Netscout 集成
编辑Netscout 集成
编辑此集成用于 Netscout 设备的日志。它包括以下用于通过 syslog 接收日志或从文件读取的日志数据集
-
sightline数据集:支持 Arbor Peakflow SP 日志。
Sightline
编辑sightline 数据集收集 Arbor Peakflow SP 日志。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
client.domain |
客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件或通过富化添加。 |
关键字 |
client.registered_domain |
最高的已注册客户端域名,已剥离子域名。例如,“foo.example.com” 的已注册域名是 “example.com”。可以使用诸如公共后缀列表 ( http://publicsuffix.org ) 之类的列表精确确定此值。尝试通过简单地取最后两个标签来近似此值对于诸如 “co.uk” 之类的 TLD 效果不佳。 |
关键字 |
client.subdomain |
完全限定域名的子域名部分包括已注册域名下的所有名称,但不包括主机名。在部分限定域名中,或者如果无法确定全名的限定级别,则子域名包含已注册域名下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]” 的子域名部分是 “east”。如果域名具有多个子域名级别,例如 “sub2.sub1.example.com”,则子域名字段应包含 “sub2.sub1”,且不带尾随句点。 |
关键字 |
client.top_level_domain |
有效顶级域名 (eTLD),也称为域名后缀,是域名的最后一部分。例如,example.com 的顶级域名是 “com”。可以使用诸如公共后缀列表 ( http://publicsuffix.org ) 之类的列表精确确定此值。尝试通过简单地取最后一个标签来近似此值对于诸如 “co.uk” 之类的有效 TLD 效果不佳。 |
关键字 |
container.id |
唯一容器 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域名或 UNIX 套接字。您应始终将原始地址存储在 |
关键字 |
destination.as.number |
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
destination.as.organization.name |
组织名称。 |
关键字 |
destination.as.organization.name.text |
|
match_only_text |
destination.bytes |
从目标发送到源的字节数。 |
长整型 |
destination.domain |
目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能源自原始事件或通过富化添加。 |
关键字 |
destination.geo.city_name |
城市名称。 |
关键字 |
destination.geo.country_name |
国家/地区名称。 |
关键字 |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.ip |
目标 IP 地址(IPv4 或 IPv6)。 |
ip |
destination.mac |
目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
destination.nat.ip |
基于 NAT 会话(例如,Internet 到私有 DMZ)转换的目标 IP。通常与负载均衡器、防火墙或路由器一起使用。 |
ip |
destination.nat.port |
NAT 设备将源会话转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
destination.port |
目标的端口。 |
长整型 |
destination.registered_domain |
最高的已注册目标域名,已剥离子域名。例如,“foo.example.com” 的已注册域名是 “example.com”。可以使用诸如公共后缀列表 ( http://publicsuffix.org ) 之类的列表精确确定此值。尝试通过简单地取最后两个标签来近似此值对于诸如 “co.uk” 之类的 TLD 效果不佳。 |
关键字 |
destination.subdomain |
完全限定域名的子域名部分包括已注册域名下的所有名称,但不包括主机名。在部分限定域名中,或者如果无法确定全名的限定级别,则子域名包含已注册域名下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]” 的子域名部分是 “east”。如果域名具有多个子域名级别,例如 “sub2.sub1.example.com”,则子域名字段应包含 “sub2.sub1”,且不带尾随句点。 |
关键字 |
destination.top_level_domain |
有效顶级域名 (eTLD),也称为域名后缀,是域名的最后一部分。例如,example.com 的顶级域名是 “com”。可以使用诸如公共后缀列表 ( http://publicsuffix.org ) 之类的列表精确确定此值。尝试通过简单地取最后一个标签来近似此值对于诸如 “co.uk” 之类的有效 TLD 效果不佳。 |
关键字 |
dns.answers.name |
此资源记录所属的域名。如果要解析 CNAME 链,则每个答案的 |
关键字 |
dns.answers.type |
此资源记录中包含的数据类型。 |
关键字 |
dns.question.domain |
服务器域名。 |
关键字 |
dns.question.registered_domain |
最高的已注册域名,已剥离子域名。例如,“foo.example.com” 的已注册域名是 “example.com”。可以使用诸如公共后缀列表 ( http://publicsuffix.org ) 之类的列表精确确定此值。尝试通过简单地取最后两个标签来近似此值对于诸如 “co.uk” 之类的 TLD 效果不佳。 |
关键字 |
dns.question.subdomain |
子域名是已注册域名下的所有标签。如果域名具有多个子域名级别,例如 “sub2.sub1.example.com”,则子域名字段应包含 “sub2.sub1”,且不带尾随句点。 |
关键字 |
dns.question.top_level_domain |
有效顶级域名 (eTLD),也称为域名后缀,是域名的最后一部分。例如,example.com 的顶级域名是 “com”。可以使用诸如公共后缀列表 ( http://publicsuffix.org ) 之类的列表精确确定此值。尝试通过简单地取最后一个标签来近似此值对于诸如 “co.uk” 之类的有效 TLD 效果不佳。 |
关键字 |
dns.question.type |
正在查询的记录类型。 |
关键字 |
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这描述了事件中的信息。它比 |
关键字 |
event.code |
此事件的标识代码(如果存在)。一些事件源使用事件代码来明确标识消息,而不管消息语言或随时间推移的措辞调整如何。Windows 事件 ID 就是一个示例。 |
关键字 |
event.dataset |
事件数据集 |
constant_keyword |
event.ingested |
事件到达中央数据存储时的时间戳。这与 |
日期 |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或者可能需要完整日志消息(在将其拆分为多个部分之前)的地方,例如用于重新索引。此字段未被索引,并且 doc_values 被禁用。它不能被搜索,但可以从 |
关键字 |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
关键字 |
event.timezone |
当事件的时间戳不包含时区信息时(例如,默认的 Syslog 时间戳),应填充此字段。否则它是可选的。可接受的时区格式是:规范 ID(例如 “Europe/Amsterdam”)、缩写(例如 “EST”)或 HH:mm 时差(例如 “-05:00”)。 |
关键字 |
file.attributes |
文件属性数组。属性名称将因平台而异。以下是此字段中预期的非详尽值列表:archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。 |
关键字 |
file.directory |
文件所在的目录。它应包括驱动器盘符(如果适用)。 |
关键字 |
file.extension |
文件扩展名,不包括前导点。请注意,当文件名具有多个扩展名 (example.tar.gz) 时,应仅捕获最后一个扩展名(“gz”,而不是 “tar.gz”)。 |
关键字 |
file.name |
文件名,包含扩展名,不包含目录。 |
关键字 |
file.path |
文件的完整路径,包含文件名。如果适用,应包含驱动器盘符。 |
关键字 |
file.path.text |
|
match_only_text |
file.size |
文件大小,以字节为单位。仅当 |
长整型 |
file.type |
文件类型(file、dir 或 symlink)。 |
关键字 |
geo.city_name |
城市名称。 |
关键字 |
geo.country_name |
国家/地区名称。 |
关键字 |
geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心的名称、楼层号(如果描述的是本地物理实体)、城市名称。通常不用于自动地理位置定位。 |
关键字 |
geo.region_name |
地区名称。 |
关键字 |
group.id |
系统/平台上组的唯一标识符。 |
关键字 |
group.name |
组的名称。 |
关键字 |
host.hostname |
主机的hostname。通常包含主机上 |
关键字 |
host.ip |
主机IP地址。 |
ip |
host.mac |
主机MAC地址。建议使用 RFC 7042 中定义的表示格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。推荐值为主机的小写 FQDN。 |
关键字 |
http.request.method |
HTTP 请求方法。该值应保留原始事件中的大小写。例如, |
关键字 |
http.request.referrer |
此 HTTP 请求的引用。 |
关键字 |
input.type |
Filebeat 输入的类型。 |
关键字 |
log.file.path |
此事件来自的日志文件的完整路径。 |
关键字 |
log.flags |
日志文件的标志。 |
关键字 |
log.level |
日志事件的原始日志级别。如果事件源提供日志级别或文本严重性,则此级别将放入 |
关键字 |
log.offset |
日志文件中条目的偏移量。 |
长整型 |
log.source.address |
读取/发送日志事件的源地址。 |
关键字 |
log.syslog.facility.code |
日志事件的 Syslog 数字设备,如果可用。根据 RFC 5424 和 3164,此值应为 0 到 23 之间的整数。 |
长整型 |
log.syslog.priority |
事件的 Syslog 数字优先级,如果可用。根据 RFC 5424 和 3164,优先级为 8 * 设备 + 严重性。因此,此数字应包含 0 到 191 之间的值。 |
长整型 |
log.syslog.severity.code |
日志事件的 Syslog 数字严重性,如果可用。如果通过 Syslog 发布事件的事件源提供不同的数字严重性值(例如,防火墙、IDS),则您源的数字严重性应放入 |
长整型 |
message |
对于日志事件,message 字段包含日志消息,针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来以形成事件的人工可读摘要。如果存在多个消息,可以将它们组合成一个消息。 |
match_only_text |
network.application |
当从网络连接详细信息(源/目标 IP、端口、证书或线路格式)中识别出特定应用程序或服务时,此字段捕获应用程序或服务的名称。例如,原始事件识别出网络连接来自 |
关键字 |
network.bytes |
双向传输的总字节数。如果知道 |
长整型 |
network.direction |
网络流量的方向。从基于主机的监视上下文中映射事件时,从主机的角度填充此字段,使用值“ingress”或“egress”。从基于网络或边界的监视上下文中映射事件时,从网络边界的角度填充此字段,使用值“inbound”、“outbound”、“internal”或“external”。请注意,“internal”不跨越边界,旨在描述边界内两个主机之间的通信。另请注意,“external”旨在描述边界外部两个主机之间的流量。例如,这对 ISP 或 VPN 服务提供商很有用。 |
关键字 |
network.forwarded_ip |
当源 IP 地址为代理时的主机 IP 地址。 |
ip |
network.interface.name |
关键字 |
|
网络接口名称。 |
network.packets |
长整型 |
双向传输的总数据包数。如果知道 |
network.protocol |
关键字 |
在 OSI 模型中,这将是应用层协议。例如, |
observer.egress.interface.name |
关键字 |
系统报告的接口名称。 |
observer.egress.interface.name |
关键字 |
observer.ingress.interface.name |
观察者的产品名称。 |
关键字 |
observer.product |
数据来源的观察者类型。没有预定义的观察者类型列表。一些示例包括 |
关键字 |
observer.type |
观察者的供应商名称。 |
关键字 |
observer.vendor |
观察者版本。 |
关键字 |
observer.version |
进程名称。有时称为程序名称或类似名称。 |
关键字 |
process.name |
|
match_only_text |
process.name.text |
进程名称。有时称为程序名称或类似名称。 |
关键字 |
|
process.parent.name |
match_only_text |
父进程的进程 ID。 |
process.parent.name.text |
长整型 |
进程标题。proctitle,有时与进程名称相同。也可能不同:例如,浏览器将其标题设置为当前打开的网页。 |
process.parent.pid |
关键字 |
|
process.parent.title |
match_only_text |
进程 ID。 |
process.parent.name.text |
长整型 |
process.parent.title.text |
process.parent.pid |
关键字 |
|
process.pid |
match_only_text |
您事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 |
process.title |
关键字 |
您事件中看到的所有 IP。 |
process.title.text |
ip |
事件中看到的所有用户名或其他用户标识符。 |
related.hosts |
关键字 |
这是一个通用的计数器键,应仅与标签 dclass.c1.str 一起使用 |
related.ip |
长整型 |
这是一个通用的计数器字符串键,应仅与标签 dclass.c1 一起使用 |
related.user |
关键字 |
这是一个通用的计数器键,应仅与标签 dclass.c2.str 一起使用 |
rsa.counters.dclass_c1 |
长整型 |
这是一个通用的计数器字符串键,应仅与标签 dclass.c2 一起使用 |
rsa.counters.dclass_c1_str |
关键字 |
这是一个通用的计数器键,应仅与标签 dclass.c3.str 一起使用 |
rsa.counters.dclass_c2 |
长整型 |
这是一个通用的计数器字符串键,应仅与标签 dclass.c3 一起使用 |
rsa.counters.dclass_c2_str |
关键字 |
这是一个通用的比率键,应仅与标签 dclass.r1.str 一起使用 |
rsa.counters.dclass_c3 |
关键字 |
这是一个通用的比率字符串键,应仅与标签 dclass.r1 一起使用 |
rsa.counters.dclass_c3_str |
关键字 |
这是一个通用的比率键,应仅与标签 dclass.r2.str 一起使用 |
rsa.counters.dclass_r1 |
关键字 |
这是一个通用的比率字符串键,应仅与标签 dclass.r2 一起使用 |
rsa.counters.dclass_r1_str |
关键字 |
这是一个通用的比率键,应仅与标签 dclass.r3.str 一起使用 |
rsa.counters.dclass_r2 |
关键字 |
这是一个通用的比率字符串键,应仅与标签 dclass.r3 一起使用 |
rsa.counters.dclass_r2_str |
关键字 |
此项用于捕获事件重复的次数 |
rsa.counters.dclass_r3 |
长整型 |
此键仅用于捕获证书签名颁发机构 |
rsa.counters.dclass_r3_str |
关键字 |
rsa.crypto.cert_ca |
关键字 |
|
rsa.crypto.cert_checksum |
此键仅用于捕获证书通用名称 |
关键字 |
rsa.crypto.cert_common |
此键捕获证书错误字符串 |
关键字 |
rsa.crypto.cert_error |
此键用于证书的主机名类别值 |
关键字 |
rsa.crypto.cert_host_cat |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.crypto.cert_host_name |
关键字 |
|
rsa.crypto.cert_issuer |
关键字 |
|
rsa.crypto.cert_keysize |
此键仅用于捕获证书序列号 |
关键字 |
rsa.crypto.cert_serial |
此键捕获证书验证状态 |
关键字 |
rsa.crypto.cert_status |
此键仅用于捕获证书组织 |
关键字 |
rsa.crypto.cert_subject |
关键字 |
|
rsa.crypto.cert_username |
此键用于目标(服务器)密码 |
关键字 |
rsa.crypto.cipher_dst |
此键捕获目标(服务器)密码大小 |
长整型 |
rsa.crypto.cipher_size_dst |
此键捕获源(客户端)密码大小 |
长整型 |
rsa.crypto.cipher_size_src |
此键用于源(客户端)密码 |
关键字 |
rsa.crypto.cipher_src |
此键用于仅捕获加密类型或加密密钥 |
关键字 |
rsa.crypto.crypto |
关键字 |
|
rsa.crypto.d_certauth |
关键字 |
|
rsa.crypto.https_insact |
关键字 |
|
rsa.crypto.https_valid |
IKE 协商阶段。 |
关键字 |
rsa.crypto.ike |
协商的 ID - 为 ISAKMP 第一阶段发送 |
关键字 |
rsa.crypto.ike_cookie1 |
协商的 ID - 为 ISAKMP 第二阶段发送 |
关键字 |
rsa.crypto.ike_cookie2 |
此键用于加密对等方的 IP 地址 |
关键字 |
rsa.crypto.peer |
此键用于加密对等方的标识 |
关键字 |
rsa.crypto.peer_id |
关键字 |
|
rsa.crypto.s_certauth |
此键捕获使用的加密方案 |
关键字 |
rsa.crypto.scheme |
此键捕获签名类型 |
关键字 |
rsa.crypto.sig_type |
已弃用,请使用 version |
关键字 |
rsa.crypto.ssl_ver_dst |
已弃用,请使用 version |
关键字 |
rsa.crypto.ssl_ver_src |
此键用于捕获会话中看到的数据库或实例的名称 |
关键字 |
rsa.db.database |
此键用于捕获数据库的唯一标识符 |
关键字 |
rsa.db.db_id |
此键捕获与数据库服务器连接的进程 ID |
长整型 |
rsa.db.db_pid |
此键捕获索引的 IndexID。 |
关键字 |
rsa.db.index |
此键用于捕获数据库服务器实例名称 |
关键字 |
rsa.db.instance |
此键用于逻辑读取次数 |
长整型 |
rsa.db.lread |
此键用于逻辑写入次数 |
长整型 |
rsa.db.lwrite |
此键捕获分配给资源的权限或特权级别。 |
关键字 |
rsa.db.permissions |
此键用于物理写入次数 |
长整型 |
rsa.db.pread |
此键用于捕获表名 |
关键字 |
rsa.db.table_name |
此键捕获当前会话的 SQL 事务 ID |
关键字 |
rsa.db.transact_id |
此键用于捕获源或目标上下文不明确的通用电子邮件地址 |
关键字 |
rsa.email.email |
此键仅用于捕获目标电子邮件地址,当目标上下文不明确时,请使用 email |
关键字 |
rsa.email.email_dst |
此键仅用于捕获源电子邮件地址,当源上下文不明确时,请使用 email |
关键字 |
rsa.email.email_src |
此键用于仅从电子邮件捕获主题字符串。 |
关键字 |
rsa.email.subject |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.email.trans_from |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.email.trans_to |
此键用于捕获机器的当前状态,例如<strong>已列入黑名单</strong>、<strong>已感染</strong>、<strong>防火墙已禁用</strong>等等。 |
关键字 |
rsa.endpoint.registry_key |
此键捕获注册表项的路径 |
关键字 |
rsa.endpoint.registry_value |
此键捕获注册表项中使用的值或修饰符 |
关键字 |
rsa.file.attachment |
此键捕获附件文件名 |
关键字 |
rsa.file.binary |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.file.directory_dst |
<span>此键用于捕获目标进程或文件的目录</span> |
关键字 |
rsa.file.directory_src |
此键用于捕获源进程或文件的目录 |
关键字 |
rsa.file.file_entropy |
用于捕获文件的熵值 |
double |
rsa.file.file_vendor |
用于捕获位于 version_info 中的文件公司名称 |
关键字 |
rsa.file.filename_dst |
用于捕获操作所针对的文件名 |
关键字 |
rsa.file.filename_src |
用于捕获父文件名,即执行操作的文件名 |
关键字 |
rsa.file.filename_tmp |
关键字 |
|
rsa.file.filesystem |
关键字 |
|
rsa.file.privilege |
已弃用,请使用 permissions |
关键字 |
rsa.file.task_name |
用于捕获任务名称 |
关键字 |
rsa.healthcare.patient_fname |
此键仅用于名字,主要用于医疗保健领域以捕获患者信息 |
关键字 |
rsa.healthcare.patient_id |
此键捕获患者的唯一 ID |
关键字 |
rsa.healthcare.patient_lname |
此键仅用于姓氏,主要用于医疗保健领域以捕获患者信息 |
关键字 |
rsa.healthcare.patient_mname |
此键仅用于中间名,主要用于医疗保健领域以捕获患者信息 |
关键字 |
rsa.identity.accesses |
此键用于捕获访问对象时使用的实际特权 |
关键字 |
rsa.identity.auth_method |
此键仅用于捕获使用的身份验证方法 |
关键字 |
rsa.identity.dn |
X.500 (LDAP) 专有名称 |
关键字 |
rsa.identity.dn_dst |
在指示目标专有名称的上下文中使用 X.500 (LDAP) 专有名称 |
关键字 |
rsa.identity.dn_src |
在指示源专有名称的上下文中使用 X.500 (LDAP) 专有名称 |
关键字 |
rsa.identity.federated_idp |
此键是联合身份提供者。这是提供身份验证的服务器。 |
关键字 |
rsa.identity.federated_sp |
此键是联合服务提供商。这是请求身份验证的应用程序。 |
关键字 |
rsa.identity.firstname |
此键仅用于名字,主要用于医疗保健领域以捕获患者信息 |
关键字 |
rsa.identity.host_role |
此键应仅用于捕获主机角色的信息 |
关键字 |
rsa.identity.lastname |
此键仅用于姓氏,主要用于医疗保健领域以捕获患者信息 |
关键字 |
rsa.identity.ldap |
此键用于未解释的 LDAP 值。不具有明确查询或响应上下文的 LDAP 值 |
关键字 |
rsa.identity.ldap_query |
此键是来自 LDAP 搜索的搜索条件 |
关键字 |
rsa.identity.ldap_response |
此键用于捕获来自 LDAP 搜索的结果 |
关键字 |
rsa.identity.logon_type |
此键用于捕获使用的登录方法类型。 |
关键字 |
rsa.identity.logon_type_desc |
此键用于捕获存储在元键 logon.type 中的整数登录类型的文本描述。 |
关键字 |
rsa.identity.middlename |
此键仅用于中间名,主要用于医疗保健领域以捕获患者信息 |
关键字 |
rsa.identity.org |
此键捕获用户组织 |
关键字 |
rsa.identity.owner |
用于捕获进程或服务运行的用户名,任务的作者 |
关键字 |
rsa.identity.password |
此键用于在任何会话中看到的密码,纯文本或加密形式 |
关键字 |
rsa.identity.profile |
此键用于捕获用户配置文件 |
关键字 |
rsa.identity.realm |
Radius 域或类似的帐户分组 |
关键字 |
rsa.identity.service_account |
此键是 Windows 特定的键,用于捕获服务(在事件中引用)正在运行的帐户名称。旧用法 |
关键字 |
rsa.identity.user_dept |
仅限用户的部门名称 |
关键字 |
rsa.identity.user_role |
此键仅用于捕获用户的角色 |
关键字 |
rsa.identity.user_sid_dst |
此键捕获目标用户会话 ID |
关键字 |
rsa.identity.user_sid_src |
此键捕获源用户会话 ID |
关键字 |
rsa.internal.audit_class |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.internal.cid |
这是用于标识 NetWitness Concentrator 的唯一标识符。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.data |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.internal.dead |
仅在表映射中定义的已弃用键。 |
长整型 |
rsa.internal.device_class |
这是在预定义的固定事件源分类集下对日志事件源进行的分类。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.device_group |
此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.device_host |
这是将日志发送到 NetWitness 的日志事件源的主机名。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.device_ip |
这是将日志发送到 NetWitness 的日志事件源的 IPv4 地址。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
ip |
rsa.internal.device_ipv6 |
这是将日志发送到 NetWitness 的日志事件源的 IPv6 地址。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
ip |
rsa.internal.device_type |
这是解析给定会话的日志解析器的名称。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.device_type_id |
仅在表映射中定义的已弃用键。 |
长整型 |
rsa.internal.did |
这是用于标识 NetWitness 解码器的唯一标识符。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.entropy_req |
此键仅由熵解析器使用,元类型可以基于配置为 UInt16 或 Float32 |
长整型 |
rsa.internal.entropy_res |
此键仅由熵解析器使用,元类型可以基于配置为 UInt16 或 Float32 |
长整型 |
rsa.internal.entry |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.internal.event_desc |
关键字 |
|
rsa.internal.event_name |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.internal.feed_category |
用于捕获馈送的类别。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.feed_desc |
用于捕获馈送的描述。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.feed_name |
用于捕获馈送的名称。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.forward_ip |
此键应用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPv4 地址。 |
ip |
rsa.internal.forward_ipv6 |
此键用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPv6 地址。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
ip |
rsa.internal.hcode |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.internal.header_id |
这是标识解析特定日志会话的准确日志解析器标头定义的标头 ID 值。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.inode |
仅在表映射中定义的已弃用键。 |
长整型 |
rsa.internal.lc_cid |
这是日志收集器的唯一标识符。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.lc_ctime |
这是在 NetWitness 日志收集器中收集日志的时间。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
日期 |
rsa.internal.level |
仅在表映射中定义的已弃用键。 |
长整型 |
rsa.internal.mcb_req |
此键仅由熵解析器使用,最常见的字节请求仅是每一侧(0 到 255)看到最多的字节 |
长整型 |
rsa.internal.mcb_res |
此键仅由熵解析器使用,最常见的字节响应仅是每一侧(0 到 255)看到最多的字节 |
长整型 |
rsa.internal.mcbc_req |
此键仅由熵解析器使用,最常见的字节计数是在会话流中看到最常见字节(以上)的次数 |
长整型 |
rsa.internal.mcbc_res |
此键仅由熵解析器使用,最常见的字节计数是在会话流中看到最常见字节(以上)的次数 |
长整型 |
rsa.internal.medium |
此键用于标识它是日志/数据包会话还是第 2 层封装类型。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键。32 = 日志,33 = 关联会话,< 32 为数据包会话 |
长整型 |
rsa.internal.message |
此键捕获即时消息的内容 |
关键字 |
rsa.internal.messageid |
关键字 |
|
rsa.internal.msg |
此键用于捕获进入日志解码器的原始消息 |
关键字 |
rsa.internal.msg_id |
这是用于标识解析特定日志会话的准确日志解析器定义的 Message ID1 值。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.msg_vid |
这是用于标识解析特定日志会话的准确日志解析器定义的 Message ID2 值。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.node_name |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.internal.nwe_callback_id |
此键表示该事件与端点相关 |
关键字 |
rsa.internal.obj_id |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.internal.obj_server |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.internal.obj_val |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.internal.parse_error |
这是一个特殊键,用于存储解析日志会话时发现的任何元键验证错误。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.payload_req |
此键仅由熵解析器使用,有效负载大小指标是解析时每个会话侧的有效负载大小。但是,为了保持 |
长整型 |
rsa.internal.payload_res |
此键仅由熵解析器使用,有效负载大小指标是解析时每个会话侧的有效负载大小。但是,为了保持 |
长整型 |
rsa.internal.process_vid_dst |
端点生成并使用唯一的虚拟 ID 来标识任何相似的进程组。此 ID 表示目标进程。 |
关键字 |
rsa.internal.process_vid_src |
端点生成并使用唯一的虚拟 ID 来标识任何相似的进程组。此 ID 表示源进程。 |
关键字 |
rsa.internal.resource |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.internal.resource_class |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.internal.rid |
这是 NetWitness 解码器创建的远程会话的特殊 ID。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
长整型 |
rsa.internal.session_split |
此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.site |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.internal.size |
这是 NetWitness 解码器看到的会话大小。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
长整型 |
rsa.internal.sourcefile |
这是可以导入到 NetWitness 的日志文件或 PCAP 的名称。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.internal.statement |
仅在表映射中定义的已弃用键。 |
关键字 |
rsa.internal.time |
这是会话到达 NetWitness 解码器的时间。此键永远不应用于直接从会话(日志/数据包)中解析元数据,它是 NetWitness 中的保留键。 |
日期 |
rsa.internal.ubc_req |
此键仅供熵解析器使用,“唯一字节计数”是每个流中出现的唯一字节数。256表示所有字节值 0 到 255 至少出现一次 |
长整型 |
rsa.internal.ubc_res |
此键仅供熵解析器使用,“唯一字节计数”是每个流中出现的唯一字节数。256表示所有字节值 0 到 255 至少出现一次 |
长整型 |
rsa.internal.word |
此键由词语解析技术使用,用于捕获未解析日志中每个词语的前 5 个字符 |
关键字 |
rsa.investigations.analysis_file |
此键用于捕获文件分析中使用的所有指标。此键应用于捕获文件分析 |
关键字 |
rsa.investigations.analysis_service |
此键用于捕获服务分析中使用的所有指标。此键应用于捕获服务分析 |
关键字 |
rsa.investigations.analysis_session |
此键用于捕获会话分析中使用的所有指标。此键应用于捕获会话分析 |
关键字 |
rsa.investigations.boc |
此键用于捕获入侵行为 |
关键字 |
rsa.investigations.ec_activity |
此键捕获特定事件活动(例如:注销) |
关键字 |
rsa.investigations.ec_outcome |
此键捕获特定事件的结果(例如:成功) |
关键字 |
rsa.investigations.ec_subject |
此键捕获特定事件的主题(例如:用户) |
关键字 |
rsa.investigations.ec_theme |
此键捕获特定事件的主题(例如:身份验证) |
关键字 |
rsa.investigations.eoc |
此键用于捕获入侵促成因素 |
关键字 |
rsa.investigations.event_cat |
此键捕获事件类别编号 |
长整型 |
rsa.investigations.event_cat_name |
此键捕获与事件类别代码对应的事件类别名称 |
关键字 |
rsa.investigations.event_vcat |
这是供应商提供的类别。当供应商采用自己的 event_category 分类时,应使用此项。 |
关键字 |
rsa.investigations.inv_category |
此键用于捕获调查类别 |
关键字 |
rsa.investigations.inv_context |
此键用于捕获调查上下文 |
关键字 |
rsa.investigations.ioc |
此键用于捕获入侵指标 |
关键字 |
rsa.misc.OS |
此键捕获操作系统名称 |
关键字 |
rsa.misc.acl_id |
关键字 |
|
rsa.misc.acl_op |
关键字 |
|
rsa.misc.acl_pos |
关键字 |
|
rsa.misc.acl_table |
关键字 |
|
rsa.misc.action |
关键字 |
|
rsa.misc.admin |
关键字 |
|
rsa.misc.agent_id |
此键用于捕获代理 ID |
关键字 |
rsa.misc.alarm_id |
关键字 |
|
rsa.misc.alarmname |
关键字 |
|
rsa.misc.alert_id |
已弃用,新的狩猎模型 (inv.、ioc、boc、eoc、analysis。) |
关键字 |
rsa.misc.app_id |
关键字 |
|
rsa.misc.audit |
关键字 |
|
rsa.misc.audit_object |
关键字 |
|
rsa.misc.auditdata |
关键字 |
|
rsa.misc.autorun_type |
此键用于捕获自动运行类型 |
关键字 |
rsa.misc.benchmark |
关键字 |
|
rsa.misc.bypass |
关键字 |
|
rsa.misc.cache |
关键字 |
|
rsa.misc.cache_hit |
关键字 |
|
rsa.misc.category |
此键用于捕获会话中由供应商提供的事件类别 |
关键字 |
rsa.misc.cc_number |
仅限有效的信用卡号 |
长整型 |
rsa.misc.cefversion |
关键字 |
|
rsa.misc.cfg_attr |
关键字 |
|
rsa.misc.cfg_obj |
关键字 |
|
rsa.misc.cfg_path |
关键字 |
|
rsa.misc.change_attrib |
此键用于捕获会话中正在更改的属性的名称 |
关键字 |
rsa.misc.change_new |
此键用于捕获会话中正在更改的属性的新值 |
关键字 |
rsa.misc.change_old |
此键用于捕获会话中正在更改的属性的旧值 |
关键字 |
rsa.misc.changes |
关键字 |
|
rsa.misc.checksum |
此键用于捕获实体(例如文件或进程)的校验和或哈希值。当不清楚实体是操作的源还是目标时,应使用校验和,而不是 checksum.src 或 checksum.dst。 |
关键字 |
rsa.misc.checksum_dst |
此键用于捕获目标实体(例如进程或文件)的校验和或哈希值。 |
关键字 |
rsa.misc.checksum_src |
此键用于捕获源实体(例如文件或进程)的校验和或哈希值。 |
关键字 |
rsa.misc.client |
此键用于仅捕获请求服务器资源的客户端应用程序的名称。有关捕获特定用户代理标识符或浏览器标识字符串的信息,请参阅 user.agent 元键。 |
关键字 |
rsa.misc.client_ip |
关键字 |
|
rsa.misc.clustermembers |
关键字 |
|
rsa.misc.cmd |
关键字 |
|
rsa.misc.cn_acttimeout |
关键字 |
|
rsa.misc.cn_asn_src |
关键字 |
|
rsa.misc.cn_bgpv4nxthop |
关键字 |
|
rsa.misc.cn_ctr_dst_code |
关键字 |
|
rsa.misc.cn_dst_tos |
关键字 |
|
rsa.misc.cn_dst_vlan |
关键字 |
|
rsa.misc.cn_engine_id |
关键字 |
|
rsa.misc.cn_engine_type |
关键字 |
|
rsa.misc.cn_f_switch |
关键字 |
|
rsa.misc.cn_flowsampid |
关键字 |
|
rsa.misc.cn_flowsampintv |
关键字 |
|
rsa.misc.cn_flowsampmode |
关键字 |
|
rsa.misc.cn_inacttimeout |
关键字 |
|
rsa.misc.cn_inpermbyts |
关键字 |
|
rsa.misc.cn_inpermpckts |
关键字 |
|
rsa.misc.cn_invalid |
关键字 |
|
rsa.misc.cn_ip_proto_ver |
关键字 |
|
rsa.misc.cn_ipv4_ident |
关键字 |
|
rsa.misc.cn_l_switch |
关键字 |
|
rsa.misc.cn_log_did |
关键字 |
|
rsa.misc.cn_log_rid |
关键字 |
|
rsa.misc.cn_max_ttl |
关键字 |
|
rsa.misc.cn_maxpcktlen |
关键字 |
|
rsa.misc.cn_min_ttl |
关键字 |
|
rsa.misc.cn_minpcktlen |
关键字 |
|
rsa.misc.cn_mpls_lbl_1 |
关键字 |
|
rsa.misc.cn_mpls_lbl_10 |
关键字 |
|
rsa.misc.cn_mpls_lbl_2 |
关键字 |
|
rsa.misc.cn_mpls_lbl_3 |
关键字 |
|
rsa.misc.cn_mpls_lbl_4 |
关键字 |
|
rsa.misc.cn_mpls_lbl_5 |
关键字 |
|
rsa.misc.cn_mpls_lbl_6 |
关键字 |
|
rsa.misc.cn_mpls_lbl_7 |
关键字 |
|
rsa.misc.cn_mpls_lbl_8 |
关键字 |
|
rsa.misc.cn_mpls_lbl_9 |
关键字 |
|
rsa.misc.cn_mplstoplabel |
关键字 |
|
rsa.misc.cn_mplstoplabip |
关键字 |
|
rsa.misc.cn_mul_dst_byt |
关键字 |
|
rsa.misc.cn_mul_dst_pks |
关键字 |
|
rsa.misc.cn_muligmptype |
关键字 |
|
rsa.misc.cn_sampalgo |
关键字 |
|
rsa.misc.cn_sampint |
关键字 |
|
rsa.misc.cn_seqctr |
关键字 |
|
rsa.misc.cn_spackets |
关键字 |
|
rsa.misc.cn_src_tos |
关键字 |
|
rsa.misc.cn_src_vlan |
关键字 |
|
rsa.misc.cn_sysuptime |
关键字 |
|
rsa.misc.cn_template_id |
关键字 |
|
rsa.misc.cn_totbytsexp |
关键字 |
|
rsa.misc.cn_totflowexp |
关键字 |
|
rsa.misc.cn_totpcktsexp |
关键字 |
|
rsa.misc.cn_unixnanosecs |
关键字 |
|
rsa.misc.cn_v6flowlabel |
关键字 |
|
rsa.misc.cn_v6optheaders |
关键字 |
|
rsa.misc.code |
关键字 |
|
rsa.misc.command |
关键字 |
|
rsa.misc.comments |
日志消息中提供的注释信息 |
关键字 |
rsa.misc.comp_class |
关键字 |
|
rsa.misc.comp_name |
关键字 |
|
rsa.misc.comp_rbytes |
关键字 |
|
rsa.misc.comp_sbytes |
关键字 |
|
rsa.misc.comp_version |
此键捕获产品子组件的版本级别。 |
关键字 |
rsa.misc.connection_id |
此键捕获连接 ID |
关键字 |
rsa.misc.content |
此键捕获协议头中的内容类型 |
关键字 |
rsa.misc.content_type |
此键仅用于捕获内容类型。 |
关键字 |
rsa.misc.content_version |
此键捕获签名或数据库内容的版本级别。 |
关键字 |
rsa.misc.context |
此键捕获向事件添加额外上下文的信息。 |
关键字 |
rsa.misc.context_subject |
此键在审计上下文中使用,其中主题是要标识的对象 |
关键字 |
rsa.misc.context_target |
关键字 |
|
rsa.misc.count |
关键字 |
|
rsa.misc.cpu |
此键是记录事件执行中使用的 CPU 时间。 |
长整型 |
rsa.misc.cpu_data |
关键字 |
|
rsa.misc.criticality |
关键字 |
|
rsa.misc.cs_agency_dst |
关键字 |
|
rsa.misc.cs_analyzedby |
关键字 |
|
rsa.misc.cs_av_other |
关键字 |
|
rsa.misc.cs_av_primary |
关键字 |
|
rsa.misc.cs_av_secondary |
关键字 |
|
rsa.misc.cs_bgpv6nxthop |
关键字 |
|
rsa.misc.cs_bit9status |
关键字 |
|
rsa.misc.cs_context |
关键字 |
|
rsa.misc.cs_control |
关键字 |
|
rsa.misc.cs_data |
关键字 |
|
rsa.misc.cs_datecret |
关键字 |
|
rsa.misc.cs_dst_tld |
关键字 |
|
rsa.misc.cs_eth_dst_ven |
关键字 |
|
rsa.misc.cs_eth_src_ven |
关键字 |
|
rsa.misc.cs_event_uuid |
关键字 |
|
rsa.misc.cs_filetype |
关键字 |
|
rsa.misc.cs_fld |
关键字 |
|
rsa.misc.cs_if_desc |
关键字 |
|
rsa.misc.cs_if_name |
关键字 |
|
rsa.misc.cs_ip_next_hop |
关键字 |
|
rsa.misc.cs_ipv4dstpre |
关键字 |
|
rsa.misc.cs_ipv4srcpre |
关键字 |
|
rsa.misc.cs_lifetime |
关键字 |
|
rsa.misc.cs_log_medium |
关键字 |
|
rsa.misc.cs_loginname |
关键字 |
|
rsa.misc.cs_modulescore |
关键字 |
|
rsa.misc.cs_modulesign |
关键字 |
|
rsa.misc.cs_opswatresult |
关键字 |
|
rsa.misc.cs_payload |
关键字 |
|
rsa.misc.cs_registrant |
关键字 |
|
rsa.misc.cs_registrar |
关键字 |
|
rsa.misc.cs_represult |
关键字 |
|
rsa.misc.cs_rpayload |
关键字 |
|
rsa.misc.cs_sampler_name |
关键字 |
|
rsa.misc.cs_sourcemodule |
关键字 |
|
rsa.misc.cs_streams |
关键字 |
|
rsa.misc.cs_targetmodule |
关键字 |
|
rsa.misc.cs_v6nxthop |
关键字 |
|
rsa.misc.cs_whois_server |
关键字 |
|
rsa.misc.cs_yararesult |
关键字 |
|
rsa.misc.cve |
此键捕获 CVE(通用漏洞披露)- 已知信息安全漏洞的标识符。 |
关键字 |
rsa.misc.data_type |
关键字 |
|
rsa.misc.description |
关键字 |
|
rsa.misc.device_name |
此键用于捕获与节点关联的设备名称,例如:物理磁盘、打印机等 |
关键字 |
rsa.misc.devvendor |
关键字 |
|
rsa.misc.disposition |
此键捕获操作的最终状态。 |
关键字 |
rsa.misc.distance |
关键字 |
|
rsa.misc.doc_number |
此键捕获文件标识号 |
长整型 |
rsa.misc.dstburb |
关键字 |
|
rsa.misc.edomain |
关键字 |
|
rsa.misc.edomaub |
关键字 |
|
rsa.misc.ein_number |
仅限员工识别号 |
长整型 |
rsa.misc.error |
此键捕获所有不成功的错误代码或响应 |
关键字 |
rsa.misc.euid |
关键字 |
|
rsa.misc.event_category |
关键字 |
|
rsa.misc.event_computer |
此键仅用于 Windows,用于捕获 Windows 日志中的完全限定域名。 |
关键字 |
rsa.misc.event_desc |
此键用于捕获直接可用或推断的事件描述 |
关键字 |
rsa.misc.event_id |
关键字 |
|
rsa.misc.event_log |
此键捕获事件日志的名称 |
关键字 |
rsa.misc.event_source |
此键捕获事件的来源,而不是主机名 |
关键字 |
rsa.misc.event_state |
此键捕获事件中引用的对象/项目的当前状态。用于描述正在发生的事件。 |
关键字 |
rsa.misc.event_type |
此键捕获事件源指定的事件类别类型。 |
关键字 |
rsa.misc.event_user |
此键仅用于 Windows,用于捕获 Windows 日志中的域名和用户名的组合。 |
关键字 |
rsa.misc.expected_val |
此键捕获预期值(从生成日志的设备的角度来看)。 |
关键字 |
rsa.misc.facility |
关键字 |
|
rsa.misc.facilityname |
关键字 |
|
rsa.misc.fcatnum |
此键捕获过滤器类别编号。旧版用法 |
关键字 |
rsa.misc.filter |
此键捕获用于减少结果集的过滤器 |
关键字 |
rsa.misc.finterface |
关键字 |
|
rsa.misc.flags |
关键字 |
|
rsa.misc.forensic_info |
关键字 |
|
rsa.misc.found |
此键用于捕获正则表达式匹配的结果 |
关键字 |
rsa.misc.fresult |
此键捕获过滤器结果 |
长整型 |
rsa.misc.gaddr |
关键字 |
|
rsa.misc.group |
此键捕获组名称值 |
关键字 |
rsa.misc.group_id |
此键捕获组 ID 号(与组名称相关) |
关键字 |
rsa.misc.group_object |
此键捕获实体集合/分组。特定用法 |
关键字 |
rsa.misc.hardware_id |
此键用于捕获设备或系统的唯一标识符(不是 Mac 地址) |
关键字 |
rsa.misc.id3 |
关键字 |
|
rsa.misc.im_buddyid |
关键字 |
|
rsa.misc.im_buddyname |
关键字 |
|
rsa.misc.im_client |
关键字 |
|
rsa.misc.im_croomid |
关键字 |
|
rsa.misc.im_croomtype |
关键字 |
|
rsa.misc.im_members |
关键字 |
|
rsa.misc.im_userid |
关键字 |
|
rsa.misc.im_username |
关键字 |
|
rsa.misc.index |
关键字 |
|
rsa.misc.inout |
关键字 |
|
rsa.misc.ipkt |
关键字 |
|
rsa.misc.ipscat |
关键字 |
|
rsa.misc.ipspri |
关键字 |
|
rsa.misc.job_num |
此键捕获作业编号 |
关键字 |
rsa.misc.jobname |
关键字 |
|
rsa.misc.language |
此键用于捕获客户端支持的语言列表及其首选语言 |
关键字 |
rsa.misc.latitude |
关键字 |
|
rsa.misc.library |
此键用于捕获大型机设备中的库信息 |
关键字 |
rsa.misc.lifetime |
此键用于捕获会话生命周期(以秒为单位)。 |
长整型 |
rsa.misc.linenum |
关键字 |
|
rsa.misc.link |
此键用于将会话链接在一起。此键永远不应用于直接从会话(日志/数据包)解析元数据,它是 NetWitness 中的保留键 |
关键字 |
rsa.misc.list_name |
关键字 |
|
rsa.misc.listnum |
此键用于捕获列表名称或列表编号,主要用于收集访问列表 |
关键字 |
rsa.misc.load_data |
关键字 |
|
rsa.misc.location_floor |
关键字 |
|
rsa.misc.location_mark |
关键字 |
|
rsa.misc.log_id |
关键字 |
|
rsa.misc.log_session_id |
此键用于直接从会话捕获会话 ID |
关键字 |
rsa.misc.log_session_id1 |
此键用于直接从会话中捕获链接(相关)会话 ID |
关键字 |
rsa.misc.log_type |
关键字 |
|
rsa.misc.logid |
关键字 |
|
rsa.misc.logip |
关键字 |
|
rsa.misc.logname |
关键字 |
|
rsa.misc.longitude |
关键字 |
|
rsa.misc.lport |
关键字 |
|
rsa.misc.mail_id |
此键用于捕获邮箱 ID/名称 |
关键字 |
rsa.misc.match |
此键用于从 search.ini 中正则表达式匹配名称 |
关键字 |
rsa.misc.mbug_data |
关键字 |
|
rsa.misc.message_body |
此键捕获消息正文的内容。 |
关键字 |
rsa.misc.misc |
关键字 |
|
rsa.misc.misc_name |
关键字 |
|
rsa.misc.mode |
关键字 |
|
rsa.misc.msgIdPart1 |
关键字 |
|
rsa.misc.msgIdPart2 |
关键字 |
|
rsa.misc.msgIdPart3 |
关键字 |
|
rsa.misc.msgIdPart4 |
关键字 |
|
rsa.misc.msg_type |
关键字 |
|
rsa.misc.msgid |
关键字 |
|
rsa.misc.name |
关键字 |
|
rsa.misc.netsessid |
关键字 |
|
rsa.misc.node |
常见的用例是集群中的节点名称。集群名称由主机名反映。 |
关键字 |
rsa.misc.ntype |
关键字 |
|
rsa.misc.num |
关键字 |
|
rsa.misc.number |
关键字 |
|
rsa.misc.number1 |
关键字 |
|
rsa.misc.number2 |
关键字 |
|
rsa.misc.nwwn |
关键字 |
|
rsa.misc.obj_name |
用于捕获对象名称 |
关键字 |
rsa.misc.obj_type |
用于捕获对象类型 |
关键字 |
rsa.misc.object |
关键字 |
|
rsa.misc.observed_val |
此键捕获观察到的值(从生成日志的设备的角度来看)。 |
关键字 |
rsa.misc.operation |
关键字 |
|
rsa.misc.operation_id |
警报编号或操作编号。这些值应是唯一的且不重复。 |
关键字 |
rsa.misc.opkt |
关键字 |
|
rsa.misc.orig_from |
关键字 |
|
rsa.misc.owner_id |
关键字 |
|
rsa.misc.p_action |
关键字 |
|
rsa.misc.p_filter |
关键字 |
|
rsa.misc.p_group_object |
关键字 |
|
rsa.misc.p_id |
关键字 |
|
rsa.misc.p_msgid |
关键字 |
|
rsa.misc.p_msgid1 |
关键字 |
|
rsa.misc.p_msgid2 |
关键字 |
|
rsa.misc.p_result1 |
关键字 |
|
rsa.misc.param |
此键是作为命令或应用程序的一部分传递的参数等。 |
关键字 |
rsa.misc.param_dst |
此键捕获目标进程或文件的命令行/启动参数 |
关键字 |
rsa.misc.param_src |
此键捕获源参数 |
关键字 |
rsa.misc.parent_node |
此键捕获父节点名称。必须与节点变量相关。 |
关键字 |
rsa.misc.password_chg |
关键字 |
|
rsa.misc.password_expire |
关键字 |
|
rsa.misc.payload_dst |
此键用于捕获目标负载 |
关键字 |
rsa.misc.payload_src |
此键用于捕获源负载 |
关键字 |
rsa.misc.permgranted |
关键字 |
|
rsa.misc.permwanted |
关键字 |
|
rsa.misc.pgid |
关键字 |
|
rsa.misc.phone |
关键字 |
|
rsa.misc.pid |
关键字 |
|
rsa.misc.policy |
关键字 |
|
rsa.misc.policyUUID |
关键字 |
|
rsa.misc.policy_id |
此键仅用于捕获策略 ID,它应该是数值,否则请使用 policy.name |
关键字 |
rsa.misc.policy_name |
此键仅用于捕获策略名称。 |
关键字 |
rsa.misc.policy_value |
此键捕获策略的内容。其中包含有关策略的详细信息 |
关键字 |
rsa.misc.policy_waiver |
关键字 |
|
rsa.misc.pool_id |
此键捕获资源池的标识符(通常为数字字段) |
关键字 |
rsa.misc.pool_name |
此键捕获资源池的名称 |
关键字 |
rsa.misc.port_name |
此键用于物理或逻辑端口连接,但不包括网络端口。(示例:打印机端口名称)。 |
关键字 |
rsa.misc.priority |
关键字 |
|
rsa.misc.process_id_val |
此键是进程 ID 不是整数值时的失败键 |
关键字 |
rsa.misc.prog_asp_num |
关键字 |
|
rsa.misc.program |
关键字 |
|
rsa.misc.real_data |
关键字 |
|
rsa.misc.reason |
关键字 |
|
rsa.misc.rec_asp_device |
关键字 |
|
rsa.misc.rec_asp_num |
关键字 |
|
rsa.misc.rec_library |
关键字 |
|
rsa.misc.recordnum |
关键字 |
|
rsa.misc.reference_id |
此键用于直接从会话中捕获事件 ID |
关键字 |
rsa.misc.reference_id1 |
此键用于链接 ID,用作“reference.id”的补充 |
关键字 |
rsa.misc.reference_id2 |
此键用于第二个链接 ID。可以链接到“reference.id”或“reference.id1”值,但除非其他两个变量正在使用,否则不应使用。 |
关键字 |
rsa.misc.result |
此键用于捕获会话中操作的结果/结果字符串值。 |
关键字 |
rsa.misc.result_code |
此键用于捕获会话中操作的结果/结果数值。 |
关键字 |
rsa.misc.risk |
此键捕获非数字风险值 |
关键字 |
rsa.misc.risk_info |
已弃用,请使用新的狩猎模型(inv.、ioc、boc、eoc、analysis。) |
关键字 |
rsa.misc.risk_num |
此键捕获数字风险值 |
double |
rsa.misc.risk_num_comm |
此键捕获风险编号社区 |
double |
rsa.misc.risk_num_next |
此键捕获风险编号 NextGen |
double |
rsa.misc.risk_num_sand |
此键捕获风险编号沙箱 |
double |
rsa.misc.risk_num_static |
此键捕获风险编号静态 |
double |
rsa.misc.risk_suspicious |
已弃用,请使用新的狩猎模型(inv.、ioc、boc、eoc、analysis。) |
关键字 |
rsa.misc.risk_warning |
已弃用,请使用新的狩猎模型(inv.、ioc、boc、eoc、analysis。) |
关键字 |
rsa.misc.ruid |
关键字 |
|
rsa.misc.rule |
此键捕获规则编号 |
关键字 |
rsa.misc.rule_group |
此键捕获规则组名称 |
关键字 |
rsa.misc.rule_name |
此键捕获规则名称 |
关键字 |
rsa.misc.rule_template |
一组默认参数,这些参数覆盖到规则(或规则名称)上,从而构成一个模板 |
关键字 |
rsa.misc.rule_uid |
此键是规则的唯一标识符。 |
关键字 |
rsa.misc.sburb |
关键字 |
|
rsa.misc.sdomain_fld |
关键字 |
|
rsa.misc.search_text |
此键捕获使用的搜索文本 |
关键字 |
rsa.misc.sec |
关键字 |
|
rsa.misc.second |
关键字 |
|
rsa.misc.sensor |
此键捕获传感器的名称。通常用于基于 IDS/IPS 的设备 |
关键字 |
rsa.misc.sensorname |
关键字 |
|
rsa.misc.seqnum |
关键字 |
|
rsa.misc.serial_number |
此键是与物理资产关联的序列号。 |
关键字 |
rsa.misc.session |
关键字 |
|
rsa.misc.sessiontype |
关键字 |
|
rsa.misc.severity |
此键用于捕获给定会话的严重性 |
关键字 |
rsa.misc.sigUUID |
关键字 |
|
rsa.misc.sig_id |
此键捕获 IDS/IPS 内部签名 ID |
长整型 |
rsa.misc.sig_id1 |
此键捕获 IDS/IPS 内部签名 ID。必须链接到 sig.id |
长整型 |
rsa.misc.sig_id_str |
此键捕获 sigid 变量的字符串对象。 |
关键字 |
rsa.misc.sig_name |
此键仅用于捕获签名名称。 |
关键字 |
rsa.misc.sigcat |
关键字 |
|
rsa.misc.snmp_oid |
SNMP 对象标识符 |
关键字 |
rsa.misc.snmp_value |
SNMP 设置请求值 |
关键字 |
rsa.misc.space |
关键字 |
|
rsa.misc.space1 |
关键字 |
|
rsa.misc.spi |
关键字 |
|
rsa.misc.spi_dst |
目标 SPI 索引 |
关键字 |
rsa.misc.spi_src |
源 SPI 索引 |
关键字 |
rsa.misc.sql |
此键捕获 SQL 查询 |
关键字 |
rsa.misc.srcburb |
关键字 |
|
rsa.misc.srcdom |
关键字 |
|
rsa.misc.srcservice |
关键字 |
|
rsa.misc.state |
关键字 |
|
rsa.misc.status |
关键字 |
|
rsa.misc.status1 |
关键字 |
|
rsa.misc.streams |
此键捕获会话中的流数 |
长整型 |
rsa.misc.subcategory |
关键字 |
|
rsa.misc.svcno |
关键字 |
|
rsa.misc.system |
关键字 |
|
rsa.misc.tbdstr1 |
关键字 |
|
rsa.misc.tbdstr2 |
关键字 |
|
rsa.misc.tcp_flags |
此键捕获会话的任何数据包中设置的 TCP 标志 |
长整型 |
rsa.misc.terminal |
此键仅捕获终端名称 |
关键字 |
rsa.misc.tgtdom |
关键字 |
|
rsa.misc.tgtdomain |
关键字 |
|
rsa.misc.threshold |
关键字 |
|
rsa.misc.tos |
此键描述服务类型 |
长整型 |
rsa.misc.trigger_desc |
此键捕获触发器或阈值条件的描述。 |
关键字 |
rsa.misc.trigger_val |
此键捕获触发器或阈值条件的值。 |
关键字 |
rsa.misc.type |
关键字 |
|
rsa.misc.type1 |
关键字 |
|
rsa.misc.udb_class |
关键字 |
|
rsa.misc.url_fld |
关键字 |
|
rsa.misc.user_div |
关键字 |
|
rsa.misc.userid |
关键字 |
|
rsa.misc.username_fld |
关键字 |
|
rsa.misc.utcstamp |
关键字 |
|
rsa.misc.v_instafname |
关键字 |
|
rsa.misc.version |
此键捕获生成事件的应用程序或操作系统的版本。 |
关键字 |
rsa.misc.virt_data |
关键字 |
|
rsa.misc.virusname |
此键捕获病毒的名称 |
关键字 |
rsa.misc.vm_target |
VMWare 目标 VMWARE 仅变量。 |
关键字 |
rsa.misc.vpnid |
关键字 |
|
rsa.misc.vsys |
此键捕获虚拟系统名称 |
关键字 |
rsa.misc.vuln_ref |
此键捕获漏洞参考详细信息 |
关键字 |
rsa.misc.workspace |
此键捕获工作区描述 |
关键字 |
rsa.network.ad_computer_dst |
已弃用,请使用 host.dst |
关键字 |
rsa.network.addr |
关键字 |
|
rsa.network.alias_host |
当主机名的源或目标上下文不清楚时,应使用此键。它还捕获设备主机名。任何不是 ad.computer 的主机名。 |
关键字 |
rsa.network.dinterface |
仅当它是目标接口时才应使用此键 |
关键字 |
rsa.network.dmask |
此键用于目标设备网络掩码 |
关键字 |
rsa.network.dns_a_record |
关键字 |
|
rsa.network.dns_cname_record |
关键字 |
|
rsa.network.dns_id |
关键字 |
|
rsa.network.dns_opcode |
关键字 |
|
rsa.network.dns_ptr_record |
关键字 |
|
rsa.network.dns_resp |
关键字 |
|
rsa.network.dns_type |
关键字 |
|
rsa.network.domain |
关键字 |
|
rsa.network.domain1 |
关键字 |
|
rsa.network.eth_host |
已弃用,请使用 alias.mac |
关键字 |
rsa.network.eth_type |
此键用于捕获以太网类型,仅用于第 3 层协议 |
长整型 |
rsa.network.faddr |
关键字 |
|
rsa.network.fhost |
关键字 |
|
rsa.network.fport |
关键字 |
|
rsa.network.gateway |
此键用于捕获网关的 IP 地址 |
关键字 |
rsa.network.host_dst |
仅当它是目标主机名时才应使用此键 |
关键字 |
rsa.network.host_orig |
用于捕获转发代理或代理之间原始主机名。 |
关键字 |
rsa.network.host_type |
关键字 |
|
rsa.network.icmp_code |
此键仅用于捕获 ICMP 代码 |
长整型 |
rsa.network.icmp_type |
此键仅用于捕获 ICMP 类型 |
长整型 |
rsa.network.interface |
当接口的源或目标上下文不清楚时,应使用此键 |
关键字 |
rsa.network.ip_proto |
此键应用于捕获协议编号,所有协议编号在 UI 中都转换为字符串 |
长整型 |
rsa.network.laddr |
关键字 |
|
rsa.network.lhost |
关键字 |
|
rsa.network.linterface |
关键字 |
|
rsa.network.mask |
此键用于捕获设备网络 IP 掩码。 |
关键字 |
rsa.network.netname |
此键用于捕获与 IP 范围关联的网络名称。这是由最终用户配置的。 |
关键字 |
rsa.network.network_port |
已弃用,请使用 port。注意:目前使用的类型不一致,TM:Int32,INDEX:UInt64(为什么两者都没有选择正确的 UInt16?!) |
长整型 |
rsa.network.network_service |
用于捕获第 7 层协议/服务名称 |
关键字 |
rsa.network.origin |
关键字 |
|
rsa.network.packet_length |
关键字 |
|
rsa.network.paddr |
已弃用 |
ip |
rsa.network.phost |
关键字 |
|
rsa.network.port |
仅当方向性不清楚时,才应使用此键捕获网络端口 |
长整型 |
rsa.network.protocol_detail |
此键应用于捕获其他协议信息 |
关键字 |
rsa.network.remote_domain_id |
关键字 |
|
rsa.network.rpayload |
此键用于捕获在重新传输的数据包中看到的有效负载字节总数。 |
关键字 |
rsa.network.sinterface |
仅当它是源接口时才应使用此键 |
关键字 |
rsa.network.smask |
此键用于捕获源网络掩码 |
关键字 |
rsa.network.vlan |
此键应仅用于捕获虚拟 LAN 的 ID |
长整型 |
rsa.network.vlan_name |
此键值仅用于捕获虚拟局域网的名称。 |
关键字 |
rsa.network.zone |
当区域的源或目标上下文不明确时,应使用此键值。 |
关键字 |
rsa.network.zone_dst |
此键值仅在表示目标区域时使用。 |
关键字 |
rsa.network.zone_src |
此键值仅在表示源区域时使用。 |
关键字 |
rsa.physical.org_dst |
用于根据 GEOPIP Maxmind 数据库捕获目标组织。 |
关键字 |
rsa.physical.org_src |
用于根据 GEOPIP Maxmind 数据库捕获源组织。 |
关键字 |
rsa.storage.disk_volume |
分配给物理磁盘内的逻辑单元(卷)的唯一名称 |
关键字 |
rsa.storage.lun |
逻辑单元号。此键值在存储中是一个非常有用的概念。 |
关键字 |
rsa.storage.pwwn |
唯一标识 HBA 上的端口。 |
关键字 |
rsa.threat.alert |
此键值用于捕获警报的名称 |
关键字 |
rsa.threat.threat_category |
此键值捕获威胁名称/威胁类别/警报分类 |
关键字 |
rsa.threat.threat_desc |
此键值用于直接或推断地从会话中捕获威胁描述 |
关键字 |
rsa.threat.threat_source |
此键值用于捕获威胁的来源 |
关键字 |
rsa.time.date |
关键字 |
|
rsa.time.datetime |
关键字 |
|
rsa.time.day |
关键字 |
|
rsa.time.duration_str |
持续时间的文本字符串版本 |
关键字 |
rsa.time.duration_time |
此键值用于捕获标准化的持续时间/生命周期(以秒为单位)。 |
double |
rsa.time.effective_time |
此键值是以标准时间戳格式引用的单个事件的有效时间 |
日期 |
rsa.time.endtime |
此键值用于以标准形式捕获会话中提到的结束时间 |
日期 |
rsa.time.event_queue_time |
此键值是事件排队的时间。 |
日期 |
rsa.time.event_time |
此键值用于捕获原始会话中提到的时间,该时间表示以标准标准化形式发生的事件的实际时间 |
日期 |
rsa.time.event_time_str |
此键值用于以字符串形式捕获会话中提到的不完整时间 |
关键字 |
rsa.time.eventtime |
关键字 |
|
rsa.time.expire_time |
此键值是明确引用到期的时间戳。 |
日期 |
rsa.time.expire_time_str |
此键值用于捕获明确引用到期的不完整时间戳。 |
关键字 |
rsa.time.gmtdate |
关键字 |
|
rsa.time.gmttime |
关键字 |
|
rsa.time.hour |
关键字 |
|
rsa.time.min |
关键字 |
|
rsa.time.month |
关键字 |
|
rsa.time.p_date |
关键字 |
|
rsa.time.p_month |
关键字 |
|
rsa.time.p_time |
关键字 |
|
rsa.time.p_time1 |
关键字 |
|
rsa.time.p_time2 |
关键字 |
|
rsa.time.p_year |
关键字 |
|
rsa.time.process_time |
已弃用,请使用 duration.time |
关键字 |
rsa.time.recorded_time |
从收集事件的系统中记录的事件时间。使用场景是多层应用程序,其中系统的管理层在从其子节点收集时记录其自身的时间戳。必须采用时间戳格式。 |
日期 |
rsa.time.stamp |
仅在表映射中定义的已弃用键。 |
日期 |
rsa.time.starttime |
此键值用于以标准形式捕获会话中提到的开始时间 |
日期 |
rsa.time.timestamp |
关键字 |
|
rsa.time.timezone |
此键值用于捕获事件时间的时区 |
关键字 |
rsa.time.tzone |
关键字 |
|
rsa.time.year |
关键字 |
|
rsa.web.alias_host |
关键字 |
|
rsa.web.cn_asn_dst |
关键字 |
|
rsa.web.cn_rpackets |
关键字 |
|
rsa.web.fqdn |
完全限定域名 |
关键字 |
rsa.web.p_url |
关键字 |
|
rsa.web.p_user_agent |
关键字 |
|
rsa.web.p_web_cookie |
关键字 |
|
rsa.web.p_web_method |
关键字 |
|
rsa.web.p_web_referer |
关键字 |
|
rsa.web.remote_domain |
关键字 |
|
rsa.web.reputation_num |
实体的信誉编号。通常用于 Web 域名 |
double |
rsa.web.urlpage |
关键字 |
|
rsa.web.urlroot |
关键字 |
|
rsa.web.web_cookie |
此键值专门用于捕获 Web Cookie。 |
关键字 |
rsa.web.web_extension_tmp |
关键字 |
|
rsa.web.web_page |
关键字 |
|
rsa.web.web_ref_domain |
Web 引用页面的域名 |
关键字 |
rsa.web.web_ref_page |
此键值捕获 Web 引用页面的页面信息 |
关键字 |
rsa.web.web_ref_query |
此键值捕获 Web 引用页面的 URL 查询部分 |
关键字 |
rsa.web.web_ref_root |
Web 引用页面的根 URL 路径 |
关键字 |
rsa.wireless.access_point |
此键值用于捕获接入点名称。 |
关键字 |
rsa.wireless.wlan_channel |
用于捕获信道名称 |
长整型 |
rsa.wireless.wlan_name |
此键值捕获 WLAN 编号/名称 |
关键字 |
rsa.wireless.wlan_ssid |
此键值用于捕获无线会话的 ssid |
关键字 |
rule.name |
生成事件的规则或签名的名称。 |
关键字 |
server.domain |
服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件,也可能通过丰富添加。 |
关键字 |
server.registered_domain |
已剥离子域的最高注册服务器域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表之类的列表精确确定此值(http://publicsuffix.org)。尝试仅获取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 来说效果不佳。 |
关键字 |
server.subdomain |
完全限定域名的子域名部分包括已注册域名下的所有名称,但不包括主机名。在部分限定域名中,或者如果无法确定全名的限定级别,则子域名包含已注册域名下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]” 的子域名部分是 “east”。如果域名具有多个子域名级别,例如 “sub2.sub1.example.com”,则子域名字段应包含 “sub2.sub1”,且不带尾随句点。 |
关键字 |
server.top_level_domain |
有效顶级域名 (eTLD),也称为域名后缀,是域名的最后一部分。例如,example.com 的顶级域名是 “com”。可以使用诸如公共后缀列表 ( http://publicsuffix.org ) 之类的列表精确确定此值。尝试通过简单地取最后一个标签来近似此值对于诸如 “co.uk” 之类的有效 TLD 效果不佳。 |
关键字 |
service.name |
从中收集数据的服务名称。服务名称通常由用户给定。这允许运行在多个主机上的分布式服务根据名称关联相关实例。在 Elasticsearch 的情况下, |
关键字 |
source.address |
某些事件源地址的定义不明确。事件有时会列出 IP、域或 unix 套接字。您应始终将原始地址存储在 |
关键字 |
source.as.number |
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
source.as.organization.name |
组织名称。 |
关键字 |
source.as.organization.name.text |
|
match_only_text |
source.bytes |
从源发送到目标的字节数。 |
长整型 |
source.domain |
源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件,也可能通过丰富添加。 |
关键字 |
source.geo.city_name |
城市名称。 |
关键字 |
source.geo.country_name |
国家/地区名称。 |
关键字 |
source.geo.location |
经度和纬度。 |
geo_point |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
ip |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节由连字符分隔。 |
关键字 |
source.nat.ip |
基于 NAT 会话的源的转换 IP(例如,内部客户端到互联网)通常是遍历负载均衡器、防火墙或路由器的连接。 |
ip |
source.nat.port |
基于 NAT 会话的源的转换端口。(例如,内部客户端到互联网)通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
source.port |
源的端口。 |
长整型 |
source.registered_domain |
已剥离子域的最高注册源域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表之类的列表精确确定此值(http://publicsuffix.org)。尝试仅获取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 来说效果不佳。 |
关键字 |
source.subdomain |
完全限定域名的子域名部分包括已注册域名下的所有名称,但不包括主机名。在部分限定域名中,或者如果无法确定全名的限定级别,则子域名包含已注册域名下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]” 的子域名部分是 “east”。如果域名具有多个子域名级别,例如 “sub2.sub1.example.com”,则子域名字段应包含 “sub2.sub1”,且不带尾随句点。 |
关键字 |
source.top_level_domain |
有效顶级域名 (eTLD),也称为域名后缀,是域名的最后一部分。例如,example.com 的顶级域名是 “com”。可以使用诸如公共后缀列表 ( http://publicsuffix.org ) 之类的列表精确确定此值。尝试通过简单地取最后一个标签来近似此值对于诸如 “co.uk” 之类的有效 TLD 效果不佳。 |
关键字 |
tags |
用于标记每个事件的关键字列表。 |
关键字 |
url.domain |
URL 的域,例如“https://elastic.ac.cn[www.elastic.co]”。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将转到 |
关键字 |
url.original |
事件源中看到的未经修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。 |
wildcard |
url.original.text |
|
match_only_text |
url.path |
请求的路径,例如“/search”。 |
wildcard |
url.query |
查询字段描述请求的查询字符串,例如“q=elasticsearch”。 |
关键字 |
url.registered_domain |
已剥离子域的最高注册 URL 域。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表之类的列表精确确定此值(http://publicsuffix.org)。尝试仅获取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 来说效果不佳。 |
关键字 |
url.top_level_domain |
有效顶级域名 (eTLD),也称为域名后缀,是域名的最后一部分。例如,example.com 的顶级域名是 “com”。可以使用诸如公共后缀列表 ( http://publicsuffix.org ) 之类的列表精确确定此值。尝试通过简单地取最后一个标签来近似此值对于诸如 “co.uk” 之类的有效 TLD 效果不佳。 |
关键字 |
user.domain |
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。 |
关键字 |
user.full_name |
用户的全名(如果可用)。 |
关键字 |
user.full_name.text |
|
match_only_text |
user.id |
用户的唯一标识符。 |
关键字 |
user.name |
用户的短名称或登录名。 |
关键字 |
user.name.text |
|
match_only_text |
user_agent.original |
未解析的 user_agent 字符串。 |
关键字 |
user_agent.original.text |
|
match_only_text |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
0.20.1 |
错误修复 (查看拉取请求) |
— |
0.20.0 |
增强功能 (查看拉取请求) |
— |
0.19.1 |
错误修复 (查看拉取请求) |
— |
0.19.0 |
增强功能 (查看拉取请求) |
— |
0.18.0 |
增强功能 (查看拉取请求) |
— |
0.17.0 |
增强功能 (查看拉取请求) |
— |
0.16.0 |
增强功能 (查看拉取请求) |
— |
0.15.0 |
增强功能 (查看拉取请求) |
— |
0.14.0 |
增强功能 (查看拉取请求) |
— |
0.13.0 |
增强功能 (查看拉取请求) |
— |
0.12.1 |
增强 (查看拉取请求) |
— |
0.12.0 |
增强 (查看拉取请求) |
— |
0.11.2 |
缺陷修复 (查看拉取请求) |
— |
0.11.1 |
缺陷修复 (查看拉取请求) |
— |
0.11.0 |
增强 (查看拉取请求) |
— |
0.10.2 |
增强 (查看拉取请求) |
— |
0.10.1 |
增强 (查看拉取请求) |
— |
0.10.0 |
增强 (查看拉取请求) |
— |
0.9.0 |
增强 (查看拉取请求) |
— |
0.8.0 |
增强 (查看拉取请求) |
— |
0.7.0 |
增强 (查看拉取请求) |
— |
0.6.1 |
缺陷修复 (查看拉取请求) |
— |
0.6.0 |
增强 (查看拉取请求) |
— |
0.5.4 |
增强 (查看拉取请求) |
— |
0.5.3 |
增强 (查看拉取请求) |
— |
0.5.2 |
缺陷修复 (查看拉取请求) |
— |
0.5.1 |
缺陷修复 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.3 |
缺陷修复 (查看拉取请求) |
— |
0.4.2 |
增强 (查看拉取请求) |
— |
0.4.1 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.4 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |