITRE ATT&CK® 策略。（例如 https://attack.mitre.org/tactics/TA0002/）

关键词

threat.tactic.reference

此威胁使用的策略的参考 URL。例如，可以使用 MITRE ATT&CK® 策略。（例如 https://attack.mitre.org/tactics/TA0002/）

关键词

threat.technique.id

此威胁使用的技术的 ID。例如，可以使用 MITRE ATT&CK® 技术。（例如 https://attack.mitre.org/techniques/T1059/）

关键词

threat.technique.name

此威胁使用的技术的名称。例如，可以使用 MITRE ATT&CK® 技术。（例如 https://attack.mitre.org/techniques/T1059/）

关键词

threat.technique.name.text

threat.technique.name 的多字段。

match_only_text

threat.technique.reference

此威胁使用的技术的参考 URL。例如，可以使用 MITRE ATT&CK® 技术。（例如 https://attack.mitre.org/techniques/T1059/）

关键词

tls.cipher

字符串，表示当前连接期间使用的密码。

关键词

tls.client.certificate

客户端提供的 PEM 编码的独立证书。这通常与 client.certificate_chain 互斥，因为该值也存在于该列表中。

关键词

tls.client.certificate_chain

构成客户端提供的证书链的 PEM 编码证书数组。这通常与 client.certificate 互斥，因为该值应该是链中的第一个证书。

关键词

tls.client.hash.md5

使用客户端提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

关键词

tls.client.hash.sha1

使用客户端提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

关键词

tls.client.hash.sha256

使用客户端提供的证书的 DER 编码版本的 SHA256 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

关键词

tls.client.issuer

客户端提供的 x.509 证书的颁发者主题的专有名称。

关键词

tls.client.ja3

一个哈希值，用于根据客户端执行 SSL/TLS 握手的方式来识别客户端。

关键词

tls.client.not_after

指示客户端证书不再被视为有效的时间/日期。

日期

tls.client.not_before

指示客户端证书首次被视为有效的时间/日期。

日期

tls.client.server_name

也称为 SNI，它告诉服务器客户端尝试连接的主机名。当此值可用时，应将其复制到 destination.domain。

关键词

tls.client.subject

客户端提供的 x.509 证书的主题的专有名称。

关键词

tls.client.supported_ciphers

客户端在客户端 hello 期间提供的密码数组。

关键词

tls.curve

字符串，表示给定密码使用的曲线（如果适用）。

关键词

tls.established

布尔标志，指示 TLS 协商是否成功并转换为加密隧道。

boolean

tls.next_protocol

字符串，表示正在隧道的协议。根据 IANA 注册表中的值（https://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml#alpn-protocol-ids），此字符串应为小写。

关键词

tls.resumed

布尔标志，指示此 TLS 连接是否从现有的 TLS 协商恢复。

boolean

tls.server.certificate

服务器提供的 PEM 编码的独立证书。这通常与 server.certificate_chain 互斥，因为该值也存在于该列表中。

关键词

tls.server.certificate_chain

构成服务器提供的证书链的 PEM 编码证书数组。这通常与 server.certificate 互斥，因为该值应该是链中的第一个证书。

关键词

tls.server.hash.md5

使用服务器提供的证书的 DER 编码版本的 MD5 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

关键词

tls.server.hash.sha1

使用服务器提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

关键词

tls.server.hash.sha256

使用服务器提供的证书的 DER 编码版本的 SHA256 摘要的证书指纹。为了与其他哈希值保持一致，此值应格式化为大写哈希。

关键词

tls.server.issuer

服务器提供的 x.509 证书的颁发者的主题。

关键词

tls.server.ja3s

一个哈希值，用于根据服务器执行 SSL/TLS 握手的方式来识别服务器。

关键词

tls.server.not_after

指示服务器证书不再被视为有效的时间戳。

日期

tls.server.not_before

指示服务器证书首次被视为有效的时间戳。

日期

tls.server.subject

服务器提供的 x.509 证书的主题。

关键词

tls.version

从原始字符串解析的版本号。

关键词

tls.version_protocol

从原始字符串解析的规范化小写协议名称。

关键词

trace.id

跟踪的唯一标识符。一个跟踪将多个事件（如属于一起的事务）分组在一起。例如，由多个互连服务处理的用户请求。

关键词

transaction.id

在其跟踪范围内事务的唯一标识符。事务是在服务中测量的最高级别的工作，例如对服务器的请求。

关键词

url.domain

URL 的域，例如 "https://elastic.ac.cn[www.elastic.co]"。在某些情况下，URL 可能直接引用 IP 和/或端口，而没有域名。在这种情况下，IP 地址将进入 domain 字段。如果 URL 包含由 [ 和 ] （IETF RFC 2732）括起来的文字 IPv6 地址，则 [ 和 ] 字符也应捕获在 domain 字段中。

关键词

url.extension

该字段包含原始请求 URL 中的文件扩展名，不包括前导点。仅当存在文件扩展名时才设置文件扩展名，因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如，该值必须是 "png"，而不是 ".png"。请注意，当文件名有多个扩展名 (example.tar.gz) 时，应仅捕获最后一个扩展名（"gz"，而不是 "tar.gz"）。

关键词

url.fragment

URL 中 # 之后的部分，例如 "top"。 # 不是片段的一部分。

关键词

url.full

如果完整的 URL 对您的用例很重要，则应将其存储在 url.full 中，无论此字段是重建的还是在事件源中存在的。

wildcard

url.full.text

url.full 的多字段。

match_only_text

url.original

事件源中看到的未修改的原始 URL。请注意，在网络监控中，观察到的 URL 可能是完整的 URL，而在访问日志中，URL 通常仅表示为路径。此字段旨在表示观察到的 URL，无论是否完整。

wildcard

url.original.text

url.original 的多字段。

match_only_text

url.password

请求的密码。

关键词

url.path

请求的路径，例如 "/search"。

wildcard

url.port

请求的端口，例如 443。

长整型

url.query

query 字段描述请求的查询字符串，例如 "q=elasticsearch"。查询字符串中不包括 ?。如果 URL 不包含 ?，则没有查询字段。如果存在 ? 但没有查询，则查询字段存在且为空字符串。 exists 查询可用于区分这两种情况。

关键词

url.registered_domain

最高的已注册 URL 域，已去除子域。例如，“foo.example.com” 的已注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表来精确地确定此值。尝试通过简单地获取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 将无法很好地工作。

关键词

url.scheme

请求的方案，例如 "https"。注意： : 不是方案的一部分。

关键词

url.top_level_domain

有效的顶级域 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域是“com”。可以使用公共后缀列表（http://publicsuffix.org）之类的列表精确确定此值。尝试通过简单地获取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 不会很好地工作。

关键词

url.username

请求的用户名。

关键词

user.domain

用户所属目录的名称。例如，LDAP 或 Active Directory 域名。

关键词

user.email

用户电子邮件地址。

关键词

user.full_name

用户的全名（如果可用）。

关键词

user.full_name.text

user.full_name 的多字段。

match_only_text

user.group.domain

组所属目录的名称。例如，LDAP 或 Active Directory 域名。

关键词

user.group.id

系统/平台上组的唯一标识符。

关键词

user.group.name

组的名称。

关键词

user.hash

唯一的用户哈希，用于以匿名形式关联用户的信息。如果 user.id 或 user.name 包含机密信息且无法使用，则此功能非常有用。

关键词

user.id

用户的唯一标识符。

关键词

user.name

用户的简称或登录名。

关键词

user.name.text

user.name 的多字段。

match_only_text

user.roles

事件发生时用户的角色数组。

关键词

user_agent.device.name

设备的名称。

关键词

user_agent.name

用户代理的名称。

关键词

user_agent.original

未解析的用户代理字符串。

关键词

user_agent.original.text

user_agent.original 的多字段。

match_only_text

user_agent.version

用户代理的版本。

关键词

vulnerability.category

漏洞影响的系统或架构的类型。这些可能是特定于平台的（例如，Debian 或 SUSE）或通用的（例如，数据库或防火墙）。例如（Qualys[https://qualysguard.qualys.com/qwebhelp/fo_portal/knowledgebase/vulnerability_categories.htm[Qualys 漏洞类别]）。此字段必须是一个数组。

关键词

vulnerability.classification

漏洞评分系统的分类。例如（https://www.first.org/cvss/）

关键词

vulnerability.description

漏洞的描述，提供有关漏洞的其他上下文。例如（Common[https://cve.mitre.org/about/faqs.html#cve_entry_descriptions_created[Common 漏洞和曝光 CVE 描述]）

关键词

vulnerability.description.text

vulnerability.description 的多字段。

match_only_text

vulnerability.enumeration

用于此漏洞的标识符类型。例如（https://cve.mitre.org/about/）

关键词

vulnerability.id

标识（ID）是漏洞条目的数字部分。它包括漏洞的唯一标识号。例如（Common[https://cve.mitre.org/about/faqs.html#what_is_cve_id)[Common 漏洞和曝光 CVE ID]）

关键词

vulnerability.reference

一种资源，提供有关已识别漏洞的其他信息、上下文和缓解措施。

关键词

vulnerability.report_id

报告或扫描标识号。

关键词

vulnerability.scanner.vendor

漏洞扫描器供应商的名称。

关键词

vulnerability.score.base

分数范围为 0.0 到 10.0，其中 10.0 最严重。基本分数涵盖对可利用性指标（攻击向量、复杂性、特权和用户交互）、影响指标（机密性、完整性和可用性）以及范围的评估。例如（https://www.first.org/cvss/specification-document）

float

vulnerability.score.environmental

分数范围为 0.0 到 10.0，其中 10.0 最严重。环境分数涵盖对任何修改的基本指标、机密性、完整性和可用性要求的评估。例如（https://www.first.org/cvss/specification-document）

float

vulnerability.score.temporal

分数范围为 0.0 到 10.0，其中 10.0 最严重。时间分数涵盖对代码成熟度、修复级别和置信度的评估。例如（https://www.first.org/cvss/specification-document）

float

vulnerability.score.version

国家漏洞数据库 (NVD) 为 CVSS v2.0 基本分数范围提供了“低”、“中”和“高”的定性严重性排名，以及 CVSS v3.0 规范中定义的 CVSS v3.0 的严重性评级。CVSS 由 FIRST.Org, Inc. (FIRST) 拥有和管理，FIRST.Org, Inc. (FIRST) 是一家位于美国的非营利组织，其使命是帮助全球的计算机安全事件响应团队。例如（https://nvd.nist.gov/vuln-metrics/cvss）

关键词

vulnerability.severity

漏洞的严重性可以帮助度量和内部优先级化修复。例如（https://nvd.nist.gov/vuln-metrics/cvss）

关键词

1.21.3

增强功能 (查看拉取请求)
在 SSH 登录失败时，向系统日志填充 event.outcome 和 event.category，并向系统日志添加 host.name 字段。

8.0.0 或更高版本

1.21.2

错误修复 (查看拉取请求)
在引用摄取管道中的变量时，使用三重大括号 Mustache 模板。

8.0.0 或更高版本

1.21.1

错误修复 (查看拉取请求)
在引用摄取管道中的变量时，使用三重大括号 Mustache 模板。

8.0.0 或更高版本

1.21.0

增强功能 (查看拉取请求)
更新软件包规范至 3.0.3。

8.0.0 或更高版本

1.20.1

增强功能 (查看拉取请求)
更改所有者

8.0.0 或更高版本

1.20.0

增强功能 (查看拉取请求)
ECS 版本更新至 8.11.0。

8.0.0 或更高版本

1.19.0

增强功能 (查看拉取请求)
改进 *event.original* 检查，以避免在设置时发生错误。

8.0.0 或更高版本

1.18.1

错误修复 (查看拉取请求)
删除从 ECS 导入的空组

8.0.0 或更高版本

1.18.0

增强功能 (查看拉取请求)
调整字段以适应文件系统信息的更改

8.0.0 或更高版本

1.17.1

错误修复 (查看拉取请求)
删除多余的正则表达式量词。

8.0.0 或更高版本

1.17.0

增强功能 (查看拉取请求)
将软件包 format_version 更新为 3.0.0。

8.0.0 或更高版本

1.16.2

错误修复 (查看拉取请求)
删除未使用的额外 ECS 字段声明。

8.0.0 或更高版本

1.16.1

错误修复 (查看拉取请求)
删除未使用的 ECS 字段声明。

8.0.0 或更高版本

1.16.0

增强功能 (查看拉取请求)
ECS 版本更新至 8.10.0。

8.0.0 或更高版本

1.15.0

增强功能 (查看拉取请求)
添加 tags.yml 文件，以便集成的仪表板和已保存的搜索标有“安全解决方案”标签并在安全解决方案 UI 中显示。

8.0.0 或更高版本

1.14.1

错误修复 (查看拉取请求)
修复系统日志 grok

8.0.0 或更高版本

1.14.0

增强功能 (查看拉取请求)
将软件包更新至 ECS 8.9.0。

8.0.0 或更高版本

1.13.1

错误修复 (查看拉取请求)
删除令人困惑的错误消息标签前缀。

8.0.0 或更高版本

1.13.0

增强功能 (查看拉取请求)
支持系统日志

8.0.0 或更高版本

1.12.0

增强功能 (查看拉取请求)
将软件包更新至 ECS 8.8.0。

8.0.0 或更高版本

1.11.0

增强功能 (查看拉取请求)
将软件包规范版本更新至 2.7.0。

8.0.0 或更高版本

1.10.0

增强功能 (查看拉取请求)
将软件包更新至 ECS 8.7.0。

8.0.0 或更高版本

1.9.1

增强功能 (查看拉取请求)
添加类别和/或子类别。

8.0.0 或更高版本

1.9.0

增强功能 (查看拉取请求)
支持没有 junos@ip 的较新日志

8.0.0 或更高版本

1.8.0

增强功能 (查看拉取请求)
将软件包更新至 ECS 8.6.0。

8.0.0 或更高版本

1.7.0

增强功能 (查看拉取请求)
向 UDP 输入添加 udp_options。

8.0.0 或更高版本

1.6.1

错误修复 (查看拉取请求)
删除重复字段。

8.0.0 或更高版本

1.6.0

增强功能 (查看拉取请求)
将软件包更新至 ECS 8.5.0。

8.0.0 或更高版本

1.5.2

错误修复 (查看拉取请求)
删除重复字段。

8.0.0 或更高版本

1.5.1

增强功能 (查看拉取请求)
使用 ECS geo.location 定义。

8.0.0 或更高版本

1.5.0

增强功能 (查看拉取请求)
将软件包更新至 ECS 8.4.0

8.0.0 或更高版本

1.4.1

增强功能 (查看拉取请求)
改进 TCP、SSL 配置描述和示例。

8.0.0 或更高版本

1.4.0

增强功能 (查看拉取请求)
将软件包更新至 ECS 8.3.0。

8.0.0 或更高版本

1.3.1

增强功能 (查看拉取请求)
添加指向瞻博网络文档的链接

8.0.0 或更高版本

1.3.0

增强功能 (查看拉取请求)
为 TCP 输入添加 TLS 和自定义选项支持

8.0.0 或更高版本

1.2.0

增强功能 (查看拉取请求)
更新至 ECS 8.2

8.0.0 或更高版本

1.1.2

增强功能 (查看拉取请求)
为多字段添加文档

8.0.0 或更高版本

1.1.1

错误修复 (查看拉取请求)
添加 Ingest Pipeline 脚本以映射 IANA 协议号

8.0.0 或更高版本

1.1.0

增强功能 (查看拉取请求)
更新至 ECS 8.0

8.0.0 或更高版本

1.0.1

错误修复 (查看拉取请求)
将测试公有 IP 更改为支持的子集

8.0.0 或更高版本

1.0.0

增强功能 (查看拉取请求)
从原始 Juniper 软件包拆分的新软件包的初始发布

8.0.0 或更高版本