Sophos 集成
编辑Sophos 集成
编辑Sophos 集成收集并解析来自 Sophos 产品的日志。
目前,它接受来自以下设备的 syslog 格式或文件的日志
-
utm数据集:支持 统一威胁管理(以前称为 Astaro 安全网关)日志。 -
xg数据集:支持 Sophos XG SFOS 日志。
要配置远程 syslog 目标,请参考 SophosXG/SFOS 文档。
选择的 syslog 格式应为 默认。
兼容性
编辑此模块已针对 SFOS 版本 17.5.x 和 18.0.x 进行了测试。预计更高版本也适用,但尚未经过测试。
日志
编辑UTM 日志
编辑utm 数据集收集统一威胁管理日志。目前,它收集以下日志类别:DNS、DHCP、HTTP 和数据包过滤器。
示例
utm 的示例事件如下所示
{
"@timestamp": "2023-03-08T15:00:00.000Z",
"agent": {
"ephemeral_id": "1c14ef92-e910-4bef-84c4-4ceecac7a048",
"id": "60d18e37-b683-4bd5-a0e9-e19bb64cc7bb",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.3"
},
"data_stream": {
"dataset": "sophos.utm",
"namespace": "ep",
"type": "logs"
},
"destination": {
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.129"
},
"device": {
"id": "0"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "60d18e37-b683-4bd5-a0e9-e19bb64cc7bb",
"snapshot": false,
"version": "8.10.3"
},
"event": {
"action": "pass",
"agent_id_status": "verified",
"category": [
"web"
],
"dataset": "sophos.utm",
"id": "0001",
"ingested": "2023-11-19T21:23:10Z",
"kind": "event",
"provider": "http",
"severity": 6,
"timezone": "+00:00",
"type": [
"info"
]
},
"group": {
"name": "testgroup"
},
"host": {
"hostname": "sophos-test-vm1",
"name": "sophos-test-vm1"
},
"http": {
"request": {
"bytes": 311,
"id": "0x7fad9e44ac00",
"method": "HEAD",
"referrer": "https://referer.test.com/"
},
"response": {
"status_code": 200
}
},
"input": {
"type": "udp"
},
"log": {
"source": {
"address": "172.28.0.5:49278"
}
},
"network": {
"application": "googplay",
"protocol": "http"
},
"observer": {
"product": "UTM",
"type": "firewall",
"vendor": "Sophos"
},
"process": {
"name": "httpproxy",
"pid": 6267
},
"related": {
"hosts": [
"sophos-test-vm1"
],
"ip": [
"67.43.156.2",
"89.160.20.129"
],
"user": [
"testuser"
]
},
"sophos": {
"utm": {
"ad_domain": "example.com",
"app_id": "816",
"aptptime": 0,
"auth": "0",
"authtime": 0,
"avscantime": 0,
"cached": "0",
"category": [
"178"
],
"categoryname": [
"Internet Services"
],
"cattime": 200,
"content_type": "application/octet-stream",
"country": "United States",
"dnstime": 5,
"filteraction": "REF_HTTP_ACTION",
"fullreqtime": 32181,
"name": "http access",
"profile": "HTTP_Sophos_Profile_1",
"reputation": "trusted",
"severity": "info",
"sub": "http",
"sys": "SecureWeb"
}
},
"source": {
"as": {
"number": 35908
},
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.2"
},
"tags": [
"sophos-utm",
"forwarded"
],
"url": {
"domain": "myurl.test.com",
"original": "https://myurl.test.com/extension",
"path": "/extension",
"scheme": "https"
},
"user": {
"name": "testuser"
},
"user_agent": {
"device": {
"name": "Other"
},
"name": "Other",
"original": "Microsoft BITS/7.8"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示源生成事件的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
client.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
client.as.organization.name |
组织名称。 |
关键字 |
client.as.organization.name.text |
|
match_only_text |
client.geo.city_name |
城市名称。 |
关键字 |
client.geo.continent_name |
洲的名称。 |
关键字 |
client.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键字 |
client.geo.country_name |
国家/地区名称。 |
关键字 |
client.geo.location |
经度和纬度。 |
geo_point |
client.geo.name |
用户定义的位置描述,其粒度级别取决于用户。可以是他们的数据中心的名称、楼层号(如果这描述本地物理实体)、城市名称。通常不用于自动地理位置定位。 |
关键字 |
client.geo.postal_code |
与位置关联的邮政编码。此字段的适当值也称为邮政编码或 ZIP 编码,并且会因国家/地区而异。 |
关键字 |
client.geo.region_iso_code |
地区 ISO 代码。 |
关键字 |
client.geo.region_name |
地区名称。 |
关键字 |
client.geo.timezone |
位置的时区,例如 IANA 时区名称。 |
关键字 |
client.ip |
客户端的 IP 地址(IPv4 或 IPv6)。 |
ip |
client.mac |
客户端的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
关键字 |
client.port |
客户端的端口。 |
长整型 |
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
cloud.availability_zone |
此主机运行所在的可用区。 |
关键字 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
cloud.project.id |
Google Cloud 中项目的名称。 |
关键字 |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
cloud.region |
此主机运行所在的区域。 |
关键字 |
container.id |
唯一的容器 ID。 |
关键字 |
container.image.name |
构建容器所基于的映像的名称。 |
关键字 |
container.labels |
映像标签。 |
对象 |
container.name |
容器名称。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
destination.as.organization.name |
组织名称。 |
关键字 |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
关键字 |
destination.geo.continent_name |
洲的名称。 |
关键字 |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键字 |
destination.geo.country_name |
国家/地区名称。 |
关键字 |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户定义的位置描述,其粒度级别取决于用户。可以是他们的数据中心的名称、楼层号(如果这描述本地物理实体)、城市名称。通常不用于自动地理位置定位。 |
关键字 |
destination.geo.postal_code |
与位置关联的邮政编码。此字段的适当值也称为邮政编码或 ZIP 编码,并且会因国家/地区而异。 |
关键字 |
destination.geo.region_iso_code |
地区 ISO 代码。 |
关键字 |
destination.geo.region_name |
地区名称。 |
关键字 |
destination.geo.timezone |
位置的时区,例如 IANA 时区名称。 |
关键字 |
destination.ip |
目标的 IP 地址(IPv4 或 IPv6)。 |
ip |
destination.mac |
目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
关键字 |
destination.port |
目标的端口。 |
长整型 |
device.id |
设备的唯一标识符。标识符在应用程序会话中不得更改,但在(移动)设备的实例中必须保持固定。在 iOS 上,此值必须等于供应商标识符(https://developer.apple.com/documentation/uikit/uidevice/1620059-identifierforvendor)。在 Android 上,此值必须等于 Firebase 安装 ID 或全局唯一 UUID,该 UUID 在应用程序的会话中保持持久。出于 GDPR 和数据保护法律原因,此标识符不应携带允许识别用户的信息。 |
关键字 |
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这描述了事件中的信息。它比 |
关键字 |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二级。 |
关键字 |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
关键字 |
event.kind |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级。 |
关键字 |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性或可能需要完整日志消息(在将其拆分为多个部分之前)的情况,例如,对于重新索引。此字段未编入索引,并且 doc_values 已禁用。它无法搜索,但可以从 |
关键字 |
event.provider |
事件的来源。Syslog 或 Windows 事件日志等事件传输通常会提及事件的来源。它可以是生成事件的软件的名称(例如 Sysmon、httpd)或操作系统的子系统(内核、Microsoft-Windows-Security-Auditing)。 |
关键字 |
event.severity |
根据事件源的事件数字严重性。不同的严重性值的含义在不同的源和用例之间可能有所不同。由实施者负责确保来自同一来源的事件的严重性保持一致。Syslog 严重性属于 |
长整型 |
event.timezone |
当事件的时间戳尚未包含时区信息时(例如,默认 Syslog 时间戳),应填充此字段。否则是可选的。可接受的时区格式包括:规范 ID(例如“欧洲/阿姆斯特丹”)、缩写(例如“EST”)或 HH:mm 差异(例如“-05:00”)。 |
关键字 |
event.type |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。 |
关键字 |
file.name |
包括扩展名的文件名,不包括目录。 |
关键字 |
group.name |
组的名称。 |
关键字 |
host.architecture |
操作系统体系结构。 |
关键字 |
host.containerized |
如果主机是容器。 |
布尔型 |
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。 |
关键字 |
host.hostname |
主机的主机名。它通常包含主机上 |
关键字 |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
host.ip |
主机的 IP 地址。 |
ip |
host.mac |
主机的 MAC 地址。 |
关键字 |
host.name |
主机的名称。它可以包含 Unix 系统上 |
关键字 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
关键字 |
host.os.kernel |
原始字符串形式的操作系统内核版本。 |
关键字 |
host.os.name |
操作系统名称,不带版本。 |
关键字 |
host.os.name.text |
|
text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
host.os.version |
原始字符串形式的操作系统版本。 |
关键字 |
host.type |
主机类型。对于云提供商,这可以是机器类型,如 |
关键字 |
http.request.bytes |
请求的总大小(以字节为单位)(包括正文和标头)。 |
长整型 |
http.request.id |
每个 HTTP 请求的唯一标识符,用于在事务中关联客户端和服务器之间的日志。该 ID 可能包含在非标准的 HTTP 标头中,例如 |
关键字 |
http.request.method |
HTTP 请求方法。该值应保留其原始事件的大小写。例如, |
关键字 |
http.request.referrer |
此 HTTP 请求的引用者。 |
关键字 |
http.response.status_code |
HTTP 响应状态代码。 |
长整型 |
input.type |
输入类型。 |
关键字 |
log.file.path |
此事件来自的日志文件的完整路径。 |
关键字 |
log.flags |
日志文件的标志。 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
读取/发送日志事件的源地址。 |
关键字 |
log.syslog.facility.code |
日志事件的 Syslog 数字工具,如果可用。根据 RFC 5424 和 3164,此值应为介于 0 和 23 之间的整数。 |
长整型 |
log.syslog.facility.name |
日志事件的 Syslog 基于文本的工具,如果可用。 |
关键字 |
log.syslog.priority |
事件的 Syslog 数字优先级,如果可用。根据 RFC 5424 和 3164,优先级为 8 * 工具 + 严重性。因此,该数字预计包含介于 0 和 191 之间的值。 |
长整型 |
log.syslog.severity.code |
日志事件的 Syslog 数字严重性,如果可用。如果通过 Syslog 发布事件源提供了不同的数字严重性值(例如,防火墙、IDS),则您源的数字严重性应转到 |
长整型 |
log.syslog.severity.name |
日志事件的 Syslog 数字严重性,如果可用。如果通过 Syslog 发布事件源提供了不同的严重性值(例如,防火墙、IDS),则您源的文本严重性应转到 |
关键字 |
message |
对于日志事件,消息字段包含日志消息,针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多条消息,可以将它们组合成一条消息。 |
match_only_text |
network.application |
当从网络连接详细信息(源/目标 IP、端口、证书或线路格式)中识别出特定应用程序或服务时,此字段会捕获应用程序或服务的名称。例如,原始事件识别出网络连接来自 |
关键字 |
network.iana_number |
IANA 协议号(https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml)。协议的标准化列表。这与使用 IANA 协议号的 NetFlow 和 sFlow 相关日志非常一致。 |
关键字 |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
关键字 |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称(udp、tcp、ipv6-icmp 等)。为了进行查询,字段值必须标准化为小写。 |
关键字 |
network.type |
在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。为了进行查询,字段值必须标准化为小写。 |
关键字 |
observer.egress.interface.name |
系统报告的接口名称。 |
关键字 |
observer.ingress.interface.name |
系统报告的接口名称。 |
关键字 |
observer.product |
观察者的产品名称。 |
关键字 |
observer.type |
数据来源的观察者的类型。没有预定义的观察者类型列表。一些示例包括 |
关键字 |
observer.vendor |
观察者的供应商名称。 |
关键字 |
process.name |
进程名称。有时称为程序名称或类似名称。 |
关键字 |
process.name.text |
|
match_only_text |
process.pid |
进程 ID。 |
长整型 |
related.hosts |
您在事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 |
关键字 |
related.ip |
您在事件中看到的所有 IP。 |
ip |
related.user |
您在事件中看到的所有用户名或其他用户标识符。 |
关键字 |
rule.id |
在代理、观察者或其他使用该规则检测此事件的实体的范围内唯一的规则 ID。 |
关键字 |
server.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
server.as.organization.name |
组织名称。 |
关键字 |
server.as.organization.name.text |
|
match_only_text |
server.geo.city_name |
城市名称。 |
关键字 |
server.geo.continent_name |
洲的名称。 |
关键字 |
server.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键字 |
server.geo.country_name |
国家/地区名称。 |
关键字 |
server.geo.location |
经度和纬度。 |
geo_point |
server.geo.name |
用户定义的位置描述,其粒度级别取决于用户。可以是他们的数据中心的名称、楼层号(如果这描述本地物理实体)、城市名称。通常不用于自动地理位置定位。 |
关键字 |
server.geo.postal_code |
与位置关联的邮政编码。此字段的适当值也称为邮政编码或 ZIP 编码,并且会因国家/地区而异。 |
关键字 |
server.geo.region_iso_code |
地区 ISO 代码。 |
关键字 |
server.geo.region_name |
地区名称。 |
关键字 |
server.geo.timezone |
位置的时区,例如 IANA 时区名称。 |
关键字 |
server.ip |
服务器的 IP 地址(IPv4 或 IPv6)。 |
ip |
server.port |
服务器的端口。 |
长整型 |
sophos.utm.action |
事件操作。 |
关键字 |
sophos.utm.ad_domain |
关键字 |
|
sophos.utm.app_id |
应用程序 ID。 |
关键字 |
sophos.utm.aptptime |
长整型 |
|
sophos.utm.auth |
身份验证 ID。 |
关键字 |
sophos.utm.authtime |
授权时间。 |
长整型 |
sophos.utm.avscantime |
防病毒扫描时间。 |
长整型 |
sophos.utm.cached |
缓存的字节。 |
关键字 |
sophos.utm.category |
类别 ID 的数组。 |
关键字 |
sophos.utm.categoryname |
类别名称的数组。 |
关键字 |
sophos.utm.cattime |
长整型 |
|
sophos.utm.client.hostname |
DHCP 事件中的客户端主机名。 |
关键字 |
sophos.utm.code |
代码 ID。 |
关键字 |
sophos.utm.content_type |
HTTP 标头内容类型。 |
关键字 |
sophos.utm.country |
HTTP 请求国家/地区来源。 |
关键字 |
sophos.utm.dnstime |
DNS 时间。 |
长整型 |
sophos.utm.exceptions |
关键字 |
|
sophos.utm.extension |
URL 扩展名。 |
关键字 |
sophos.utm.filteraction |
筛选操作。 |
关键字 |
sophos.utm.fullreqtime |
完整 HTTP 请求时间。 |
长整型 |
sophos.utm.function |
发生错误时的失败函数。 |
关键字 |
sophos.utm.id |
数据包筛选器规则 ID。 |
关键字 |
sophos.utm.length |
数据包长度(以字节为单位)。 |
长整型 |
sophos.utm.line |
发生错误时的失败行。 |
关键字 |
sophos.utm.mark |
Netfilter 连接跟踪标记。 |
关键字 |
sophos.utm.name |
事件描述。 |
关键字 |
sophos.utm.overridecategory |
关键字 |
|
sophos.utm.overridereputation |
关键字 |
|
sophos.utm.prec |
关键字 |
|
sophos.utm.profile |
HTTP 配置文件。 |
关键字 |
sophos.utm.reason |
关键字 |
|
sophos.utm.reputation |
关键字 |
|
sophos.utm.router.ip |
DHCP 路由器 IP。 |
ip |
sophos.utm.sandbox |
关键字 |
|
sophos.utm.severity |
事件严重性。 |
关键字 |
sophos.utm.socket |
DHCP 服务器正在侦听的套接字。 |
关键字 |
sophos.utm.sub |
关键字 |
|
sophos.utm.subnet |
DHCP 服务器正在侦听的子网。 |
关键字 |
sophos.utm.sys |
系统名称。 |
关键字 |
sophos.utm.tcpflags |
会话中任何数据包中设置的 TCP 标志。 |
关键字 |
sophos.utm.tos |
服务类型。 |
关键字 |
sophos.utm.ttl |
生存时间。 |
长整型 |
sophos.utm.type |
类型 ID。 |
关键字 |
sophos.utm.url |
HTTP 请求 URL。 |
关键字 |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
source.as.organization.name |
组织名称。 |
关键字 |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
关键字 |
source.geo.continent_name |
洲的名称。 |
关键字 |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键字 |
source.geo.country_name |
国家/地区名称。 |
关键字 |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户定义的位置描述,其粒度级别取决于用户。可以是他们的数据中心的名称、楼层号(如果这描述本地物理实体)、城市名称。通常不用于自动地理位置定位。 |
关键字 |
source.geo.postal_code |
与位置关联的邮政编码。此字段的适当值也称为邮政编码或 ZIP 编码,并且会因国家/地区而异。 |
关键字 |
source.geo.region_iso_code |
地区 ISO 代码。 |
关键字 |
source.geo.region_name |
地区名称。 |
关键字 |
source.geo.timezone |
位置的时区,例如 IANA 时区名称。 |
关键字 |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
ip |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
关键字 |
source.port |
源的端口。 |
长整型 |
tags |
用于标记每个事件的关键字列表。 |
关键字 |
url.domain |
URL 的域名,例如 "https://elastic.ac.cn[www.elastic.co]"。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 |
关键字 |
url.extension |
该字段包含原始请求 URL 中的文件扩展名,不包括前导点。仅当文件扩展名存在时才设置,因为并非每个 URL 都有文件扩展名。不应包含前导句点。例如,该值必须是“png”,而不是“.png”。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 |
关键字 |
url.fragment |
URL 中 |
关键字 |
url.full |
如果完整的 URL 对您的用例很重要,则应将其存储在 |
wildcard |
url.full.text |
|
match_only_text |
url.original |
事件源中看到的未修改的原始 URL。 请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。 此字段旨在表示观察到的 URL,无论是否完整。 |
wildcard |
url.original.text |
|
match_only_text |
url.password |
请求的密码。 |
关键字 |
url.path |
请求的路径,例如“/search”。 |
wildcard |
url.port |
请求的端口,例如 443。 |
长整型 |
url.query |
查询字段描述请求的查询字符串,例如“q=elasticsearch”。 |
关键字 |
url.registered_domain |
最高的已注册 URL 域,已去除子域。 例如,“foo.example.com”的已注册域是“example.com”。 可以使用公共后缀列表之类的列表精确确定此值(http://publicsuffix.org)。 尝试通过简单地取最后两个标签来近似此值对于“co.uk”之类的 TLD 将不起作用。 |
关键字 |
url.scheme |
请求的方案,例如“https”。 注意: |
关键字 |
url.subdomain |
完全限定的域名中的子域部分包括已注册域名下的所有名称,除了主机名。 在部分限定的域名中,或者如果无法确定完整名称的限定级别,则子域包含已注册域名下的所有名称。 例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。 如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,不带尾随句点。 |
关键字 |
url.top_level_domain |
有效顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。 例如,example.com 的顶级域名是“com”。 可以使用公共后缀列表之类的列表精确确定此值(http://publicsuffix.org)。 尝试通过简单地取最后一个标签来近似此值对于“co.uk”之类的有效 TLD 将不起作用。 |
关键字 |
url.username |
请求的用户名。 |
关键字 |
user.name |
用户的简称或登录名。 |
关键字 |
user.name.text |
|
match_only_text |
user_agent.device.name |
设备的名称。 |
关键字 |
user_agent.name |
用户代理的名称。 |
关键字 |
user_agent.original |
未解析的 user_agent 字符串。 |
关键字 |
user_agent.original.text |
|
match_only_text |
user_agent.os.full |
操作系统名称,包括版本或代号。 |
关键字 |
user_agent.os.full.text |
|
match_only_text |
user_agent.os.name |
操作系统名称,不带版本。 |
关键字 |
user_agent.os.name.text |
|
match_only_text |
user_agent.os.version |
原始字符串形式的操作系统版本。 |
关键字 |
user_agent.version |
用户代理的版本。 |
关键字 |
XG 日志
编辑这是 Sophos xg 数据集。有关日志格式的参考信息,请参阅Sophos syslog 指南。
示例
xg 的示例事件如下
{
"@timestamp": "2016-12-02T18:50:20.000Z",
"agent": {
"ephemeral_id": "244d391d-55cb-405e-baff-e091145a351c",
"id": "e756de30-a6b6-437a-8c56-cd75349c61bf",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.3"
},
"data_stream": {
"dataset": "sophos.xg",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "e756de30-a6b6-437a-8c56-cd75349c61bf",
"snapshot": false,
"version": "8.10.3"
},
"event": {
"action": "alert",
"agent_id_status": "verified",
"category": [
"network"
],
"code": "16010",
"dataset": "sophos.xg",
"ingested": "2023-11-15T05:39:21Z",
"kind": "event",
"outcome": "success",
"severity": 1,
"timezone": "GMT"
},
"host": {
"name": "XG230"
},
"input": {
"type": "tcp"
},
"log": {
"level": "alert",
"source": {
"address": "192.168.32.4:40336"
}
},
"observer": {
"product": "XG",
"serial_number": "1234567890123456",
"type": "firewall",
"vendor": "Sophos"
},
"related": {
"hosts": [
"XG230"
],
"ip": [
"10.108.108.49"
]
},
"sophos": {
"xg": {
"action": "Deny",
"context_match": "Not",
"context_prefix": "blah blah hello ",
"context_suffix": " hello blah ",
"device": "SFW",
"device_name": "SF01V",
"dictionary_name": "complicated_Custom",
"direction": "in",
"file_name": "cgi_echo.pl",
"log_component": "Web Content Policy",
"log_id": "058420116010",
"log_subtype": "Alert",
"log_type": "Content Filtering",
"site_category": "Information Technology",
"timezone": "GMT",
"transaction_id": "e4a127f7-a850-477c-920e-a471b38727c1",
"user": "gi123456",
"website": "ta-web-static-testing.qa. astaro.de"
}
},
"source": {
"ip": "10.108.108.49"
},
"tags": [
"sophos-xg",
"forwarded"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
cloud.availability_zone |
此主机运行所在的可用区。 |
关键字 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
cloud.project.id |
Google Cloud 中项目的名称。 |
关键字 |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
cloud.region |
此主机运行所在的区域。 |
关键字 |
container.id |
唯一的容器 ID。 |
关键字 |
container.image.name |
构建容器所基于的映像的名称。 |
关键字 |
container.labels |
映像标签。 |
对象 |
container.name |
容器名称。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
destination.as.organization.name |
组织名称。 |
关键字 |
destination.as.organization.name.text |
|
match_only_text |
destination.bytes |
从目标发送到源的字节数。 |
长整型 |
destination.domain |
目标系统的域名。 此值可以是主机名、完全限定的域名或其他主机命名格式。 该值可能来自原始事件或从丰富添加。 |
关键字 |
destination.geo.city_name |
城市名称。 |
关键字 |
destination.geo.continent_name |
洲的名称。 |
关键字 |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键字 |
destination.geo.country_name |
国家/地区名称。 |
关键字 |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户定义的位置描述,其粒度级别取决于用户。可以是他们的数据中心的名称、楼层号(如果这描述本地物理实体)、城市名称。通常不用于自动地理位置定位。 |
关键字 |
destination.geo.region_iso_code |
地区 ISO 代码。 |
关键字 |
destination.geo.region_name |
地区名称。 |
关键字 |
destination.ip |
目标的 IP 地址(IPv4 或 IPv6)。 |
ip |
destination.mac |
目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
关键字 |
destination.nat.ip |
基于 NAT 会话转换的目标 IP(例如,从 Internet 到专用 DMZ)。通常与负载均衡器、防火墙或路由器一起使用。 |
ip |
destination.nat.port |
源会话由 NAT 设备转换到的端口。通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
destination.packets |
从目标发送到源的数据包。 |
长整型 |
destination.port |
目标的端口。 |
长整型 |
destination.user.email |
用户电子邮件地址。 |
关键字 |
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
email.from.address |
发件人的电子邮件地址,通常来自 RFC 5322 |
关键字 |
email.subject |
消息主题的简要摘要。 |
关键字 |
email.subject.text |
|
match_only_text |
email.to.address |
收件人的电子邮件地址 |
关键字 |
event.action |
事件捕获的操作。这描述了事件中的信息。它比 |
关键字 |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二级。 |
关键字 |
event.code |
此事件的标识代码(如果存在)。 一些事件源使用事件代码来明确标识消息,而不管消息语言或随着时间的推移进行的措辞调整如何。 这方面的一个例子是 Windows 事件 ID。 |
关键字 |
event.created |
|
日期 |
event.dataset |
事件数据集 |
constant_keyword |
event.duration |
事件的持续时间(以纳秒为单位)。 如果知道 |
长整型 |
event.end |
|
日期 |
event.hash |
原始字段的哈希(可能是 logstash 指纹),以便能够证明日志完整性。 |
关键字 |
event.id |
用于描述事件的唯一 ID。 |
关键字 |
event.ingested |
事件到达中央数据存储的时间戳。 这与 |
日期 |
event.kind |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高级。 |
关键字 |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性或可能需要完整日志消息(在将其拆分为多个部分之前)的情况,例如,对于重新索引。此字段未编入索引,并且 doc_values 已禁用。它无法搜索,但可以从 |
关键字 |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 从生成事件的实体的角度来看, |
关键字 |
event.provider |
事件的来源。Syslog 或 Windows 事件日志等事件传输通常会提及事件的来源。它可以是生成事件的软件的名称(例如 Sysmon、httpd)或操作系统的子系统(内核、Microsoft-Windows-Security-Auditing)。 |
关键字 |
event.reason |
根据来源,此事件发生的原因。 这描述了事件中捕获的特定操作或结果的原因。 当 |
关键字 |
event.sequence |
事件的序列号。 序列号是某些事件源发布的值,用于使事件的精确排序明确,而不管时间戳精度如何。 |
长整型 |
event.severity |
根据事件源的事件数字严重性。不同的严重性值的含义在不同的源和用例之间可能有所不同。由实施者负责确保来自同一来源的事件的严重性保持一致。Syslog 严重性属于 |
长整型 |
event.start |
|
日期 |
event.timezone |
当事件的时间戳尚未包含时区信息时(例如,默认 Syslog 时间戳),应填充此字段。否则是可选的。可接受的时区格式包括:规范 ID(例如“欧洲/阿姆斯特丹”)、缩写(例如“EST”)或 HH:mm 差异(例如“-05:00”)。 |
关键字 |
event.type |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。 |
关键字 |
file.directory |
文件所在的目录。 它应包括驱动器号(如果适用)。 |
关键字 |
file.extension |
文件扩展名,不包括前导点。 请注意,当文件名有多个扩展名(例如 example.tar.gz)时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 |
关键字 |
file.hash.md5 |
MD5 哈希。 |
关键字 |
file.hash.sha1 |
SHA1 哈希。 |
关键字 |
file.hash.sha256 |
SHA256 哈希。 |
关键字 |
file.hash.sha512 |
SHA512 哈希。 |
关键字 |
file.mime_type |
MIME 类型应使用 IANA[https://www.iana.org/assignments/media-types/media-types.xhtml[IANA 官方类型]尽可能地标识文件或字节流的格式。 当有多个类型适用时,应使用最具体的类型。 |
关键字 |
file.name |
包括扩展名的文件名,不包括目录。 |
关键字 |
file.size |
文件大小(以字节为单位)。 仅当 |
长整型 |
host.architecture |
操作系统体系结构。 |
关键字 |
host.containerized |
如果主机是容器。 |
布尔型 |
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可能是主机 LDAP 提供程序的域。 |
关键字 |
host.hostname |
主机的主机名。它通常包含主机上 |
关键字 |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
host.ip |
主机的 IP 地址。 |
ip |
host.mac |
主机的 MAC 地址。 |
关键字 |
host.name |
主机的名称。它可以包含 Unix 系统上 |
关键字 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
关键字 |
host.os.kernel |
原始字符串形式的操作系统内核版本。 |
关键字 |
host.os.name |
操作系统名称,不带版本。 |
关键字 |
host.os.name.text |
|
text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
host.os.version |
原始字符串形式的操作系统版本。 |
关键字 |
host.type |
主机类型。对于云提供商,这可以是机器类型,如 |
关键字 |
http.request.method |
HTTP 请求方法。该值应保留其原始事件的大小写。例如, |
关键字 |
http.request.referrer |
此 HTTP 请求的引用者。 |
关键字 |
http.response.status_code |
HTTP 响应状态代码。 |
长整型 |
http.version |
HTTP 版本。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。 它应包括驱动器号(如果适用)。 如果事件不是从日志文件中读取的,则不要填充此字段。 |
关键字 |
log.level |
日志事件的原始日志级别。 如果事件源提供了日志级别或文本严重性,则应将其放入 |
关键字 |
log.logger |
应用程序内部的记录器名称。 这通常是初始化记录器的类的名称,也可以是自定义名称。 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
log.source.address |
关键字 |
|
message |
对于日志事件,消息字段包含日志消息,针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多条消息,可以将它们组合成一条消息。 |
match_only_text |
network.bytes |
两个方向传输的总字节数。 如果知道 |
长整型 |
network.community_id |
源和目标 IP 和端口以及通信中使用的协议的哈希值。 这是一种与工具无关的标准,用于识别流。 有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
关键字 |
network.direction |
网络流量的方向。 从基于主机的监控上下文中映射事件时,从主机的角度填充此字段,使用值“ingress”或“egress”。 从基于网络或边界的监控上下文中映射事件时,从网络边界的角度填充此字段,使用值“inbound”、“outbound”、“internal”或“external”。 请注意,“internal”不是跨越边界,而是旨在描述边界内两个主机之间的通信。 另请注意,“external”旨在描述两个外部主机的流量。 例如,这对于 ISP 或 VPN 服务提供商可能很有用。 |
关键字 |
network.packets |
双向传输的总数据包数。如果已知 |
长整型 |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
关键字 |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称(udp、tcp、ipv6-icmp 等)。为了进行查询,字段值必须标准化为小写。 |
关键字 |
observer.egress.interface.name |
系统报告的接口名称。 |
关键字 |
observer.egress.zone |
观察者报告的出站流量的网络区域,用于对出站流量的目标区域进行分类,例如内部、外部、DMZ、人力资源、法律等。 |
关键字 |
observer.hostname |
观察者的主机名。 |
关键字 |
observer.ingress.interface.name |
系统报告的接口名称。 |
关键字 |
observer.ingress.zone |
观察者报告的入站流量的网络区域,用于对入站流量的源区域进行分类。例如,内部、外部、DMZ、人力资源、法律等。 |
关键字 |
observer.product |
观察者的产品名称。 |
关键字 |
observer.serial_number |
观察者的序列号。 |
关键字 |
observer.type |
数据来源的观察者的类型。没有预定义的观察者类型列表。一些示例包括 |
关键字 |
observer.vendor |
观察者的供应商名称。 |
关键字 |
related.hash |
在您的事件中看到的所有哈希值。填充此字段,然后使用它搜索哈希值,有助于您不确定哈希算法是什么(因此不确定要搜索哪个键名)的情况。 |
关键字 |
related.hosts |
您在事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。 |
关键字 |
related.ip |
您在事件中看到的所有 IP。 |
ip |
related.user |
您在事件中看到的所有用户名或其他用户标识符。 |
关键字 |
rule.category |
实体使用该规则检测此事件时使用的分类值关键字。 |
关键字 |
rule.id |
在代理、观察者或其他使用该规则检测此事件的实体的范围内唯一的规则 ID。 |
关键字 |
rule.name |
生成事件的规则或签名的名称。 |
关键字 |
rule.ruleset |
规则集、策略、组或父类别的名称,其中用于生成此事件的规则是其成员。 |
关键字 |
sophos.xg.action |
事件操作 |
关键字 |
sophos.xg.activityname |
匹配并导致策略结果的 Web 策略活动。 |
关键字 |
sophos.xg.ap |
接入点序列号或 LocalWifi0 或 LocalWifi1。 |
关键字 |
sophos.xg.app_category |
应用程序所属类别的名称 |
关键字 |
sophos.xg.app_filter_policy_id |
应用于流量的应用程序过滤器策略 ID |
关键字 |
sophos.xg.app_is_cloud |
应用程序是否为云应用 |
关键字 |
sophos.xg.app_name |
应用程序名称 |
关键字 |
sophos.xg.app_resolved_by |
应用程序是通过签名还是同步应用程序解析的 |
关键字 |
sophos.xg.app_risk |
分配给应用程序的风险级别 |
关键字 |
sophos.xg.app_technology |
应用程序的技术 |
关键字 |
sophos.xg.appfilter_policy_id |
应用于流量的应用程序过滤器策略 |
integer |
sophos.xg.application |
应用程序名称 |
关键字 |
sophos.xg.application_category |
应用程序是通过签名还是同步应用程序解析的 |
关键字 |
sophos.xg.application_filter_policy |
应用于流量的应用程序过滤器策略 |
integer |
sophos.xg.application_name |
应用程序名称 |
关键字 |
sophos.xg.application_risk |
分配给应用程序的风险级别 |
关键字 |
sophos.xg.application_technology |
应用程序的技术 |
关键字 |
sophos.xg.appresolvedby |
应用程序的技术 |
关键字 |
sophos.xg.auth_client |
身份验证客户端 |
关键字 |
sophos.xg.auth_mechanism |
身份验证机制 |
关键字 |
sophos.xg.av_policy_name |
应用于流量的恶意软件扫描策略名称 |
关键字 |
sophos.xg.backup_mode |
备份模式 |
关键字 |
sophos.xg.branch_name |
分支名称 |
关键字 |
sophos.xg.category |
IPS 签名类别。 |
关键字 |
sophos.xg.category_type |
网站所属类别的类型 |
关键字 |
sophos.xg.classification |
签名分类 |
关键字 |
sophos.xg.client_host_name |
客户端主机名 |
关键字 |
sophos.xg.client_physical_address |
客户端物理地址 |
关键字 |
sophos.xg.clients_conn_ssid |
连接到 SSID 的客户端数量。 |
长整型 |
sophos.xg.collisions |
冲突 |
长整型 |
sophos.xg.con_event |
事件开始/停止 |
关键字 |
sophos.xg.con_id |
连接的唯一标识符 |
integer |
sophos.xg.configuration |
配置 |
float |
sophos.xg.conn_id |
连接的唯一标识符 |
integer |
sophos.xg.connectionname |
连接名称 |
关键字 |
sophos.xg.connectiontype |
连接类型 |
关键字 |
sophos.xg.connevent |
生成此日志的事件 |
关键字 |
sophos.xg.connid |
连接 ID |
关键字 |
sophos.xg.content_type |
内容类型 |
关键字 |
sophos.xg.contenttype |
内容类型 |
关键字 |
sophos.xg.context_match |
上下文匹配 |
关键字 |
sophos.xg.context_prefix |
内容前缀 |
关键字 |
sophos.xg.context_suffix |
上下文后缀 |
关键字 |
sophos.xg.cookie |
Cookie |
关键字 |
sophos.xg.date |
事件发生的日期(yyyy-mm-dd) |
日期 |
sophos.xg.destinationip |
流量的原始目标 IP 地址 |
ip |
sophos.xg.device |
设备 |
关键字 |
sophos.xg.device_id |
设备的序列号 |
关键字 |
sophos.xg.device_model |
设备的型号 |
关键字 |
sophos.xg.device_name |
设备的型号 |
关键字 |
sophos.xg.dictionary_name |
字典名称 |
关键字 |
sophos.xg.dir_disp |
数据包方向。可能的值:“org”、“reply”、“” |
关键字 |
sophos.xg.direction |
方向 |
关键字 |
sophos.xg.domainname |
下载病毒的域名 |
关键字 |
sophos.xg.download_file_name |
下载文件名 |
关键字 |
sophos.xg.download_file_type |
下载文件类型 |
关键字 |
sophos.xg.dst_country_code |
目标 IP 所属的国家/地区的代码 |
关键字 |
sophos.xg.dst_domainname |
接收方域名 |
关键字 |
sophos.xg.dst_ip |
流量的原始目标 IP 地址 |
ip |
sophos.xg.dst_port |
TCP 和 UDP 流量的原始目标端口 |
integer |
sophos.xg.dst_zone_type |
目标区域的类型 |
关键字 |
sophos.xg.dstdomain |
目标域名 |
关键字 |
sophos.xg.duration |
流量的持续时间(秒) |
长整型 |
sophos.xg.email_subject |
电子邮件主题 |
关键字 |
sophos.xg.ep_uuid |
端点 UUID |
关键字 |
sophos.xg.ether_type |
以太网帧类型 |
关键字 |
sophos.xg.eventid |
ATP 事件 ID |
关键字 |
sophos.xg.eventtime |
事件时间 |
日期 |
sophos.xg.eventtype |
ATP 事件类型 |
关键字 |
sophos.xg.exceptions |
Web 异常排除的检查列表。 |
关键字 |
sophos.xg.execution_path |
ATP 执行路径 |
关键字 |
sophos.xg.extra |
额外信息 |
关键字 |
sophos.xg.file_name |
文件名 |
关键字 |
sophos.xg.file_path |
文件路径 |
关键字 |
sophos.xg.file_size |
文件大小 |
integer |
sophos.xg.filename |
与事件关联的文件名 |
关键字 |
sophos.xg.filepath |
包含病毒的文件的路径 |
关键字 |
sophos.xg.filesize |
包含病毒的文件的大小 |
integer |
sophos.xg.free |
空闲 |
integer |
sophos.xg.from_email_address |
发件人电子邮件地址 |
关键字 |
sophos.xg.ftp_direction |
FTP 传输的方向:上传或下载 |
关键字 |
sophos.xg.ftp_url |
下载病毒的 FTP URL |
关键字 |
sophos.xg.ftpcommand |
发现病毒时使用的 FTP 命令 |
关键字 |
sophos.xg.fw_rule_id |
应用于流量的防火墙规则 ID |
integer |
sophos.xg.fw_rule_type |
应用于流量的防火墙规则类型 |
关键字 |
sophos.xg.hb_health |
心跳状态 |
关键字 |
sophos.xg.hb_status |
心跳状态 |
关键字 |
sophos.xg.host |
主机 |
关键字 |
sophos.xg.http_category |
HTTP 类别 |
关键字 |
sophos.xg.http_category_type |
HTTP 类别类型 |
关键字 |
sophos.xg.httpresponsecode |
HTTP 响应代码 |
长整型 |
sophos.xg.iap |
应用于流量的 Internet 访问策略 ID |
关键字 |
sophos.xg.icmp_code |
ICMP 流量的 ICMP 代码 |
关键字 |
sophos.xg.icmp_type |
ICMP 流量的 ICMP 类型 |
关键字 |
sophos.xg.idle_cpu |
空闲 ## |
float |
sophos.xg.idp_policy_id |
应用于流量的 IPS 策略 ID |
integer |
sophos.xg.idp_policy_name |
IPS 策略名称,即应用于流量的 IPS 策略名称 |
关键字 |
sophos.xg.in_interface |
入站流量的接口,例如端口 A |
关键字 |
sophos.xg.interface |
接口 |
关键字 |
sophos.xg.ipaddress |
IP 地址 |
关键字 |
sophos.xg.ips_policy_id |
应用于流量的 IPS 策略 ID |
integer |
sophos.xg.lease_time |
租用时间 |
关键字 |
sophos.xg.localgateway |
本地网关 |
关键字 |
sophos.xg.localnetwork |
本地网络 |
关键字 |
sophos.xg.log_component |
负责记录的组件,例如防火墙规则 |
关键字 |
sophos.xg.log_id |
唯一的 12 个字符的代码 (0101011) |
关键字 |
sophos.xg.log_subtype |
事件的子类型 |
关键字 |
sophos.xg.log_type |
事件的类型,例如防火墙事件 |
关键字 |
sophos.xg.log_version |
日志版本 |
关键字 |
sophos.xg.login_user |
ATP 登录用户 |
关键字 |
sophos.xg.mailid |
邮件 ID |
关键字 |
sophos.xg.mailsize |
邮件大小 |
integer |
sophos.xg.message |
消息 |
关键字 |
sophos.xg.mode |
模式 |
关键字 |
sophos.xg.nat_rule_id |
NAT 规则 ID |
关键字 |
sophos.xg.newversion |
新版本 |
关键字 |
sophos.xg.oldversion |
旧版本 |
关键字 |
sophos.xg.out_interface |
出站流量的接口,例如端口 B |
关键字 |
sophos.xg.override_authorizer |
覆盖授权方 |
关键字 |
sophos.xg.override_name |
覆盖名称 |
关键字 |
sophos.xg.override_token |
覆盖令牌 |
关键字 |
sophos.xg.phpsessid |
PHP 会话 ID |
关键字 |
sophos.xg.platform |
流量的平台。 |
关键字 |
sophos.xg.policy_type |
应用于流量的策略类型 |
关键字 |
sophos.xg.priority |
流量的严重性级别 |
关键字 |
sophos.xg.protocol |
流量的协议号 |
关键字 |
sophos.xg.qualifier |
限定符 |
关键字 |
sophos.xg.quarantine |
隔离文件的路径和文件名 |
关键字 |
sophos.xg.quarantine_reason |
隔离原因 |
关键字 |
sophos.xg.querystring |
查询字符串 |
关键字 |
sophos.xg.raw_data |
原始数据 |
关键字 |
sophos.xg.received_pkts |
接收到的数据包总数 |
长整型 |
sophos.xg.receiveddrops |
接收到的丢弃数 |
长整型 |
sophos.xg.receivederrors |
接收到的错误数 |
关键字 |
sophos.xg.receivedkbits |
接收到的千比特数 |
长整型 |
sophos.xg.recv_bytes |
接收到的字节总数 |
长整型 |
sophos.xg.red_id |
RED ID |
关键字 |
sophos.xg.referer |
引用页 |
关键字 |
sophos.xg.remote_ip |
远程 IP |
ip |
sophos.xg.remotenetwork |
远程网络 |
关键字 |
sophos.xg.reported_host |
报告的主机 |
关键字 |
sophos.xg.reported_ip |
报告的 IP |
关键字 |
sophos.xg.reports |
报告 |
float |
sophos.xg.rule_priority |
IPS 策略的优先级 |
关键字 |
sophos.xg.sent_bytes |
发送的字节总数 |
长整型 |
sophos.xg.sent_pkts |
发送的数据包总数 |
长整型 |
sophos.xg.server |
服务器 |
关键字 |
sophos.xg.sessionid |
会话 ID |
关键字 |
sophos.xg.sha1sum |
正在分析的项目的 SHA1 校验和 |
关键字 |
sophos.xg.signature |
签名 |
float |
sophos.xg.signature_id |
签名 ID |
关键字 |
sophos.xg.signature_msg |
签名消息 |
关键字 |
sophos.xg.site_category |
站点类别 |
关键字 |
sophos.xg.source |
来源 |
关键字 |
sophos.xg.sourceip |
流量的原始源 IP 地址 |
ip |
sophos.xg.spamaction |
垃圾邮件操作 |
关键字 |
sophos.xg.sqli |
WAF 捕获的相关 SQLI |
关键字 |
sophos.xg.src_country_code |
源 IP 所属的国家/地区的代码 |
关键字 |
sophos.xg.src_domainname |
发件人域名 |
关键字 |
sophos.xg.src_ip |
流量的原始源 IP 地址 |
ip |
sophos.xg.src_mac |
流量的原始源 MAC 地址 |
关键字 |
sophos.xg.src_port |
TCP 和 UDP 流量的原始源端口 |
integer |
sophos.xg.src_zone_type |
源区域的类型 |
关键字 |
sophos.xg.ssid |
配置的 SSID 名称。 |
关键字 |
sophos.xg.start_time |
开始时间 |
日期 |
sophos.xg.starttime |
开始时间 |
日期 |
sophos.xg.status |
流量的最终状态 - 允许或拒绝 |
关键字 |
sophos.xg.status_code |
状态代码 |
关键字 |
sophos.xg.subject |
电子邮件主题 |
关键字 |
sophos.xg.syslog_server_name |
Syslog 服务器名称。 |
关键字 |
sophos.xg.system_cpu |
系统 |
float |
sophos.xg.target |
流量的平台。 |
关键字 |
sophos.xg.temp |
临时 |
float |
sophos.xg.threatname |
ATP 威胁名称 |
关键字 |
sophos.xg.timestamp |
时间戳 |
日期 |
sophos.xg.timezone |
事件时间戳的原始报告时区。 |
关键字 |
sophos.xg.to_email_address |
收件人电子邮件地址 |
关键字 |
sophos.xg.total_memory |
总内存 |
integer |
sophos.xg.trans_dst_ip |
出站流量的已转换目标 IP 地址 |
ip |
sophos.xg.trans_dst_port |
出站流量的已转换目标端口 |
integer |
sophos.xg.trans_src_ip |
出站流量的已转换源 IP 地址 |
ip |
sophos.xg.trans_src_port |
出站流量的已转换源端口 |
integer |
sophos.xg.transaction_id |
事务 ID |
关键字 |
sophos.xg.transactionid |
AV 扫描的事务 ID。 |
关键字 |
sophos.xg.transmitteddrops |
传输的丢弃数 |
长整型 |
sophos.xg.transmittederrors |
传输的错误数 |
关键字 |
sophos.xg.transmittedkbits |
传输的千比特数 |
长整型 |
sophos.xg.unit |
单位 |
关键字 |
sophos.xg.updatedip |
更新的 IP |
ip |
sophos.xg.upload_file_name |
上传文件名 |
关键字 |
sophos.xg.upload_file_type |
上传文件类型 |
关键字 |
sophos.xg.url |
下载病毒的 URL |
关键字 |
sophos.xg.used |
已用 |
integer |
sophos.xg.used_quota |
已用配额 |
关键字 |
sophos.xg.user |
用户 |
关键字 |
sophos.xg.user_cpu |
系统 |
float |
sophos.xg.user_gp |
用户所属的组的名称。 |
关键字 |
sophos.xg.user_group |
用户所属的组的名称 |
关键字 |
sophos.xg.user_name |
用户名 |
关键字 |
sophos.xg.users |
来自系统运行状况/实时用户事件的用户数量。 |
长整型 |
sophos.xg.vconn_id |
主连接的连接 ID |
integer |
sophos.xg.virus |
病毒名称 |
关键字 |
sophos.xg.web_policy_id |
Web 策略 ID |
关键字 |
sophos.xg.website |
网站 |
关键字 |
sophos.xg.xss |
WAF 捕获的相关 XSS |
关键字 |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。 |
长整型 |
source.as.organization.name |
组织名称。 |
关键字 |
source.as.organization.name.text |
|
match_only_text |
source.bytes |
从源发送到目标的字节数。 |
长整型 |
source.domain |
源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件,也可能是从富化中添加的。 |
关键字 |
source.geo.city_name |
城市名称。 |
关键字 |
source.geo.continent_name |
洲的名称。 |
关键字 |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
关键字 |
source.geo.country_name |
国家/地区名称。 |
关键字 |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户定义的位置描述,其粒度级别取决于用户。可以是他们的数据中心的名称、楼层号(如果这描述本地物理实体)、城市名称。通常不用于自动地理位置定位。 |
关键字 |
source.geo.region_iso_code |
地区 ISO 代码。 |
关键字 |
source.geo.region_name |
地区名称。 |
关键字 |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
ip |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
关键字 |
source.nat.ip |
基于源 NAT 会话转换后的源 IP(例如,内部客户端到互联网)。通常是遍历负载均衡器、防火墙或路由器的连接。 |
ip |
source.nat.port |
基于源 NAT 会话转换后的源端口。(例如,内部客户端到互联网)通常与负载均衡器、防火墙或路由器一起使用。 |
长整型 |
source.packets |
从源发送到目标的数据包。 |
长整型 |
source.port |
源的端口。 |
长整型 |
source.user.email |
用户电子邮件地址。 |
关键字 |
source.user.group.name |
组的名称。 |
关键字 |
source.user.name |
用户的简称或登录名。 |
关键字 |
source.user.name.text |
|
match_only_text |
tags |
用于标记每个事件的关键字列表。 |
关键字 |
url.domain |
URL 的域名,例如 "https://elastic.ac.cn[www.elastic.co]"。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 |
关键字 |
url.extension |
该字段包含原始请求 URL 中的文件扩展名,不包括前导点。仅当文件扩展名存在时才设置,因为并非每个 URL 都有文件扩展名。不应包含前导句点。例如,该值必须是“png”,而不是“.png”。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,只应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 |
关键字 |
url.fragment |
URL 中 |
关键字 |
url.full |
如果完整的 URL 对您的用例很重要,则应将其存储在 |
wildcard |
url.full.text |
|
match_only_text |
url.original |
事件源中看到的未修改的原始 URL。 请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。 此字段旨在表示观察到的 URL,无论是否完整。 |
wildcard |
url.original.text |
|
match_only_text |
url.password |
请求的密码。 |
关键字 |
url.path |
请求的路径,例如“/search”。 |
wildcard |
url.port |
请求的端口,例如 443。 |
长整型 |
url.query |
查询字段描述请求的查询字符串,例如“q=elasticsearch”。 |
关键字 |
url.registered_domain |
最高的已注册 URL 域,已去除子域。 例如,“foo.example.com”的已注册域是“example.com”。 可以使用公共后缀列表之类的列表精确确定此值(http://publicsuffix.org)。 尝试通过简单地取最后两个标签来近似此值对于“co.uk”之类的 TLD 将不起作用。 |
关键字 |
url.scheme |
请求的方案,例如“https”。 注意: |
关键字 |
url.subdomain |
完全限定的域名中的子域部分包括已注册域名下的所有名称,除了主机名。 在部分限定的域名中,或者如果无法确定完整名称的限定级别,则子域包含已注册域名下的所有名称。 例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分是“east”。 如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,不带尾随句点。 |
关键字 |
url.top_level_domain |
有效顶级域名 (eTLD),也称为域名后缀,是域名最后一部分。 例如,example.com 的顶级域名是“com”。 可以使用公共后缀列表之类的列表精确确定此值(http://publicsuffix.org)。 尝试通过简单地取最后一个标签来近似此值对于“co.uk”之类的有效 TLD 将不起作用。 |
关键字 |
url.username |
请求的用户名。 |
关键字 |
user.email |
用户电子邮件地址。 |
关键字 |
user.name |
用户的简称或登录名。 |
关键字 |
user.name.text |
|
match_only_text |
user_agent.device.name |
设备的名称。 |
关键字 |
user_agent.name |
用户代理的名称。 |
关键字 |
user_agent.original |
未解析的 user_agent 字符串。 |
关键字 |
user_agent.original.text |
|
match_only_text |
user_agent.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
关键字 |
user_agent.os.full |
操作系统名称,包括版本或代号。 |
关键字 |
user_agent.os.full.text |
|
match_only_text |
user_agent.os.kernel |
原始字符串形式的操作系统内核版本。 |
关键字 |
user_agent.os.name |
操作系统名称,不带版本。 |
关键字 |
user_agent.os.name.text |
|
match_only_text |
user_agent.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
user_agent.os.version |
原始字符串形式的操作系统版本。 |
关键字 |
user_agent.version |
用户代理的版本。 |
关键字 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
3.9.2 |
Bug 修复 (查看拉取请求) |
8.6.1 或更高版本 |
3.9.1 |
Bug 修复 (查看拉取请求) |
8.6.1 或更高版本 |
3.9.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
3.8.2 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
3.8.1 |
Bug 修复 (查看拉取请求) |
8.6.1 或更高版本 |
3.8.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
3.7.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
3.6.1 |
Bug 修复 (查看拉取请求) |
8.6.1 或更高版本 |
3.6.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
3.5.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
3.4.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
3.3.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
3.2.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
3.1.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
3.0.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) |
8.6.1 或更高版本 |
2.11.1 |
Bug 修复 (查看拉取请求) |
7.17.0 或更高版本 |
2.11.0 |
增强 (查看拉取请求) Bug 修复 (查看拉取请求) |
7.17.0 或更高版本 |
2.10.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.9.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.8.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.7.1 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.7.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.6.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.5.1 |
Bug 修复 (查看拉取请求) |
7.17.0 或更高版本 |
2.5.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.4.2 |
Bug 修复 (查看拉取请求) |
7.17.0 或更高版本 |
2.4.1 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.4.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.3.2 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.3.1 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.3.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.2.2 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.2.1 |
Bug 修复 (查看拉取请求) |
7.17.0 或更高版本 |
2.2.0 |
增强 (查看拉取请求) |
— |
2.1.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
2.0.0 |
Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) 重大更改 (查看拉取请求) |
— |
1.2.3 |
增强 (查看拉取请求) |
— |
1.2.2 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.2.1 |
错误修复 (查看拉取请求) |
7.14.1 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.1.3 |
错误修复 (查看拉取请求) |
7.14.1 或更高版本 |
1.1.2 |
错误修复 (查看拉取请求) |
— |
1.1.1 |
错误修复 (查看拉取请求) |
— |
1.1.0 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.0.6 |
增强 (查看拉取请求) |
7.14.1 或更高版本 |
1.0.5 |
增强 (查看拉取请求) |
— |
1.0.4 |
增强 (查看拉取请求) |
— |
1.0.3 |
错误修复 (查看拉取请求) |
— |
1.0.2 |
错误修复 (查看拉取请求) |
— |
1.0.1 |
错误修复 (查看拉取请求) |
— |
1.0.0 |
增强 (查看拉取请求) |
— |
0.6.0 |
增强 (查看拉取请求) |
— |
0.5.4 |
错误修复 (查看拉取请求) |
— |
0.5.3 |
增强 (查看拉取请求) |
— |
0.5.2 |
增强 (查看拉取请求) |
— |
0.5.1 |
增强 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.0 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.1 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |