Microsoft DNS 服务器审计和分析日志

@timestamp

事件时间戳。

日期

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机运行所在的可用区。

关键字

cloud.image.id

云实例的镜像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

Google Cloud 中项目的名称。

关键字

cloud.provider

云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机运行所在的区域。

关键字

container.id

唯一容器 ID。

关键字

container.image.name

构建容器所基于的镜像的名称。

关键字

container.labels

镜像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

destination.as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

长整型

destination.as.organization.name

组织名称。

关键字

destination.as.organization.name.text

destination.as.organization.name 的多字段。

仅匹配文本

destination.geo.city_name

城市名称。

关键字

destination.geo.continent_code

表示大洲名称的两位代码。

关键字

destination.geo.continent_name

大洲的名称。

关键字

destination.geo.country_iso_code

国家 ISO 代码。

关键字

destination.geo.country_name

国家名称。

关键字

destination.geo.location

经度和纬度。

地理点

destination.geo.name

用户定义的位置描述，达到他们关心的粒度级别。如果这描述的是本地物理实体，则可能是其数据中心的名称、楼层号、城市名称。通常不用于自动地理位置。

关键字

destination.geo.postal_code

与该位置关联的邮政编码。此字段的合适值也可能称为邮政编码或 ZIP 码，并且在不同国家/地区差异很大。

关键字

destination.geo.region_iso_code

区域 ISO 代码。

关键字

destination.geo.region_name

区域名称。

关键字

destination.geo.timezone

该位置的时区，例如 IANA 时区名称。

关键字

destination.ip

目标 IP 地址（IPv4 或 IPv6）。

IP

destination.port

目标的端口。

长整型

dns.header_flags

由 2 个字母组成的 DNS 标头标志数组。

关键字

dns.id

生成查询的程序分配的 DNS 数据包标识符。该标识符会被复制到响应中。

关键字

dns.question.name

正在查询的名称。如果名称字段包含不可打印的字符（低于 32 或高于 126），则应将这些字符表示为转义的 10 进制整数 (\DDD)。应转义反斜杠和引号。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

关键字

dns.question.type

正在查询的记录类型。

关键字

dns.response_code

DNS 响应代码。

关键字

ecs.version

此事件符合的 ECS 版本。ecs.version 是一个必填字段，并且必须存在于所有事件中。在跨多个可能符合略微不同的 ECS 版本的索引进行查询时，此字段允许集成调整到事件的架构版本。

关键字

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例包括 group-add、process-started、file-created。该值通常由实现者定义。

关键字

event.category

这是 ECS 分类字段的四个级别之一，表示 ECS 类别层次结构中的第二级。event.category 代表 ECS 类别的“大桶”。例如，筛选 event.category:process 将产生所有与进程活动相关的事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行适当的分类。

关键字

event.code

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确标识消息，而不管消息语言或随时间推移的措辞调整如何。Windows 事件 ID 就是一个例子。

关键字

event.created

event.created 包含代理或管道首次读取事件的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。可以使用此差异来计算源生成事件与代理首次处理该事件的时间之间的延迟。这可以用来监控代理或管道跟上事件源的能力。如果两个时间戳相同，则应使用 @timestamp。

日期

event.dataset

事件数据集。

常量关键字

event.ingested

事件到达中央数据存储的时间戳。这与 @timestamp 不同，后者是事件最初发生的时间。它也与 event.created 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳应按时间顺序如下所示：@timestamp < event.created < event.ingested。

日期

event.kind

这是 ECS 分类字段的四个级别之一，表示 ECS 类别层次结构中的最高级别。event.kind 提供了有关事件包含的信息类型的高级信息，而没有具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留期，不同的访问控制，它也有助于了解数据是否以固定的间隔进入。

关键字

event.module

事件模块。

常量关键字

event.original

整个事件的原始文本消息。用于演示日志完整性，或者在需要完整的日志消息（在将其拆分为多个部分之前）的情况下，例如用于重新索引。此字段未被索引，并且 doc_values 已禁用。它无法搜索，但可以从 _source 中检索。如果用户希望覆盖此项并索引此字段，请参阅 Elasticsearch 参考中的 字段数据类型。

关键字

event.outcome

这是 ECS 分类字段的四个级别之一，表示 ECS 类别层次结构中的最低级别。event.outcome 简单地表示从生成事件的实体的角度来看，事件是成功还是失败。请注意，当单个事务在多个事件中描述时，根据它们的角度，每个事件可能会填充不同的 event.outcome 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充从事件生产者角度来看最能捕获总体成功或失败的值。还要注意，并非所有事件都会有相关的结果。例如，此字段通常不为指标事件、具有 event.type:info 的事件或任何结果没有逻辑意义的事件填充。

关键字

event.provider

事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提到事件的来源。它可以是生成事件的软件的名称（例如，Sysmon，httpd）或操作系统子系统（内核，Microsoft-Windows-Security-Auditing）。

关键字

event.reason

根据来源，此事件发生的原因。这描述了事件中捕获的特定操作或结果的原因。event.action 从事件中捕获操作，而 event.reason 描述了采取该操作的原因。例如，一个具有拒绝请求的 event.action 的 Web 代理，也可以用其原因（例如 阻止的站点）填充 event.reason。

关键字

event.severity

根据事件源，事件的数字严重性。不同的严重性值含义在不同的来源和用例之间可能有所不同。由实施者来确保来自同一来源的事件的严重性保持一致。Syslog 严重性属于 log.syslog.severity.code。event.severity 旨在表示根据事件源（例如，防火墙，IDS）的严重性。如果事件源未发布其自身的严重性，则可以选择将 log.syslog.severity.code 复制到 event.severity。

长整型

event.type

这是 ECS 分类字段的四个级别之一，表示 ECS 类别层次结构中的第三级。event.type 表示一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件筛选到适合单个可视化的级别。此字段是一个数组。这将允许对属于多种事件类型的某些事件进行适当的分类。

关键字

host.architecture

操作系统架构。

关键字

host.containerized

如果主机是容器。

布尔值

host.domain

主机所属域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的 hostname。它通常包含主机上 hostname 命令返回的内容。

关键字

host.id

唯一的主机 ID。由于 hostname 并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前 beat.name 的用法。

关键字

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容，完全限定的域名或用户指定的名称。发送者决定使用哪个值。

关键字

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号（如果有）。

关键字

host.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

关键字

host.os.kernel

操作系统的内核版本（原始字符串）。

关键字

host.os.name

操作系统名称（不包含版本）。

关键字

host.os.name.text

host.os.name 的多字段。

文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

关键字

host.os.version

操作系统的版本（原始字符串）。

关键字

host.type

主机类型。对于云提供商，这可以是 t2.medium 之类的机器类型。如果为 vm，则可以是容器，例如，或在您的环境中具有其他意义的信息。

关键字

input.type

输入类型。

关键字

log.file.path

此事件的日志文件的完整路径，包括文件名。应包含驱动器盘符（如果适用）。如果该事件不是从日志文件中读取的，则不要填充此字段。

关键字

log.level

日志事件的原始日志级别。如果事件源提供日志级别或文本严重性，则此日志级别或文本严重性将放入 log.level 中。如果您的来源没有指定级别或严重性，则可以将事件传输的严重性放在此处（例如，Syslog 严重性）。一些示例是 warn、err、i、informational。

关键字

microsoft_dnsserver.analytical.additional_info

与事件相关的任何其他信息。

关键字

microsoft_dnsserver.analytical.bytes_sent

DNS 响应中发送的字节数。

长整型

microsoft_dnsserver.analytical.cache_scope

指示 DNS 数据是否来自缓存以及该缓存的范围。

关键字

microsoft_dnsserver.analytical.description

事件的文本描述。

关键字

microsoft_dnsserver.analytical.destination.ip

发送 DNS 查询或接收响应的目标的 IP 地址。

IP

microsoft_dnsserver.analytical.destination.port

DNS 事务中使用的目标主机上的网络端口。

长整型

microsoft_dnsserver.analytical.dnssec

指示 DNS 事务中是否使用了 DNSSEC（DNS 安全扩展）。

关键字

microsoft_dnsserver.analytical.elapsed_time

处理 DNS 查询或事务所需的时间。

关键字

microsoft_dnsserver.analytical.forward_interface_ip

用于将 DNS 查询转发到上游服务器的网络接口的 IP 地址。

IP

microsoft_dnsserver.analytical.guid

与事件关联的全局唯一标识符。

关键字

microsoft_dnsserver.analytical.interface_ip

处理事务的 DNS 服务器上的网络接口的 IP 地址。

关键字

microsoft_dnsserver.analytical.keywords

与事件关联的关键字，用于分类或筛选。

关键字

microsoft_dnsserver.analytical.packet_data

DNS 数据包的原始数据。

关键字

microsoft_dnsserver.analytical.policy_name

影响 DNS 查询或响应处理的任何策略的名称。

关键字

microsoft_dnsserver.analytical.queries_attached

与 DNS 服务器中的特定事件或事务关联的查询数。

关键字

microsoft_dnsserver.analytical.question_name

DNS 请求中查询的域名。

关键字

microsoft_dnsserver.analytical.question_type

DNS 查询的类型，例如，A、AAAA、MX 等。

关键字

microsoft_dnsserver.analytical.qxid

查询事务标识符。

关键字

microsoft_dnsserver.analytical.reason

DNS 事务期间采取的任何操作的原因。

关键字

microsoft_dnsserver.analytical.recursion_depth

用于解析 DNS 查询的递归深度。

关键字

microsoft_dnsserver.analytical.recursion_scope

指示 DNS 查询处理中允许的递归范围。

关键字

microsoft_dnsserver.analytical.response_code

DNS 响应代码，例如 NOERROR、NXDOMAIN 等。

关键字

microsoft_dnsserver.analytical.scope

日志或事件的一般范围，可能表示上下文或影响的范围。

关键字

microsoft_dnsserver.analytical.secure

指示事务是否通过安全通道进行。

关键字

microsoft_dnsserver.analytical.source.ip

发起 DNS 查询的源的 IP 地址。

IP

microsoft_dnsserver.analytical.source.port

DNS 事务中使用的源主机上的网络端口。

长整型

microsoft_dnsserver.analytical.xid

DNS 请求的事务标识符。

关键字

microsoft_dnsserver.analytical.zone

作为查询主题或受事件影响的 DNS 区域。

关键字

microsoft_dnsserver.analytical.zone_scope

指定事件中涉及的 DNS 区域的范围。

关键字

network.bytes

双向传输的总字节数。如果已知 source.bytes 和 destination.bytes，则 network.bytes 是它们的总和。

长整型

network.direction

网络流量的方向。当从基于主机的监控上下文中映射事件时，请从主机的角度填充此字段，使用值“ingress”或“egress”。当从基于网络或边界的监控上下文中映射事件时，请从网络边界的角度填充此字段，使用值“inbound”、“outbound”、“internal”或“external”。请注意，“internal”不跨越边界，旨在描述边界内两台主机之间的通信。另请注意，“external”旨在描述两个位于边界之外的主机之间的流量。例如，这对于 ISP 或 VPN 服务提供商可能很有用。

关键字

network.protocol

在 OSI 模型中，这将是应用层协议。例如，http、dns 或 ssh。为了进行查询，字段值必须规范化为小写。

关键字

network.transport

与 network.iana_number 相同，但使用的是传输层的关键字名称（udp、tcp、ipv6-icmp 等）。为了进行查询，字段值必须规范化为小写。

关键字

process.pid

进程 ID。

长整型

process.thread.id

线程 ID。

长整型

related.ip

您的事件中看到的所有 IP。

IP

source.as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

长整型

source.as.organization.name

组织名称。

关键字

source.as.organization.name.text

source.as.organization.name 的多字段。

仅匹配文本

source.geo.city_name

城市名称。

关键字

source.geo.continent_code

表示大洲名称的两位代码。

关键字

source.geo.continent_name

大洲的名称。

关键字

source.geo.country_iso_code

国家 ISO 代码。

关键字

source.geo.country_name

国家名称。

关键字

source.geo.location

经度和纬度。

地理点

source.geo.name

用户定义的位置描述，达到他们关心的粒度级别。如果这描述的是本地物理实体，则可能是其数据中心的名称、楼层号、城市名称。通常不用于自动地理位置。

关键字

source.geo.postal_code

与该位置关联的邮政编码。此字段的合适值也可能称为邮政编码或 ZIP 码，并且在不同国家/地区差异很大。

关键字

source.geo.region_iso_code

区域 ISO 代码。

关键字

source.geo.region_name

区域名称。

关键字

source.geo.timezone

该位置的时区，例如 IANA 时区名称。

关键字

source.ip

源的 IP 地址（IPv4 或 IPv6）。

IP

source.port

源的端口。

长整型

tags

用于标记每个事件的关键字列表。

关键字

winlog.activity_id

一个全局唯一标识符，用于标识当前活动。使用此标识符发布的事件是同一活动的一部分。

关键字

winlog.channel

用于启用特殊事件处理。小于 16 的通道值保留供 Microsoft 使用，以启用 ETW 运行时的特殊处理。ETW 运行时将忽略 16 及以上的通道值（与通道 0 的处理方式相同），并且可以赋予用户定义的语义。

关键字

winlog.flags

提供有关事件的信息的标志，例如记录事件的会话类型以及事件是否包含扩展数据。

关键字

winlog.keywords

关键字用于对事件进行分类。

关键字

winlog.opcode

用于使用特殊语义标记事件的代码。内部 ETW 元数据。

关键字

winlog.provider_guid

一个全局唯一标识符，用于标识记录事件的提供程序。

关键字

winlog.session

配置的会话，用于将 ETW 事件从提供程序转发到使用者。

关键字

winlog.task

事件期间执行的任务类型的分类标识符。

关键字

winlog.version

指定基于清单的事件的版本。

长整型

@timestamp

事件时间戳。

日期

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机运行所在的可用区。

关键字

cloud.image.id

云实例的镜像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

Google Cloud 中项目的名称。

关键字

cloud.provider

云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机运行所在的区域。

关键字

container.id

唯一容器 ID。

关键字

container.image.name

构建容器所基于的镜像的名称。

关键字

container.labels

镜像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

dns.answers.ttl

此资源记录在应丢弃之前可以缓存的时间间隔（以秒为单位）。零值表示不应缓存数据。

长整型

dns.question.name

正在查询的名称。如果名称字段包含不可打印的字符（低于 32 或高于 126），则应将这些字符表示为转义的 10 进制整数 (\DDD)。应转义反斜杠和引号。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。

关键字

dns.question.type

正在查询的记录类型。

关键字

ecs.version

此事件符合的 ECS 版本。ecs.version 是一个必填字段，并且必须存在于所有事件中。在跨多个可能符合略微不同的 ECS 版本的索引进行查询时，此字段允许集成调整到事件的架构版本。

关键字

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例包括 group-add、process-started、file-created。该值通常由实现者定义。

关键字

event.category

这是 ECS 分类字段的四个级别之一，表示 ECS 类别层次结构中的第二级。event.category 代表 ECS 类别的“大桶”。例如，筛选 event.category:process 将产生所有与进程活动相关的事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行适当的分类。

关键字

event.code

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确标识消息，而不管消息语言或随时间推移的措辞调整如何。Windows 事件 ID 就是一个例子。

关键字

event.created

event.created 包含代理或管道首次读取事件的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。可以使用此差异来计算源生成事件与代理首次处理该事件的时间之间的延迟。这可以用来监控代理或管道跟上事件源的能力。如果两个时间戳相同，则应使用 @timestamp。

日期

event.dataset

事件数据集。

常量关键字

event.ingested

事件到达中央数据存储的时间戳。这与 @timestamp 不同，后者是事件最初发生的时间。它也与 event.created 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳应按时间顺序如下所示：@timestamp < event.created < event.ingested。

日期

event.kind

这是 ECS 分类字段的四个级别之一，表示 ECS 类别层次结构中的最高级别。event.kind 提供了有关事件包含的信息类型的高级信息，而没有具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留期，不同的访问控制，它也有助于了解数据是否以固定的间隔进入。

关键字

event.module

事件模块。

常量关键字

event.original

整个事件的原始文本消息。用于演示日志完整性，或者在需要完整的日志消息（在将其拆分为多个部分之前）的情况下，例如用于重新索引。此字段未被索引，并且 doc_values 已禁用。它无法搜索，但可以从 _source 中检索。如果用户希望覆盖此项并索引此字段，请参阅 Elasticsearch 参考中的 字段数据类型。

关键字

event.provider

事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提到事件的来源。它可以是生成事件的软件的名称（例如，Sysmon，httpd）或操作系统子系统（内核，Microsoft-Windows-Security-Auditing）。

关键字

event.type

这是 ECS 分类字段的四个级别之一，表示 ECS 类别层次结构中的第三级。event.type 表示一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件筛选到适合单个可视化的级别。此字段是一个数组。这将允许对属于多种事件类型的某些事件进行适当的分类。

关键字

file.path

文件的完整路径，包括文件名。它应包括驱动器号（如果适用）。

关键字

file.path.text

file.path 的多字段。

仅匹配文本

host.architecture

操作系统架构。

关键字

host.containerized

如果主机是容器。

布尔值

host.domain

主机所属域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的 hostname。它通常包含主机上 hostname 命令返回的内容。

关键字

host.id

唯一的主机 ID。由于 hostname 并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前 beat.name 的用法。

关键字

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容，完全限定的域名或用户指定的名称。发送者决定使用哪个值。

关键字

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号（如果有）。

关键字

host.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

关键字

host.os.kernel

操作系统的内核版本（原始字符串）。

关键字

host.os.name

操作系统名称（不包含版本）。

关键字

host.os.name.text

host.os.name 的多字段。

文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

关键字

host.os.version

操作系统的版本（原始字符串）。

关键字

host.type

主机类型。对于云提供商，这可以是 t2.medium 之类的机器类型。如果为 vm，则可以是容器，例如，或在您的环境中具有其他意义的信息。

关键字

input.type

输入类型。

关键字

log.file.path

此事件的日志文件的完整路径，包括文件名。应包含驱动器盘符（如果适用）。如果该事件不是从日志文件中读取的，则不要填充此字段。

关键字

log.level

日志事件的原始日志级别。如果事件源提供日志级别或文本严重性，则此日志级别或文本严重性将放入 log.level 中。如果您的来源没有指定级别或严重性，则可以将事件传输的严重性放在此处（例如，Syslog 严重性）。一些示例是 warn、err、i、informational。

关键字

microsoft_dnsserver.audit.action

关键字

microsoft_dnsserver.audit.active_key

关键字

microsoft_dnsserver.audit.base64_data

关键字

microsoft_dnsserver.audit.bytes_sent

关键字

microsoft_dnsserver.audit.child_zone

关键字

microsoft_dnsserver.audit.client_subnet_list

关键字

microsoft_dnsserver.audit.client_subnet_record

关键字

microsoft_dnsserver.audit.condition

关键字

microsoft_dnsserver.audit.criteria

关键字

microsoft_dnsserver.audit.crypto_algorithm

关键字

microsoft_dnsserver.audit.current_rollover_status

关键字

microsoft_dnsserver.audit.current_state

关键字

microsoft_dnsserver.audit.denial_of_existence

关键字

microsoft_dnsserver.audit.digest

关键字

microsoft_dnsserver.audit.digest_type

关键字

microsoft_dnsserver.audit.distribute_trust_anchor

关键字

microsoft_dnsserver.audit.ds_record_generation_algorithm

关键字

microsoft_dnsserver.audit.ds_record_set_ttl

关键字

microsoft_dnsserver.audit.ds_signature_validity_periodzx

关键字

microsoft_dnsserver.audit.enable_rfc_5011_key_rollover

关键字

microsoft_dnsserver.audit.errors_per_second

关键字

microsoft_dnsserver.audit.event_string

关键字

microsoft_dnsserver.audit.file_path

关键字

microsoft_dnsserver.audit.forwarders

关键字

microsoft_dnsserver.audit.friendly_name

关键字

microsoft_dnsserver.audit.guid

关键字

microsoft_dnsserver.audit.initial_rollover_offset

关键字

microsoft_dnsserver.audit.ipv4_prefix_length

关键字

microsoft_dnsserver.audit.ipv6_prefix_length

关键字

microsoft_dnsserver.audit.is_enabled

关键字

microsoft_dnsserver.audit.is_key_master_server

关键字

microsoft_dnsserver.audit.key_id

关键字

microsoft_dnsserver.audit.key_length

关键字

microsoft_dnsserver.audit.key_master_server

关键字

microsoft_dnsserver.audit.key_or_zone

关键字

microsoft_dnsserver.audit.key_protocol

关键字

microsoft_dnsserver.audit.key_record_set_ttl

关键字

microsoft_dnsserver.audit.key_signature_validity_period

关键字

microsoft_dnsserver.audit.key_storage_provider

关键字

microsoft_dnsserver.audit.key_tag

关键字

microsoft_dnsserver.audit.key_type

关键字

microsoft_dnsserver.audit.ksk_or_zsk

关键字

microsoft_dnsserver.audit.last_rollover_time

关键字

microsoft_dnsserver.audit.leak_rate

关键字

microsoft_dnsserver.audit.listen_addresses

关键字

microsoft_dnsserver.audit.master_server

关键字

microsoft_dnsserver.audit.mode

关键字

microsoft_dnsserver.audit.name

关键字

microsoft_dnsserver.audit.name_server

关键字

microsoft_dnsserver.audit.new_friendly_name

关键字

microsoft_dnsserver.audit.new_property_values

关键字

microsoft_dnsserver.audit.new_scope

关键字

microsoft_dnsserver.audit.new_value

关键字

microsoft_dnsserver.audit.next_key

关键字

microsoft_dnsserver.audit.next_rollover_action

关键字

microsoft_dnsserver.audit.next_rollover_time

关键字

microsoft_dnsserver.audit.node_name

关键字

microsoft_dnsserver.audit.nsec3_hash_algorithm

关键字

microsoft_dnsserver.audit.nsec3_iterations

关键字

microsoft_dnsserver.audit.nsec3_opt_out

关键字

microsoft_dnsserver.audit.nsec3_random_salt_length

关键字

microsoft_dnsserver.audit.nsec3_user_salt

关键字

microsoft_dnsserver.audit.old_friendly_name

关键字

microsoft_dnsserver.audit.old_property_values

关键字

microsoft_dnsserver.audit.old_scope

关键字

microsoft_dnsserver.audit.parent_has_secure_delegation

关键字

microsoft_dnsserver.audit.policy

关键字

microsoft_dnsserver.audit.processing_order

关键字

microsoft_dnsserver.audit.propagation_time

关键字

microsoft_dnsserver.audit.property_key

关键字

microsoft_dnsserver.audit.question_name

关键字

microsoft_dnsserver.audit.question_type

关键字

microsoft_dnsserver.audit.recursion_scope

关键字

microsoft_dnsserver.audit.resolved_data

关键字

microsoft_dnsserver.audit.response_per_second

关键字

microsoft_dnsserver.audit.rollover_period

关键字

microsoft_dnsserver.audit.rollover_type

关键字

microsoft_dnsserver.audit.rrl_exception_list

关键字

microsoft_dnsserver.audit.scavenge_servers

关键字

microsoft_dnsserver.audit.scope

关键字

microsoft_dnsserver.audit.scope_weight

关键字

microsoft_dnsserver.audit.scope_weight_new

关键字

microsoft_dnsserver.audit.scope_weight_old

关键字

microsoft_dnsserver.audit.scopes

关键字

microsoft_dnsserver.audit.secure_delegation_polling_period

关键字

microsoft_dnsserver.audit.seized_or_transfered

关键字

microsoft_dnsserver.audit.setting

关键字

microsoft_dnsserver.audit.signature_inception_offset

关键字

microsoft_dnsserver.audit.source_ip

IP

microsoft_dnsserver.audit.standby_key

关键字

microsoft_dnsserver.audit.store_keys_in_AD

关键字

microsoft_dnsserver.audit.subtree_aging

关键字

microsoft_dnsserver.audit.tc_rate

关键字

microsoft_dnsserver.audit.total_responses_in_window

关键字

microsoft_dnsserver.audit.ttl

长整型

microsoft_dnsserver.audit.type

关键字

microsoft_dnsserver.audit.virtualization_id

关键字

microsoft_dnsserver.audit.window_size

关键字

microsoft_dnsserver.audit.with_new_keys

关键字

microsoft_dnsserver.audit.with_without

关键字

microsoft_dnsserver.audit.zone

关键字

microsoft_dnsserver.audit.zone_scope

关键字

microsoft_dnsserver.audit.zone_signature_validity_period

关键字

network.bytes

双向传输的总字节数。如果已知 source.bytes 和 destination.bytes，则 network.bytes 是它们的总和。

长整型

process.pid

进程 ID。

长整型

process.thread.id

线程 ID。

长整型

related.ip

您的事件中看到的所有 IP。

IP

related.user

事件中看到的所有用户名或其他用户标识符。

关键字

source.as.number

分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。

长整型

source.as.organization.name

组织名称。

关键字

source.as.organization.name.text

source.as.organization.name 的多字段。

仅匹配文本

source.geo.city_name

城市名称。

关键字

source.geo.continent_code

表示大洲名称的两位代码。

关键字

source.geo.continent_name

大洲的名称。

关键字

source.geo.country_iso_code

国家 ISO 代码。

关键字

source.geo.country_name

国家名称。

关键字

source.geo.location

经度和纬度。

地理点

source.geo.name

用户定义的位置描述，达到他们关心的粒度级别。如果这描述的是本地物理实体，则可能是其数据中心的名称、楼层号、城市名称。通常不用于自动地理位置。

关键字

source.geo.postal_code

与该位置关联的邮政编码。此字段的合适值也可能称为邮政编码或 ZIP 码，并且在不同国家/地区差异很大。

关键字

source.geo.region_iso_code

区域 ISO 代码。

关键字

source.geo.region_name

区域名称。

关键字

source.geo.timezone

该位置的时区，例如 IANA 时区名称。

关键字

source.ip

源的 IP 地址（IPv4 或 IPv6）。

IP

tags

用于标记每个事件的关键字列表。

关键字

winlog.activity_id

一个全局唯一标识符，用于标识当前活动。使用此标识符发布的事件是同一活动的一部分。

关键字

winlog.api

用于读取记录的事件日志 API 类型。可能的值为“wineventlog”（用于 Windows 事件日志 API）或“eventlogging”（用于事件日志记录 API）。事件日志记录 API 专为 Windows Server 2003 或 Windows 2000 操作系统而设计。在 Windows Vista 中，事件日志记录基础结构已重新设计。在 Windows Vista 或更高版本的操作系统上，使用 Windows 事件日志 API。Winlogbeat 会自动检测使用哪个 API 来读取事件日志。

关键字

winlog.channel

从中读取此记录的通道的名称。此值是配置中 event_logs 集合中的名称之一。

关键字

winlog.computer_name

生成记录的计算机的名称。当使用 Windows 事件转发时，此名称可能与 agent.hostname 不同。

关键字

winlog.event_id

事件标识符。该值特定于事件的源。

关键字

winlog.flags

提供有关事件的信息的标志，例如记录事件的会话类型以及事件是否包含扩展数据。

关键字

winlog.keywords

关键字用于对事件进行分类。

关键字

winlog.opcode

事件中定义的操作码。任务和操作码通常用于标识应用程序中记录事件的位置。

关键字

winlog.provider_guid

一个全局唯一标识符，用于标识记录事件的提供程序。

关键字

winlog.provider_name

事件日志记录的来源（记录该记录的应用程序或服务）。

关键字

winlog.record_id

事件日志记录的记录 ID。写入事件日志的第一个记录的记录号为 1，其他记录按顺序编号。如果记录号达到最大值（事件日志记录 API 为 2³²，Windows 事件日志 API 为 2⁶⁴），则下一个记录号将为 0。

关键字

winlog.related_activity_id

一个全局唯一标识符，用于标识控制权转移到的活动。然后，相关事件将此标识符作为其 activity_id 标识符。

关键字

winlog.task

事件期间执行的任务类型的分类标识符。

关键字

winlog.user.domain

与此事件关联的帐户所属的域。

关键字

winlog.user.identifier

与此事件关联的帐户的安全标识符 (SID)。

关键字

winlog.user.name

与此事件关联的用户的名称。

关键字

winlog.user.type

与此事件关联的帐户类型。

关键字

winlog.version

事件定义的版本号。

长整型

1.0.1

Bug 修复 (查看拉取请求)
在提取管道中引用变量时，使用三重大括号 Mustache 模板。

8.13.0 或更高版本

1.0.0

增强功能 (查看拉取请求)
以 GA 形式发布包

8.13.0 或更高版本

0.1.1

Bug 修复 (查看拉取请求)
将 error.code 转换为字符串

—

0.1.0

增强功能 (查看拉取请求)
初始版本

—