›

Radware 集成

版本	0.19.1 [beta] 此功能处于测试阶段，可能会发生更改。其设计和代码不如官方 GA 功能成熟，按原样提供，不提供任何保证。测试版功能不受官方 GA 功能的支持 SLA 约束。 (查看全部)
兼容的 Kibana 版本	8.8.0 或更高版本
支持的无服务器项目类型这是什么？	安全性可观测性
订阅级别这是什么？	基本

此集成用于 Radware 设备的日志。它包括以下数据集，用于通过 syslog 接收日志或从文件读取日志

defensepro 数据集：支持 Radware DefensePro 日志。

Defensepro

编辑

defensepro 数据集收集 Radware DefensePro 日志。

导出的字段

字段	描述	类型
@timestamp	事件发生的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收事件的时间填充。所有事件的必填字段。	date
client.domain	客户端系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化添加。	keyword
client.registered_domain	最高的已注册客户端域，已去除子域。例如，“foo.example.com”的已注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）精确确定此值。尝试简单地取最后两个标签来近似此值对于“co.uk”等顶级域名来说效果不佳。	keyword
client.subdomain	完全限定域名的子域部分包括已注册域下除主机名之外的所有名称。在部分限定域名中，或者如果无法确定全名的限定级别，则子域包含已注册域下的所有名称。例如，“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域名具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，且不带尾随句点。	keyword
client.top_level_domain	有效的顶级域名 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表（http://publicsuffix.org）精确确定此值。尝试简单地取最后一个标签来近似此值对于“co.uk”等有效的顶级域名来说效果不佳。	keyword
container.id	唯一的容器 ID。	keyword
data_stream.dataset	数据流数据集。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
destination.address	某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 `.address` 字段中。然后应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪个。	keyword
destination.as.number	分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。	long
destination.as.organization.name	组织名称。	keyword
destination.as.organization.name.text	`destination.as.organization.name` 的多字段。	match_only_text
destination.bytes	从目标发送到源的字节数。	long
destination.domain	目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化添加。	keyword
destination.geo.city_name	城市名称。	keyword
destination.geo.country_name	国家/地区名称。	keyword
destination.geo.location	经度和纬度。	geo_point
destination.ip	目标的 IP 地址（IPv4 或 IPv6）。	ip
destination.mac	目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
destination.nat.ip	基于 NAT 会话（例如，Internet 到专用 DMZ）的目标的转换 IP。通常与负载均衡器、防火墙或路由器一起使用。	ip
destination.nat.port	源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。	long
destination.port	目标的端口。	long
destination.registered_domain	最高的已注册目标域，已去除子域。例如，“foo.example.com”的已注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）精确确定此值。尝试简单地取最后两个标签来近似此值对于“co.uk”等顶级域名来说效果不佳。	keyword
destination.subdomain	完全限定域名的子域部分包括已注册域下除主机名之外的所有名称。在部分限定域名中，或者如果无法确定全名的限定级别，则子域包含已注册域下的所有名称。例如，“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域名具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，且不带尾随句点。	keyword
destination.top_level_domain	有效的顶级域名 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表（http://publicsuffix.org）精确确定此值。尝试简单地取最后一个标签来近似此值对于“co.uk”等有效的顶级域名来说效果不佳。	keyword
dns.answers.name	此资源记录所属的域名。如果要解析 CNAME 链，则每个答案的 `name` 都应该是与该答案的 `data` 相对应的名称。它不应只是重复的原始 `question.name`。	keyword
dns.answers.type	此资源记录中包含的数据类型。	keyword
dns.question.domain	服务器域。	keyword
dns.question.registered_domain	最高的已注册域，已去除子域。例如，“foo.example.com”的已注册域是“example.com”。可以使用公共后缀列表（http://publicsuffix.org）精确确定此值。尝试简单地取最后两个标签来近似此值对于“co.uk”等顶级域名来说效果不佳。	keyword
dns.question.subdomain	子域是已注册域下的所有标签。如果域名具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，且不带尾随句点。	keyword
dns.question.top_level_domain	有效的顶级域名 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表（http://publicsuffix.org）精确确定此值。尝试简单地取最后一个标签来近似此值对于“co.uk”等有效的顶级域名来说效果不佳。	keyword
dns.question.type	要查询的记录类型。	keyword
ecs.version	此事件符合的 ECS 版本。`ecs.version` 是必填字段，必须存在于所有事件中。在跨多个索引进行查询时（这些索引可能符合略有不同的 ECS 版本），此字段允许集成调整为事件的架构版本。	keyword
error.message	错误消息。	match_only_text
event.action	事件捕获的操作。这描述了事件中的信息。它比 `event.category` 更具体。示例包括 `group-add`、`process-started`、`file-created`。该值通常由实施者定义。	keyword
event.code	此事件的标识代码（如果存在）。某些事件源使用事件代码来明确标识消息，而不考虑消息语言或随着时间的推移进行的措辞调整。Windows 事件 ID 就是一个例子。	keyword
event.dataset	事件数据集	constant_keyword
event.ingested	事件到达中心数据存储的时间戳。这与 `@timestamp` 不同，后者是事件最初发生的时间。它也与 `event.created` 不同，后者旨在捕获代理第一次看到事件的时间。在正常情况下，假设没有篡改，时间戳应该按时间顺序显示为：`@timestamp` < `event.created` < `event.ingested`。	date
event.module	事件模块	constant_keyword
event.original	整个事件的原始文本消息。用于演示日志完整性或可能需要完整日志消息（在将其拆分为多个部分之前）的位置，例如用于重新索引。此字段未编制索引，并且 doc_values 已禁用。它无法搜索，但可以从 `_source` 中检索。如果用户希望覆盖此设置并索引此字段，请参阅 `Elasticsearch 参考`中的 `字段数据类型`。	keyword
event.outcome	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最低级别。`event.outcome` 只是表示从生成事件的实体的角度来看，事件是成功还是失败。请注意，当在多个事件中描述单个事务时，每个事件可能会根据其角度填充不同的 `event.outcome` 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能从事件生成者的角度捕获整体成功或失败的值。此外，并非所有事件都会具有关联的结果。例如，此字段通常不会为指标事件、`event.type:info` 的事件或任何结果没有逻辑意义的事件填充。	keyword
event.timezone	当事件的时间戳不包含时区信息时（例如，默认 Syslog 时间戳），应填充此字段。否则为可选。可接受的时区格式为：规范 ID（例如“Europe/Amsterdam”）、缩写（例如“EST”）或 HH:mm 差值（例如“-05:00”）。	keyword
file.attributes	文件属性数组。属性名称因平台而异。以下是此字段中预期值的非详尽列表：archive、compressed、directory、encrypted、execute、hidden、read、readonly、system、write。	keyword
file.directory	文件所在的目录。它应包括驱动器盘符（如果适用）。	keyword
file.extension	文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名 (example.tar.gz) 时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。	keyword
file.name	文件名，包括扩展名，但不包括目录。	keyword
file.path	文件的完整路径，包括文件名。它应包括驱动器盘符（如果适用）。	keyword
file.path.text	`file.path` 的多字段。	match_only_text
file.size	文件大小（字节）。仅当 `file.type` 为“file”时才相关。	long
file.type	文件类型（文件、目录或符号链接）。	keyword
geo.city_name	城市名称。	keyword
geo.country_name	国家/地区名称。	keyword
geo.name	用户自定义的位置描述，粒度级别由用户决定。可以是他们的数据中心的名称、楼层号（如果描述的是本地物理实体）或城市名称。通常不用于自动化地理定位。	keyword
geo.region_name	区域名称。	keyword
group.id	系统/平台上组的唯一标识符。	keyword
group.name	组的名称。	keyword
host.hostname	主机的 hostname。它通常包含主机上 `hostname` 命令返回的内容。	keyword
host.ip	主机 IP 地址。	ip
host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出该八位字节的无符号整数值。连续的八位字节用连字符分隔。	keyword
host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
http.request.method	HTTP 请求方法。该值应保留原始事件中的大小写。例如，`GET`、`get` 和 `GeT` 都被视为此字段的有效值。	keyword
http.request.referrer	此 HTTP 请求的引用页。	keyword
input.type	Filebeat 输入的类型。	keyword
log.file.path	此事件来自的日志文件的完整路径。	keyword
log.flags	日志文件的标志。	keyword
log.level	日志事件的原始日志级别。如果事件的来源提供了日志级别或文本严重性，则此级别或严重性会放入 `log.level`。如果您的来源没有指定，您可以将事件传输的严重性放在这里（例如，Syslog 严重性）。一些示例包括 `warn`、`err`、`i` 和 `informational`。	keyword
log.offset	日志文件中条目的偏移量。	long
log.source.address	读取/发送日志事件的源地址。	keyword
log.syslog.facility.code	日志事件的 Syslog 数字 facility（如果可用）。根据 RFC 5424 和 3164，此值应为 0 到 23 之间的整数。	long
log.syslog.priority	事件的 Syslog 数字优先级（如果可用）。根据 RFC 5424 和 3164，优先级是 8 * facility + severity。因此，此数字预计包含 0 到 191 之间的值。	long
log.syslog.severity.code	日志事件的 Syslog 数字严重性（如果可用）。如果通过 Syslog 发布事件的事件源提供了不同的数字严重性值（例如，防火墙、IDS），则您源的数字严重性应转到 `event.severity`。如果事件源未指定不同的严重性，您可以选择将 Syslog 严重性复制到 `event.severity`。	long
message	对于日志事件，message 字段包含日志消息，经过优化以便在日志查看器中查看。对于没有原始 message 字段的结构化日志，可以将其他字段连接起来，形成事件的人类可读摘要。如果存在多个消息，可以将它们合并为一个消息。	match_only_text
network.application	当从网络连接详细信息（源/目标 IP、端口、证书或线路格式）识别出特定应用程序或服务时，此字段会捕获应用程序或服务的名称。例如，原始事件标识网络连接来自 `https` 网络连接中的特定 Web 服务，例如 `facebook` 或 `twitter`。为了查询，字段值必须标准化为小写。	keyword
network.bytes	在两个方向上传输的总字节数。如果知道 `source.bytes` 和 `destination.bytes`，则 `network.bytes` 是它们的总和。	long
network.direction	网络流量的方向。在映射来自基于主机的监视上下文的事件时，请从主机的角度使用值“ingress”或“egress”填充此字段。在映射来自基于网络或外围的监视上下文的事件时，请从网络外围的角度使用值“inbound”、“outbound”、“internal”或“external”填充此字段。请注意，“internal”并未跨越外围边界，旨在描述外围内两台主机之间的通信。另请注意，“external”旨在描述外围外部的两台主机之间的流量。例如，这对于 ISP 或 VPN 服务提供商可能很有用。	keyword
network.forwarded_ip	当源 IP 地址为代理时的主机 IP 地址。	ip
network.interface.name		keyword
网络接口名称。	network.packets	long
在两个方向上传输的总数据包数。如果知道 `source.packets` 和 `destination.packets`，则 `network.packets` 是它们的总和。	network.protocol	keyword
observer.egress.interface.name	系统报告的接口名称。	keyword
observer.ingress.interface.name	系统报告的接口名称。	keyword
观察者的产品名称。	observer.product	keyword
数据来源的观察者类型。没有预定义的观察者类型列表。一些示例包括 `forwarder`、`firewall`、`ids`、`ips`、`proxy`、`poller`、`sensor` 和 `APM server`。	observer.type	keyword
观察者的供应商名称。	observer.vendor	keyword
观察者版本。	observer.version	keyword
进程名称。有时称为程序名称或类似名称。	process.name	keyword
`process.name` 的多字段。	process.name.text	match_only_text
父进程名称。	process.name	keyword
process.parent.name	`process.parent.name` 的多字段。	match_only_text
process.parent.name.text	进程 ID。	long
process.parent.pid	进程标题。有时与进程名称相同的 proctitle。也可能不同：例如，浏览器将其标题设置为当前打开的网页。	keyword
process.parent.title	`process.parent.title` 的多字段。	match_only_text
process.parent.title.text	进程 ID。	long
进程 ID。	进程标题。有时与进程名称相同的 proctitle。也可能不同：例如，浏览器将其标题设置为当前打开的网页。	keyword
process.pid	进程标题。	match_only_text
`process.title` 的多字段。	process.title.text	keyword
在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。	related.hosts	ip
您事件中看到的所有 IP。	related.ip	keyword
在事件中看到的所有用户名或其他用户标识符。	related.user	long
这是一个通用计数器键，应仅与标签 dclass.c1.str 一起使用。	rsa.counters.dclass_c1	keyword
这是一个通用计数器字符串键，应仅与标签 dclass.c1 一起使用。	rsa.counters.dclass_c1_str	long
这是一个通用计数器键，应仅与标签 dclass.c2.str 一起使用。	rsa.counters.dclass_c2	keyword
这是一个通用计数器字符串键，应仅与标签 dclass.c2 一起使用。	rsa.counters.dclass_c2_str	long
这是一个通用计数器键，应仅与标签 dclass.c3.str 一起使用。	rsa.counters.dclass_c3	keyword
这是一个通用计数器字符串键，应仅与标签 dclass.c3 一起使用。	rsa.counters.dclass_c3_str	keyword
这是一个通用比率键，应仅与标签 dclass.r1.str 一起使用。	rsa.counters.dclass_r1	keyword
这是一个通用比率字符串键，应仅与标签 dclass.r1 一起使用。	rsa.counters.dclass_r1_str	keyword
这是一个通用比率键，应仅与标签 dclass.r2.str 一起使用。	rsa.counters.dclass_r2	keyword
这是一个通用比率字符串键，应仅与标签 dclass.r2 一起使用。	rsa.counters.dclass_r2_str	keyword
这是一个通用比率键，应仅与标签 dclass.r3.str 一起使用。	rsa.counters.dclass_r3	keyword
这是一个通用比率字符串键，应仅与标签 dclass.r3 一起使用。	rsa.counters.dclass_r3_str	long
用于捕获事件重复次数。	rsa.counters.event_counter	keyword
此键仅用于捕获证书签名机构。		keyword
rsa.crypto.cert_ca	证书校验和。	keyword
rsa.crypto.cert_checksum	此键仅用于捕获证书的公用名称。	keyword
rsa.crypto.cert_common	此键捕获证书错误字符串。	keyword
rsa.crypto.cert_error	此键用于证书的主机名类别值。	keyword
rsa.crypto.cert_host_cat		keyword
仅在表映射中定义的已弃用键。		keyword
rsa.crypto.cert_host_name	证书颁发者。	keyword
rsa.crypto.cert_issuer	证书密钥大小。	keyword
rsa.crypto.cert_keysize	此键仅用于捕获证书序列号。	keyword
rsa.crypto.cert_serial		keyword
此键捕获证书验证状态。	rsa.crypto.cert_status	keyword
此键仅用于捕获证书组织。	rsa.crypto.cert_subject	long
证书用户名。	rsa.crypto.cert_username	long
此键用于目标（服务器）密码。	rsa.crypto.cipher_dst	keyword
此键捕获目标（服务器）密码大小。	rsa.crypto.cipher_size_dst	keyword
此键捕获源（客户端）密码大小。		keyword
rsa.crypto.cipher_size_src		keyword
此键用于源（客户端）密码。		keyword
rsa.crypto.cipher_src	此键用于捕获加密类型或加密密钥。	keyword
rsa.crypto.crypto	目标证书颁发机构。	keyword
rsa.crypto.d_certauth	HTTPS 连接活跃状态。	keyword
rsa.crypto.https_insact	HTTPS 证书有效性。	keyword
rsa.crypto.https_valid	IKE 协商阶段。	keyword
rsa.crypto.ike		keyword
协商的 ID — 为 ISAKMP 第一阶段发送。	rsa.crypto.ike_cookie1	keyword
协商的 ID — 为 ISAKMP 第二阶段发送。	rsa.crypto.ike_cookie2	keyword
此键用于加密对等方的 IP 地址。	rsa.crypto.peer	keyword
此键用于加密对等方的身份。	rsa.crypto.peer	keyword
rsa.crypto.peer_id	源证书颁发机构。	keyword
rsa.crypto.s_certauth	此键捕获使用的加密方案。	keyword
rsa.crypto.scheme	此键捕获签名类型。	long
rsa.crypto.sig_type	已弃用，请使用 version。	keyword
rsa.crypto.ssl_ver_dst	此键用于捕获数据库服务器实例名称	keyword
rsa.db.lread	此键用于表示逻辑读取的次数	long
rsa.db.lwrite	此键用于表示逻辑写入的次数	long
rsa.db.permissions	此键捕获分配给资源的权限或特权级别。	keyword
rsa.db.pread	此键用于表示物理写入的次数	long
rsa.db.table_name	此键用于捕获表名	keyword
rsa.db.transact_id	此键捕获当前会话的 SQL 事务 ID	keyword
rsa.email.email	此键用于捕获通用电子邮件地址，当源或目标上下文不明确时使用	keyword
rsa.email.email_dst	此键用于仅捕获目标电子邮件地址，当目标上下文不明确时使用 email	keyword
rsa.email.email_src	此键用于仅捕获源电子邮件地址，当源上下文不明确时使用 email	keyword
rsa.email.subject	此键用于仅捕获电子邮件中的主题字符串。	keyword
rsa.email.trans_from	此键用于证书的主机名类别值。	keyword
rsa.email.trans_to	此键用于证书的主机名类别值。	keyword
rsa.endpoint.host_state	此键用于捕获计算机的当前状态，例如 <strong>已列入黑名单</strong>、<strong>已感染</strong>、<strong>防火墙已禁用</strong>等等	keyword
rsa.endpoint.registry_key	此键捕获注册表项的路径	keyword
rsa.endpoint.registry_value	此键捕获注册表项中使用的值或修饰符	keyword
rsa.file.attachment	此键捕获附件文件名	keyword
rsa.file.binary	此键用于证书的主机名类别值。	keyword
rsa.file.directory_dst	<span>此键用于捕获目标进程或文件的目录</span>	keyword
rsa.file.directory_src	此键用于捕获源进程或文件的目录	keyword
rsa.file.file_entropy	此键用于捕获文件的熵值	双精度
rsa.file.file_vendor	此键用于捕获位于 version_info 中的文件的公司名称	keyword
rsa.file.filename_dst	此键用于捕获操作所针对的文件名	keyword
rsa.file.filename_src	此键用于捕获执行操作的父文件名	keyword
rsa.file.filename_tmp		keyword
rsa.file.filesystem		keyword
rsa.file.privilege	已弃用，请使用 permissions	keyword
rsa.file.task_name	此键用于捕获任务的名称	keyword
rsa.healthcare.patient_fname	此键仅用于名字，主要用于医疗保健领域以捕获患者信息	keyword
rsa.healthcare.patient_id	此键捕获患者的唯一 ID	keyword
rsa.healthcare.patient_lname	此键仅用于姓氏，主要用于医疗保健领域以捕获患者信息	keyword
rsa.healthcare.patient_mname	此键仅用于中间名，主要用于医疗保健领域以捕获患者信息	keyword
rsa.identity.accesses	此键用于捕获访问对象时使用的实际特权	keyword
rsa.identity.auth_method	此键仅用于捕获使用的身份验证方法	keyword
rsa.identity.dn	X.500 (LDAP) 专有名称	keyword
rsa.identity.dn_dst	一个 X.500 (LDAP) 专有名称，用于指示目标 dn 的上下文	keyword
rsa.identity.dn_src	一个 X.500 (LDAP) 专有名称，用于指示源 dn 的上下文	keyword
rsa.identity.federated_idp	此键是联合身份提供程序。这是提供身份验证的服务器。	keyword
rsa.identity.federated_sp	此键是联合服务提供商。这是请求身份验证的应用程序。	keyword
rsa.identity.firstname	此键仅用于名字，主要用于医疗保健领域以捕获患者信息	keyword
rsa.identity.host_role	此键应仅用于捕获主机角色的计算机	keyword
rsa.identity.lastname	此键仅用于姓氏，主要用于医疗保健领域以捕获患者信息	keyword
rsa.identity.ldap	此键用于未解释的 LDAP 值。没有明确查询或响应上下文的 LDAP 值	keyword
rsa.identity.ldap_query	此键是 LDAP 搜索的搜索条件	keyword
rsa.identity.ldap_response	此键用于捕获 LDAP 搜索的结果	keyword
rsa.identity.logon_type	此键用于捕获使用的登录方法类型。	keyword
rsa.identity.logon_type_desc	此键用于捕获存储在元键logon.type中的整数登录类型的文本描述。	keyword
rsa.identity.middlename	此键仅用于中间名，主要用于医疗保健领域以捕获患者信息	keyword
rsa.identity.org	此键捕获用户组织	keyword
rsa.identity.owner	此键用于捕获进程或服务运行的用户，即任务的作者	keyword
rsa.identity.password	此键用于在任何会话中看到的密码，可以是明文或加密的	keyword
rsa.identity.profile	此键用于捕获用户配置文件	keyword
rsa.identity.realm	Radius 领域或类似账户分组	keyword
rsa.identity.service_account	此键是 Windows 特定的键，用于捕获服务（在事件中引用）在其下运行的账户名称。遗留用法	keyword
rsa.identity.user_dept	仅用户部门名称	keyword
rsa.identity.user_role	此键仅用于捕获用户的角色	keyword
rsa.identity.user_sid_dst	此键捕获目标用户会话 ID	keyword
rsa.identity.user_sid_src	此键捕获源用户会话 ID	keyword
rsa.internal.audit_class	此键用于证书的主机名类别值。	keyword
rsa.internal.cid	这是用于标识 NetWitness Concentrator 的唯一标识符。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	keyword
rsa.internal.data	此键用于证书的主机名类别值。	keyword
rsa.internal.dead	此键用于证书的主机名类别值。	long
rsa.internal.device_class	这是在预定义的固定事件源分类下日志事件源的分类。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	keyword
rsa.internal.device_group	此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	keyword
rsa.internal.device_host	这是将日志发送到 NetWitness 的日志事件源的主机名。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	keyword
rsa.internal.device_ip	这是将日志发送到 NetWitness 的日志事件源的 IPv4 地址。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	ip
rsa.internal.device_ipv6	这是将日志发送到 NetWitness 的日志事件源的 IPv6 地址。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	ip
rsa.internal.device_type	这是解析给定会话的日志解析器的名称。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	keyword
rsa.internal.device_type_id	此键用于证书的主机名类别值。	long
rsa.internal.did	这是用于标识 NetWitness 解码器的唯一标识符。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	keyword
rsa.internal.entropy_req	此键仅由熵解析器使用，元类型可以是 UInt16 或 Float32，具体取决于配置	long
rsa.internal.entropy_res	此键仅由熵解析器使用，元类型可以是 UInt16 或 Float32，具体取决于配置	long
rsa.internal.entry	此键用于证书的主机名类别值。	keyword
rsa.internal.event_desc		keyword
rsa.internal.event_name	此键用于证书的主机名类别值。	keyword
rsa.internal.feed_category	此键用于捕获 feed 的类别。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	keyword
rsa.internal.feed_desc	此键用于捕获 feed 的描述。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	keyword
rsa.internal.feed_name	此键用于捕获 feed 的名称。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	keyword
rsa.internal.forward_ip	此键应用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPv4 地址。	ip
rsa.internal.forward_ipv6	此键用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPv6 地址。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	ip
rsa.internal.hcode	此键用于证书的主机名类别值。	keyword
rsa.internal.header_id	此键是 Header ID 值，用于标识解析特定日志会话的精确日志解析器标头定义。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	keyword
rsa.internal.inode	此键用于证书的主机名类别值。	long
rsa.internal.lc_cid	这是日志收集器的唯一标识符。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	keyword
rsa.internal.lc_ctime	这是在 NetWitness 日志收集器中收集日志的时间。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	date
rsa.internal.level	此键用于证书的主机名类别值。	long
rsa.internal.mcb_req	此键仅由熵解析器使用，最常见的字节请求是简单地查看每一侧（0 到 255）哪个字节出现的次数最多	long
rsa.internal.mcb_res	此键仅由熵解析器使用，最常见的字节响应是简单地查看每一侧（0 到 255）哪个字节出现的次数最多	long
rsa.internal.mcbc_req	此键仅由熵解析器使用，最常见字节计数是会话流中看到最常见字节（以上）的次数	long
rsa.internal.mcbc_res	此键仅由熵解析器使用，最常见字节计数是会话流中看到最常见字节（以上）的次数	long
rsa.internal.medium	此键用于标识是日志/数据包会话还是第 2 层封装类型。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键。32 = 日志，33 = 关联会话，< 32 是数据包会话	long
rsa.internal.message	此键捕获即时消息的内容	keyword
rsa.internal.messageid		keyword
rsa.internal.msg	此键用于捕获进入日志解码器的原始消息	keyword
rsa.internal.msg_id	此键是 Message ID1 值，用于标识解析特定日志会话的精确日志解析器定义。此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	keyword
rsa.internal.msg_vid	这是消息 ID2 值，用于标识解析特定日志会话的确切日志解析器定义。此键永远不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键。	keyword
rsa.internal.node_name	此键用于证书的主机名类别值。	keyword
rsa.internal.nwe_callback_id	此键表示事件与端点相关。	keyword
rsa.internal.obj_id	此键用于证书的主机名类别值。	keyword
rsa.internal.obj_server	此键用于证书的主机名类别值。	keyword
rsa.internal.obj_val	此键用于证书的主机名类别值。	keyword
rsa.internal.parse_error	这是一个特殊键，用于存储在解析日志会话时发现的任何元数据键验证错误。此键永远不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键。	keyword
rsa.internal.payload_req	此键仅由熵解析器使用，有效负载大小指标是解析时每个会话侧的有效负载大小。但是，为了保持	long
rsa.internal.payload_res	此键仅由熵解析器使用，有效负载大小指标是解析时每个会话侧的有效负载大小。但是，为了保持	long
rsa.internal.process_vid_dst	端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示目标进程。	keyword
rsa.internal.process_vid_src	端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示源进程。	keyword
rsa.internal.resource	此键用于证书的主机名类别值。	keyword
rsa.internal.resource_class	此键用于证书的主机名类别值。	keyword
rsa.internal.rid	这是由 NetWitness 解码器创建的远程会话的特殊 ID。此键永远不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键。	long
rsa.internal.session_split	此键绝不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键	keyword
rsa.internal.site	此键用于证书的主机名类别值。	keyword
rsa.internal.size	这是 NetWitness 解码器看到的会话大小。此键永远不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键。	long
rsa.internal.sourcefile	这是可以导入到 NetWitness 的日志文件或 PCAP 的名称。此键永远不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键。	keyword
rsa.internal.statement	此键用于证书的主机名类别值。	keyword
rsa.internal.time	这是会话到达 NetWitness 解码器的时间。此键永远不应用于直接从会话（日志/数据包）解析元数据，它是 NetWitness 中的保留键。	date
rsa.internal.ubc_req	此键仅由熵解析器使用，“唯一字节计数”是每个流中看到的唯一字节数。256 表示至少看到过一次 0 到 255 的所有字节值。	long
rsa.internal.ubc_res	此键仅由熵解析器使用，“唯一字节计数”是每个流中看到的唯一字节数。256 表示至少看到过一次 0 到 255 的所有字节值。	long
rsa.internal.word	字解析技术使用它来捕获未解析日志中每个单词的前 5 个字符	keyword
rsa.investigations.analysis_file	用于捕获文件分析中使用的所有指标。此键应用于捕获文件的分析	keyword
rsa.investigations.analysis_service	用于捕获服务分析中使用的所有指标。此键应用于捕获服务的分析	keyword
rsa.investigations.analysis_session	用于捕获会话分析中使用的所有指标。此键应用于捕获会话的分析	keyword
rsa.investigations.boc	用于捕获泄露行为	keyword
rsa.investigations.ec_activity	此键捕获特定的事件活动（例如：注销）	keyword
rsa.investigations.ec_outcome	此键捕获特定事件的结果（例如：成功）	keyword
rsa.investigations.ec_subject	此键捕获特定事件的主题（例如：用户）	keyword
rsa.investigations.ec_theme	此键捕获特定事件的主题（例如：身份验证）	keyword
rsa.investigations.eoc	用于捕获泄露的促成因素	keyword
rsa.investigations.event_cat	此键捕获事件类别编号	long
rsa.investigations.event_cat_name	此键捕获与事件类别代码对应的事件类别名称	keyword
rsa.investigations.event_vcat	这是供应商提供的类别。这应该用于供应商采用了他们自己的 event_category 分类法的情况。	keyword
rsa.investigations.inv_category	用于捕获调查类别	keyword
rsa.investigations.inv_context	用于捕获调查上下文	keyword
rsa.investigations.ioc	这是捕获泄露指标的键	keyword
rsa.misc.OS	此键捕获操作系统的名称	keyword
rsa.misc.acl_id		keyword
rsa.misc.acl_op		keyword
rsa.misc.acl_pos		keyword
rsa.misc.acl_table		keyword
rsa.misc.action		keyword
rsa.misc.admin		keyword
rsa.misc.agent_id	此键用于捕获代理 ID	keyword
rsa.misc.alarm_id		keyword
rsa.misc.alarmname		keyword
rsa.misc.alert_id	已弃用，新的狩猎模型 (inv.，ioc，boc，eoc，analysis.)	keyword
rsa.misc.app_id		keyword
rsa.misc.audit		keyword
rsa.misc.audit_object		keyword
rsa.misc.auditdata		keyword
rsa.misc.autorun_type	用于捕获自动运行类型	keyword
rsa.misc.benchmark		keyword
rsa.misc.bypass		keyword
rsa.misc.cache		keyword
rsa.misc.cache_hit		keyword
rsa.misc.category	此键用于捕获会话中供应商给出的事件类别	keyword
rsa.misc.cc_number	仅限有效的信用卡号	long
rsa.misc.cefversion		keyword
rsa.misc.cfg_attr		keyword
rsa.misc.cfg_obj		keyword
rsa.misc.cfg_path		keyword
rsa.misc.change_attrib	此键用于捕获会话中正在更改的属性的名称	keyword
rsa.misc.change_new	此键用于捕获会话中正在更改的属性的新值	keyword
rsa.misc.change_old	此键用于捕获会话中正在更改的属性的旧值	keyword
rsa.misc.changes		keyword
rsa.misc.checksum	此键用于捕获实体（例如文件或进程）的校验和或哈希。当不清楚实体是操作的源还是目标时，应优先使用 checksum 而不是 checksum.src 或 checksum.dst。	keyword
rsa.misc.checksum_dst	此键用于捕获目标实体（例如进程或文件）的校验和或哈希。	keyword
rsa.misc.checksum_src	此键用于捕获源实体（例如文件或进程）的校验和或哈希。	keyword
rsa.misc.client	此键用于仅捕获请求服务器资源的客户端应用程序的名称。有关捕获特定用户代理标识符或浏览器标识字符串，请参阅 user.agent 元键。	keyword
rsa.misc.client_ip		keyword
rsa.misc.clustermembers		keyword
rsa.misc.cmd		keyword
rsa.misc.cn_acttimeout		keyword
rsa.misc.cn_asn_src		keyword
rsa.misc.cn_bgpv4nxthop		keyword
rsa.misc.cn_ctr_dst_code		keyword
rsa.misc.cn_dst_tos		keyword
rsa.misc.cn_dst_vlan		keyword
rsa.misc.cn_engine_id		keyword
rsa.misc.cn_engine_type		keyword
rsa.misc.cn_f_switch		keyword
rsa.misc.cn_flowsampid		keyword
rsa.misc.cn_flowsampintv		keyword
rsa.misc.cn_flowsampmode		keyword
rsa.misc.cn_inacttimeout		keyword
rsa.misc.cn_inpermbyts		keyword
rsa.misc.cn_inpermpckts		keyword
rsa.misc.cn_invalid		keyword
rsa.misc.cn_ip_proto_ver		keyword
rsa.misc.cn_ipv4_ident		keyword
rsa.misc.cn_l_switch		keyword
rsa.misc.cn_log_did		keyword
rsa.misc.cn_log_rid		keyword
rsa.misc.cn_max_ttl		keyword
rsa.misc.cn_maxpcktlen		keyword
rsa.misc.cn_min_ttl		keyword
rsa.misc.cn_minpcktlen		keyword
rsa.misc.cn_mpls_lbl_1		keyword
rsa.misc.cn_mpls_lbl_10		keyword
rsa.misc.cn_mpls_lbl_2		keyword
rsa.misc.cn_mpls_lbl_3		keyword
rsa.misc.cn_mpls_lbl_4		keyword
rsa.misc.cn_mpls_lbl_5		keyword
rsa.misc.cn_mpls_lbl_6		keyword
rsa.misc.cn_mpls_lbl_7		keyword
rsa.misc.cn_mpls_lbl_8		keyword
rsa.misc.cn_mpls_lbl_9		keyword
rsa.misc.cn_mplstoplabel		keyword
rsa.misc.cn_mplstoplabip		keyword
rsa.misc.cn_mul_dst_byt		keyword
rsa.misc.cn_mul_dst_pks		keyword
rsa.misc.cn_muligmptype		keyword
rsa.misc.cn_sampalgo		keyword
rsa.misc.cn_sampint		keyword
rsa.misc.cn_seqctr		keyword
rsa.misc.cn_spackets		keyword
rsa.misc.cn_src_tos		keyword
rsa.misc.cn_src_vlan		keyword
rsa.misc.cn_sysuptime		keyword
rsa.misc.cn_template_id		keyword
rsa.misc.cn_totbytsexp		keyword
rsa.misc.cn_totflowexp		keyword
rsa.misc.cn_totpcktsexp		keyword
rsa.misc.cn_unixnanosecs		keyword
rsa.misc.cn_v6flowlabel		keyword
rsa.misc.cn_v6optheaders		keyword
rsa.misc.code		keyword
rsa.misc.command		keyword
rsa.misc.comments	日志消息中提供的注释信息	keyword
rsa.misc.comp_class		keyword
rsa.misc.comp_name		keyword
rsa.misc.comp_rbytes		keyword
rsa.misc.comp_sbytes		keyword
rsa.misc.comp_version	此键捕获产品子组件的版本级别。	keyword
rsa.misc.connection_id	此键捕获连接 ID	keyword
rsa.misc.content	此键捕获协议标头中的内容类型	keyword
rsa.misc.content_type	此键仅用于捕获内容类型。	keyword
rsa.misc.content_version	此键捕获签名或数据库内容的版本级别。	keyword
rsa.misc.context	此键捕获为事件添加额外上下文的信息。	keyword
rsa.misc.context_subject	此键用于审计上下文中，其中主题是被标识的对象	keyword
rsa.misc.context_target		keyword
rsa.misc.count		keyword
rsa.misc.cpu	此键是记录事件执行中使用的 CPU 时间。	long
rsa.misc.cpu_data		keyword
rsa.misc.criticality		keyword
rsa.misc.cs_agency_dst		keyword
rsa.misc.cs_analyzedby		keyword
rsa.misc.cs_av_other		keyword
rsa.misc.cs_av_primary		keyword
rsa.misc.cs_av_secondary		keyword
rsa.misc.cs_bgpv6nxthop		keyword
rsa.misc.cs_bit9status		keyword
rsa.misc.cs_context		keyword
rsa.misc.cs_control		keyword
rsa.misc.cs_data		keyword
rsa.misc.cs_datecret		keyword
rsa.misc.cs_dst_tld		keyword
rsa.misc.cs_eth_dst_ven		keyword
rsa.misc.cs_eth_src_ven		keyword
rsa.misc.cs_event_uuid		keyword
rsa.misc.cs_filetype		keyword
rsa.misc.cs_fld		keyword
rsa.misc.cs_if_desc		keyword
rsa.misc.cs_if_name		keyword
rsa.misc.cs_ip_next_hop		keyword
rsa.misc.cs_ipv4dstpre		keyword
rsa.misc.cs_ipv4srcpre		keyword
rsa.misc.cs_lifetime		keyword
rsa.misc.cs_log_medium		keyword
rsa.misc.cs_loginname		keyword
rsa.misc.cs_modulescore		keyword
rsa.misc.cs_modulesign		keyword
rsa.misc.cs_opswatresult		keyword
rsa.misc.cs_payload		keyword
rsa.misc.cs_registrant		keyword
rsa.misc.cs_registrar		keyword
rsa.misc.cs_represult		keyword
rsa.misc.cs_rpayload		keyword
rsa.misc.cs_sampler_name		keyword
rsa.misc.cs_sourcemodule		keyword
rsa.misc.cs_streams		keyword
rsa.misc.cs_targetmodule		keyword
rsa.misc.cs_v6nxthop		keyword
rsa.misc.cs_whois_server		keyword
rsa.misc.cs_yararesult		keyword
rsa.misc.cve	此键捕获 CVE（通用漏洞和披露）- 已知信息安全漏洞的标识符。	keyword
rsa.misc.data_type		keyword
rsa.misc.description		keyword
rsa.misc.device_name	用于捕获与节点关联的设备的名称，例如：物理磁盘、打印机等	keyword
rsa.misc.devvendor		keyword
rsa.misc.disposition	此键捕获操作的最终状态。	keyword
rsa.misc.distance		keyword
rsa.misc.doc_number	此键捕获文件标识号	long
rsa.misc.dstburb		keyword
rsa.misc.edomain		keyword
rsa.misc.edomaub		keyword
rsa.misc.ein_number	仅限员工识别号	long
rsa.misc.error	此键捕获所有不成功的错误代码或响应	keyword
rsa.misc.euid		keyword
rsa.misc.event_category		keyword
rsa.misc.event_computer	此键是仅限 Windows 的概念，其中此键用于捕获 Windows 日志中的完全限定域名。	keyword
rsa.misc.event_desc	此键用于捕获直接或推断可用的事件描述	keyword
rsa.misc.event_id		keyword
rsa.misc.event_log	此键捕获事件日志的名称	keyword
rsa.misc.event_source	此键捕获不是主机名的事件源	keyword
rsa.misc.event_state	此键捕获事件中引用的对象/项目的当前状态。描述正在进行的事件。	keyword
rsa.misc.event_type	此键捕获事件源指定的事件类别类型。	keyword
rsa.misc.event_user	此键是仅限 Windows 的概念，其中此键用于捕获 Windows 日志中的域名和用户名的组合。	keyword
rsa.misc.expected_val	此键捕获预期值（从生成日志的设备角度来看）。	keyword
rsa.misc.facility		keyword
rsa.misc.facilityname		keyword
rsa.misc.fcatnum	此键捕获过滤器类别编号。旧版用法	keyword
rsa.misc.filter	此键捕获用于减少结果集的过滤器	keyword
rsa.misc.finterface		keyword
rsa.misc.flags		keyword
rsa.misc.forensic_info		keyword
rsa.misc.found	用于捕获正则表达式匹配的结果	keyword
rsa.misc.fresult	此键捕获过滤器结果	long
rsa.misc.gaddr		keyword
rsa.misc.group	此键捕获组名称值	keyword
rsa.misc.group_id	此键捕获组 ID 号（与组名称相关）	keyword
rsa.misc.group_object	此键捕获实体集合/分组。具体用法	keyword
rsa.misc.hardware_id	此键用于捕获设备或系统的唯一标识符（不是 Mac 地址）	keyword
rsa.misc.id3		keyword
rsa.misc.im_buddyid		keyword
rsa.misc.im_buddyname		keyword
rsa.misc.im_client		keyword
rsa.misc.im_croomid		keyword
rsa.misc.im_croomtype		keyword
rsa.misc.im_members		keyword
rsa.misc.im_userid		keyword
rsa.misc.im_username		keyword
rsa.misc.index		keyword
rsa.misc.inout		keyword
rsa.misc.ipkt		keyword
rsa.misc.ipscat		keyword
rsa.misc.ipspri		keyword
rsa.misc.job_num	此键捕获作业编号	keyword
rsa.misc.jobname		keyword
rsa.misc.language	用于捕获客户端支持的语言列表及其首选语言	keyword
rsa.misc.latitude		keyword
rsa.misc.library	此键用于捕获大型机设备中的库信息	keyword
rsa.misc.lifetime	此键用于捕获会话的生命周期（以秒为单位）。	long
rsa.misc.linenum		keyword
rsa.misc.link	此键用于将会话链接在一起。此键永远不应该用于直接解析会话（日志/数据包）中的元数据，这是 NetWitness 中的保留键	keyword
rsa.misc.list_name		keyword
rsa.misc.listnum	此键用于捕获列表名称或列表编号，主要用于收集访问列表	keyword
rsa.misc.load_data		keyword
rsa.misc.location_floor		keyword
rsa.misc.location_mark		keyword
rsa.misc.log_id		keyword
rsa.misc.log_session_id	此键用于直接从会话中捕获会话 ID	keyword
rsa.misc.log_session_id1	此键用于直接从会话中捕获链接的（相关的）会话 ID	keyword
rsa.misc.log_type		keyword
rsa.misc.logid		keyword
rsa.misc.logip		keyword
rsa.misc.logname		keyword
rsa.misc.longitude		keyword
rsa.misc.lport		keyword
rsa.misc.mail_id	此键用于捕获邮箱 ID/名称	keyword
rsa.misc.match	此键用于来自 search.ini 的正则表达式匹配名称	keyword
rsa.misc.mbug_data		keyword
rsa.misc.message_body	此键捕获消息正文的内容。	keyword
rsa.misc.misc		keyword
rsa.misc.misc_name		keyword
rsa.misc.mode		keyword
rsa.misc.msgIdPart1		keyword
rsa.misc.msgIdPart2		keyword
rsa.misc.msgIdPart3		keyword
rsa.misc.msgIdPart4		keyword
rsa.misc.msg_type		keyword
rsa.misc.msgid		keyword
rsa.misc.name		keyword
rsa.misc.netsessid		keyword
rsa.misc.node	常见的用例是集群内的节点名称。集群名称由主机名反映。	keyword
rsa.misc.ntype		keyword
rsa.misc.num		keyword
rsa.misc.number		keyword
rsa.misc.number1		keyword
rsa.misc.number2		keyword
rsa.misc.nwwn		keyword
rsa.misc.obj_name	用于捕获对象的名称	keyword
rsa.misc.obj_type	用于捕获对象的类型	keyword
rsa.misc.object		keyword
rsa.misc.observed_val	此键捕获观察到的值（从生成日志的设备角度来看）。	keyword
rsa.misc.operation		keyword
rsa.misc.operation_id	警报编号或操作编号。这些值应该是唯一的且不重复的。	keyword
rsa.misc.opkt		keyword
rsa.misc.orig_from		keyword
rsa.misc.owner_id		keyword
rsa.misc.p_action		keyword
rsa.misc.p_filter		keyword
rsa.misc.p_group_object		keyword
rsa.misc.p_id		keyword
rsa.misc.p_msgid		keyword
rsa.misc.p_msgid1		keyword
rsa.misc.p_msgid2		keyword
rsa.misc.p_result1		keyword
rsa.misc.param	此键是作为命令或应用程序等一部分传递的参数。	keyword
rsa.misc.param_dst	此键捕获目标进程或文件的命令行/启动参数	keyword
rsa.misc.param_src	此键捕获源参数	keyword
rsa.misc.parent_node	此键捕获父节点名称。必须与节点变量相关。	keyword
rsa.misc.password_chg		keyword
rsa.misc.password_expire		keyword
rsa.misc.payload_dst	此键用于捕获目标有效负载	keyword
rsa.misc.payload_src	此键用于捕获源有效负载	keyword
rsa.misc.permgranted		keyword
rsa.misc.permwanted		keyword
rsa.misc.pgid		keyword
rsa.misc.phone		keyword
rsa.misc.pid		keyword
rsa.misc.policy		keyword
rsa.misc.policyUUID		keyword
rsa.misc.policy_id	此键仅用于捕获策略 ID，这应该是一个数值，否则请使用 policy.name	keyword
rsa.misc.policy_name	此键仅用于捕获策略名称。	keyword
rsa.misc.policy_value	此键捕获策略的内容。其中包含有关策略的详细信息	keyword
rsa.misc.policy_waiver		keyword
rsa.misc.pool_id	此键捕获资源池的标识符（通常是数字字段）	keyword
rsa.misc.pool_name	此键捕获资源池的名称	keyword
rsa.misc.port_name	此键用于物理或逻辑端口连接，但不包括网络端口。（示例：打印机端口名称）。	keyword
rsa.misc.priority		keyword
rsa.misc.process_id_val	当进程 ID 不是整数值时，此键是进程 ID 的失败键	keyword
rsa.misc.prog_asp_num		keyword
rsa.misc.program		keyword
rsa.misc.real_data		keyword
rsa.misc.reason		keyword
rsa.misc.rec_asp_device		keyword
rsa.misc.rec_asp_num		keyword
rsa.misc.rec_library		keyword
rsa.misc.recordnum		keyword
rsa.misc.reference_id	此键用于直接从会话中捕获事件 ID	keyword
rsa.misc.reference_id1	此键用于链接 ID，作为“reference.id”的补充	keyword
rsa.misc.reference_id2	此键用于第二个链接 ID。可以链接到“reference.id”或“reference.id1”值，但除非其他两个变量在起作用，否则不应使用。	keyword
rsa.misc.result	此键用于捕获会话中操作的结果/结果字符串值。	keyword
rsa.misc.result_code	此键用于捕获会话中操作的结果/结果数值	keyword
rsa.misc.risk	此键捕获非数值风险值	keyword
rsa.misc.risk_info	已弃用，请使用新的 Hunting 模型 (inv., ioc, boc, eoc, analysis.)	keyword
rsa.misc.risk_num	此键捕获数值风险值	双精度
rsa.misc.risk_num_comm	此键捕获风险编号社区	双精度
rsa.misc.risk_num_next	此键捕获风险编号 NextGen	双精度
rsa.misc.risk_num_sand	此键捕获风险编号沙盒	双精度
rsa.misc.risk_num_static	此键捕获风险编号静态	双精度
rsa.misc.risk_suspicious	已弃用，请使用新的 Hunting 模型 (inv., ioc, boc, eoc, analysis.)	keyword
rsa.misc.risk_warning	已弃用，请使用新的 Hunting 模型 (inv., ioc, boc, eoc, analysis.)	keyword
rsa.misc.ruid		keyword
rsa.misc.rule	此键捕获规则编号	keyword
rsa.misc.rule_group	此键捕获规则组名称	keyword
rsa.misc.rule_name	此键捕获规则名称	keyword
rsa.misc.rule_template	一组默认参数，这些参数覆盖到规则（或规则名称）上，从而有效地构成模板	keyword
rsa.misc.rule_uid	此键是规则的唯一标识符。	keyword
rsa.misc.sburb		keyword
rsa.misc.sdomain_fld		keyword
rsa.misc.search_text	此键捕获使用的搜索文本	keyword
rsa.misc.sec		keyword
rsa.misc.second		keyword
rsa.misc.sensor	此键捕获传感器的名称。通常在基于 IDS/IPS 的设备中使用	keyword
rsa.misc.sensorname		keyword
rsa.misc.seqnum		keyword
rsa.misc.serial_number	此键是与物理资产关联的序列号。	keyword
rsa.misc.session		keyword
rsa.misc.sessiontype		keyword
rsa.misc.severity	此键用于捕获会话的严重程度	keyword
rsa.misc.sigUUID		keyword
rsa.misc.sig_id	此键捕获 IDS/IPS Int 签名 ID	long
rsa.misc.sig_id1	此键捕获 IDS/IPS Int 签名 ID。这必须链接到 sig.id	long
rsa.misc.sig_id_str	此键捕获 sigid 变量的字符串对象。	keyword
rsa.misc.sig_name	此键仅用于捕获签名名称。	keyword
rsa.misc.sigcat		keyword
rsa.misc.snmp_oid	SNMP 对象标识符	keyword
rsa.misc.snmp_value	SNMP 设置请求值	keyword
rsa.misc.space		keyword
rsa.misc.space1		keyword
rsa.misc.spi		keyword
rsa.misc.spi_dst	目标 SPI 索引	keyword
rsa.misc.spi_src	源 SPI 索引	keyword
rsa.misc.sql	此键捕获 SQL 查询	keyword
rsa.misc.srcburb		keyword
rsa.misc.srcdom		keyword
rsa.misc.srcservice		keyword
rsa.misc.state		keyword
rsa.misc.status		keyword
rsa.misc.status1		keyword
rsa.misc.streams	此键捕获会话中的流数	long
rsa.misc.subcategory		keyword
rsa.misc.svcno		keyword
rsa.misc.system		keyword
rsa.misc.tbdstr1		keyword
rsa.misc.tbdstr2		keyword
rsa.misc.tcp_flags	此键捕获会话中任何数据包中设置的 TCP 标志	long
rsa.misc.terminal	此键仅捕获终端名称	keyword
rsa.misc.tgtdom		keyword
rsa.misc.tgtdomain		keyword
rsa.misc.threshold		keyword
rsa.misc.tos	此键描述服务类型	long
rsa.misc.trigger_desc	此键捕获触发器或阈值条件的描述。	keyword
rsa.misc.trigger_val	此键捕获触发器或阈值条件的值。	keyword
rsa.misc.type		keyword
rsa.misc.type1		keyword
rsa.misc.udb_class		keyword
rsa.misc.url_fld		keyword
rsa.misc.user_div		keyword
rsa.misc.userid		keyword
rsa.misc.username_fld		keyword
rsa.misc.utcstamp		keyword
rsa.misc.v_instafname		keyword
rsa.misc.version	此键捕获生成事件的应用程序或操作系统的版本。	keyword
rsa.misc.virt_data		keyword
rsa.misc.virusname	此键捕获病毒的名称	keyword
rsa.misc.vm_target	仅限 VMWare 目标 VMWARE 变量。	keyword
rsa.misc.vpnid		keyword
rsa.misc.vsys	此键捕获虚拟系统名称	keyword
rsa.misc.vuln_ref	此键捕获漏洞参考详细信息	keyword
rsa.misc.workspace	此键捕获工作区描述	keyword
rsa.network.ad_computer_dst	已弃用，请使用 host.dst	keyword
rsa.network.addr		keyword
rsa.network.alias_host	当主机名的源或目标上下文不明确时，应使用此键。它还捕获设备主机名。任何不是 ad.computer 的主机名。	keyword
rsa.network.dinterface	此键仅应在它是目标接口时使用	keyword
rsa.network.dmask	此键用于目标设备的网络掩码	keyword
rsa.network.dns_a_record		keyword
rsa.network.dns_cname_record		keyword
rsa.network.dns_id		keyword
rsa.network.dns_opcode		keyword
rsa.network.dns_ptr_record		keyword
rsa.network.dns_resp		keyword
rsa.network.dns_type		keyword
rsa.network.domain		keyword
rsa.network.domain1		keyword
rsa.network.eth_host	已弃用，请使用 alias.mac	keyword
rsa.network.eth_type	此键用于捕获以太网类型，仅用于第 3 层协议	long
rsa.network.faddr		keyword
rsa.network.fhost		keyword
rsa.network.fport		keyword
rsa.network.gateway	此键用于捕获网关的 IP 地址	keyword
rsa.network.host_dst	此键仅应在它是目标主机名时使用	keyword
rsa.network.host_orig	用于捕获转发代理或代理之间的情况下的原始主机名。	keyword
rsa.network.host_type		keyword
rsa.network.icmp_code	此键仅用于捕获 ICMP 代码	long
rsa.network.icmp_type	此键仅用于捕获 ICMP 类型	long
rsa.network.interface	当接口的源或目标上下文不明确时，应使用此键。	keyword
rsa.network.ip_proto	此键用于捕获协议号，所有协议号在 UI 中都转换为字符串。	long
rsa.network.laddr		keyword
rsa.network.lhost		keyword
rsa.network.linterface		keyword
rsa.network.mask	此键用于捕获设备网络 IP 掩码。	keyword
rsa.network.netname	此键用于捕获与 IP 范围关联的网络名称。这是由最终用户配置的。	keyword
rsa.network.network_port	已弃用，请使用 port。注意：目前使用的类型不一致，TM：Int32，INDEX：UInt64（为什么两者都没有选择正确的 UInt16？！）	long
rsa.network.network_service	此键用于捕获第 7 层协议/服务名称。	keyword
rsa.network.origin		keyword
rsa.network.packet_length		keyword
rsa.network.paddr	已弃用	ip
rsa.network.phost		keyword
rsa.network.port	当方向性不明确时，此键只应用于捕获网络端口。	long
rsa.network.protocol_detail	此键用于捕获附加协议信息。	keyword
rsa.network.remote_domain_id		keyword
rsa.network.rpayload	此键用于捕获重传数据包中看到的有效负载字节总数。	keyword
rsa.network.sinterface	此键仅在它是源接口时使用。	keyword
rsa.network.smask	此键用于捕获源网络掩码。	keyword
rsa.network.vlan	此键仅用于捕获虚拟 LAN 的 ID。	long
rsa.network.vlan_name	此键仅用于捕获虚拟 LAN 的名称。	keyword
rsa.network.zone	当区域的源或目标上下文不明确时，应使用此键。	keyword
rsa.network.zone_dst	此键仅在它是目标区域时使用。	keyword
rsa.network.zone_src	此键仅在它是源区域时使用。	keyword
rsa.physical.org_dst	此键用于捕获基于 GEOPIP Maxmind 数据库的目标组织。	keyword
rsa.physical.org_src	此键用于捕获基于 GEOPIP Maxmind 数据库的源组织。	keyword
rsa.storage.disk_volume	物理磁盘内部分配给逻辑单元（卷）的唯一名称。	keyword
rsa.storage.lun	逻辑单元号。此键是存储中非常有用的概念。	keyword
rsa.storage.pwwn	此键唯一标识 HBA 上的端口。	keyword
rsa.threat.alert	此键用于捕获警报的名称。	keyword
rsa.threat.threat_category	此键捕获威胁名称/威胁类别/警报分类。	keyword
rsa.threat.threat_desc	此键用于直接或推断地从会话中捕获威胁描述。	keyword
rsa.threat.threat_source	此键用于捕获威胁的来源。	keyword
rsa.time.date		keyword
rsa.time.datetime		keyword
rsa.time.day		keyword
rsa.time.duration_str	持续时间的文本字符串版本。	keyword
rsa.time.duration_time	此键用于捕获以秒为单位的标准化持续时间/生存时间。	双精度
rsa.time.effective_time	此键是标准时间戳格式中单个事件引用的有效时间。	date
rsa.time.endtime	此键用于捕获会话中以标准形式提及的结束时间。	date
rsa.time.event_queue_time	此键是事件排队的时间。	date
rsa.time.event_time	此键用于捕获原始会话中提及的、表示事件以标准标准化形式发生的实际时间的时间。	date
rsa.time.event_time_str	此键用于捕获会话中提及的不完整时间作为字符串。	keyword
rsa.time.eventtime		keyword
rsa.time.expire_time	此键是明确引用到期的时间戳。	date
rsa.time.expire_time_str	此键用于捕获明确引用到期的不完整时间戳。	keyword
rsa.time.gmtdate		keyword
rsa.time.gmttime		keyword
rsa.time.hour		keyword
rsa.time.min		keyword
rsa.time.month		keyword
rsa.time.p_date		keyword
rsa.time.p_month		keyword
rsa.time.p_time		keyword
rsa.time.p_time1		keyword
rsa.time.p_time2		keyword
rsa.time.p_year		keyword
rsa.time.process_time	已弃用，请使用 duration.time	keyword
rsa.time.recorded_time	系统从收集事件的时间记录的事件时间。使用场景是一个多层应用程序，系统的管理层在从其子节点收集时记录自己的时间戳。必须采用时间戳格式。	date
rsa.time.stamp	此键用于证书的主机名类别值。	date
rsa.time.starttime	此键用于捕获会话中以标准形式提及的开始时间。	date
rsa.time.timestamp		keyword
rsa.time.timezone	此键用于捕获事件时间的时区。	keyword
rsa.time.tzone		keyword
rsa.time.year		keyword
rsa.web.alias_host		keyword
rsa.web.cn_asn_dst		keyword
rsa.web.cn_rpackets		keyword
rsa.web.fqdn	完全限定域名	keyword
rsa.web.p_url		keyword
rsa.web.p_user_agent		keyword
rsa.web.p_web_cookie		keyword
rsa.web.p_web_method		keyword
rsa.web.p_web_referer		keyword
rsa.web.remote_domain		keyword
rsa.web.reputation_num	实体的信誉号。通常用于 Web 域。	双精度
rsa.web.urlpage		keyword
rsa.web.urlroot		keyword
rsa.web.web_cookie	此键专门用于捕获 Web cookie。	keyword
rsa.web.web_extension_tmp		keyword
rsa.web.web_page		keyword
rsa.web.web_ref_domain	Web 引用域	keyword
rsa.web.web_ref_page	此键捕获 Web 引用的页面信息。	keyword
rsa.web.web_ref_query	此键捕获 URL 的 Web 引用查询部分。	keyword
rsa.web.web_ref_root	Web 引用根 URL 路径。	keyword
rsa.wireless.access_point	此键用于捕获接入点名称。	keyword
rsa.wireless.wlan_channel	此键用于捕获通道名称。	long
rsa.wireless.wlan_name	此键捕获 WLAN 号/名称。	keyword
rsa.wireless.wlan_ssid	此键用于捕获无线会话的 ssid。	keyword
rule.name	生成事件的规则或签名的名称。	keyword
server.domain	服务器系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化中添加。	keyword
server.registered_domain	剥离了子域的最高注册服务器域。例如，“foo.example.com”的注册域是“example.com”。可以使用像公共后缀列表 (http://publicsuffix.org) 这样的列表精确地确定此值。尝试通过简单地取最后两个标签来近似此值对于像“co.uk”这样的 TLD 不会很好地工作。	keyword
server.subdomain	完全限定域名的子域部分包括已注册域下除主机名之外的所有名称。在部分限定域名中，或者如果无法确定全名的限定级别，则子域包含已注册域下的所有名称。例如，“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域名具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，且不带尾随句点。	keyword
server.top_level_domain	有效的顶级域名 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表（http://publicsuffix.org）精确确定此值。尝试简单地取最后一个标签来近似此值对于“co.uk”等有效的顶级域名来说效果不佳。	keyword
service.name	从中收集数据的服务名称。服务名称通常是用户给定的。这允许在多个主机上运行的分布式服务基于名称关联相关的实例。在 Elasticsearch 的情况下，`service.name` 可以包含集群名称。对于 Beats，如果未指定名称，则 `service.name` 默认是 `service.type` 字段的副本。	keyword
source.address	某些事件源地址的定义是模糊的。事件有时会列出 IP、域或 unix 套接字。您应始终将原始地址存储在 `.address` 字段中。然后应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪个。	keyword
source.as.number	分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。	long
source.as.organization.name	组织名称。	keyword
source.as.organization.name.text	`source.as.organization.name` 的多字段。	match_only_text
source.bytes	从源发送到目标的字节数。	long
source.domain	源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件或从富化中添加。	keyword
source.geo.city_name	城市名称。	keyword
source.geo.country_name	国家/地区名称。	keyword
source.geo.location	经度和纬度。	geo_point
source.ip	源的 IP 地址（IPv4 或 IPv6）。	ip
source.mac	源的 MAC 地址。建议使用 RFC 7042 中的符号格式：每个八位位组（即 8 位字节）由两个[大写]十六进制数字表示，给出八位位组的值作为无符号整数。连续的八位位组用连字符分隔。	keyword
source.nat.ip	基于 NAT 会话的源的转换 IP（例如，内部客户端到互联网）。通常会通过负载均衡器、防火墙或路由器的连接。	ip
source.nat.port	基于 NAT 会话的源的转换端口。（例如，内部客户端到互联网）。通常与负载均衡器、防火墙或路由器一起使用。	long
source.port	源的端口。	long
source.registered_domain	剥离了子域的最高注册源域。例如，“foo.example.com”的注册域是“example.com”。可以使用像公共后缀列表 (http://publicsuffix.org) 这样的列表精确地确定此值。尝试通过简单地取最后两个标签来近似此值对于像“co.uk”这样的 TLD 不会很好地工作。	keyword
source.subdomain	完全限定域名的子域部分包括已注册域下除主机名之外的所有名称。在部分限定域名中，或者如果无法确定全名的限定级别，则子域包含已注册域下的所有名称。例如，“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。如果域名具有多个级别的子域，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，且不带尾随句点。	keyword
source.top_level_domain	有效的顶级域名 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表（http://publicsuffix.org）精确确定此值。尝试简单地取最后一个标签来近似此值对于“co.uk”等有效的顶级域名来说效果不佳。	keyword
tags	用于标记每个事件的关键字列表。	keyword
url.domain	url 的域，例如 "https://elastic.ac.cn[www.elastic.co]"。在某些情况下，URL 可能直接引用 IP 和/或端口，而没有域名。在这种情况下，IP 地址将转到 `domain` 字段。如果 URL 包含用 `[` 和 `]` 括起来的文字 IPv6 地址（IETF RFC 2732），则 `[` 和 `]` 字符也应捕获在 `domain` 字段中。	keyword
url.original	事件源中看到的未修改的原始 url。请注意，在网络监控中，观察到的 URL 可能是完整的 URL，而在访问日志中，URL 通常仅表示为路径。此字段旨在表示观察到的 URL，无论是否完整。	wildcard
url.original.text	`url.original` 的多字段。	match_only_text
url.path	请求的路径，例如 "/search"。	wildcard
url.query	查询字段描述了请求的查询字符串，例如 “q=elasticsearch”。 `?` 从查询字符串中排除。如果 URL 不包含 `?`，则没有查询字段。如果有 `?` 但没有查询，则查询字段存在且为空字符串。可以使用 `exists` 查询来区分这两种情况。	keyword
url.registered_domain	剥离了子域的最高注册 url 域。例如，“foo.example.com”的注册域是“example.com”。可以使用像公共后缀列表 (http://publicsuffix.org) 这样的列表精确地确定此值。尝试通过简单地取最后两个标签来近似此值对于像“co.uk”这样的 TLD 不会很好地工作。	keyword
url.top_level_domain	有效的顶级域名 (eTLD)，也称为域后缀，是域名最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表（http://publicsuffix.org）精确确定此值。尝试简单地取最后一个标签来近似此值对于“co.uk”等有效的顶级域名来说效果不佳。	keyword
user.domain	用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。	keyword
user.full_name	用户的全名（如果可用）。	keyword
user.full_name.text	`user.full_name` 的多字段。	match_only_text
user.id	用户的唯一标识符。	keyword
user.name	用户的简称或登录名。	keyword
user.name.text	`user.name` 的多字段。	match_only_text
user_agent.original	未解析的 user_agent 字符串。	keyword
user_agent.original.text	`user_agent.original` 的多字段。	match_only_text

变更日志

编辑

变更日志

版本	详细信息	Kibana 版本
0.19.1	缺陷修复 (查看拉取请求) 在引用提取管道中的变量时，使用三重大括号 Mustache 模板。	—
0.19.0	增强 (查看拉取请求) 弃用软件包。	—
0.18.2	增强 (查看拉取请求) 更改了所有者	—
0.18.1	缺陷修复 (查看拉取请求) 修复 exclude_files 模式。	—
0.18.0	增强 (查看拉取请求) ECS 版本已更新至 8.11.0。	—
0.17.0	增强 (查看拉取请求) ECS 版本已更新至 8.10.0。	—
0.16.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.9.0。	—
0.15.0	增强 (查看拉取请求) 确保为管道错误正确设置 event.kind。	—
0.14.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.8.0。	—
0.13.0	增强 (查看拉取请求) 将 package-spec 版本更新至 2.7.0。	—
0.12.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.7.0。	—
0.11.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.6.0。	—
0.10.2	缺陷修复 (查看拉取请求) 更新文档以匹配字段定义。	—
0.10.1	缺陷修复 (查看拉取请求) 删除重复字段。	—
0.10.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.5.0。	—
0.9.1	增强 (查看拉取请求) 使用 ECS geo.location 定义。	—
0.9.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.4.0	—
0.8.0	增强 (查看拉取请求) 将软件包更新至 ECS 8.3.0。	—
0.7.0	增强 (查看拉取请求) 更新至 ECS 8.2.0	—
0.6.0	增强 (查看拉取请求) 更新至 ECS 8.0.0	—
0.5.0	增强 (查看拉取请求) 添加 8.0.0 版本约束	—
0.4.4	增强 (查看拉取请求) 与指南统一	—
0.4.3	增强 (查看拉取请求) 更新标题和描述。	—
0.4.2	缺陷修复 (查看拉取请求) 修复了阻止软件包在 7.16 中工作的错误。	—
0.4.1	缺陷修复 (查看拉取请求) 修复了检查转发标签的逻辑	—
0.4.0	增强 (查看拉取请求) 更新至 ECS 1.12.0	—
0.3.2	增强 (查看拉取请求) 转换为生成的 ECS 字段	—
0.3.1	增强 (查看拉取请求) 更新至 ECS 1.11.0	—
0.3.0	增强 (查看拉取请求) 更新集成描述	—
0.2.0	增强 (查看拉取请求) 设置 "event.module" 和 "event.dataset"	—
0.1.5	增强 (查看拉取请求) 更新至 ECS 1.10.0 并添加 event.original 选项	—
0.1.4	增强 (查看拉取请求) 更新至 ECS 1.9.0	—
0.1.0	增强 (查看拉取请求) 初始版本	—

« RabbitMQ 集成 Rapid7 »