›

Suricata 集成

版本	2.21.4 (查看全部)
兼容的 Kibana 版本	8.7.1 或更高版本
支持的无服务器项目类型这是什么？	安全可观测性
订阅级别这是什么？	基本
支持级别这是什么？	Elastic

此集成适用于 Suricata。它读取 EVE JSON 输出文件。EVE 输出将警报、异常、元数据、文件信息和协议特定记录写入为 JSON。

兼容性

编辑

此模块是针对 Suricata v4.0.4 开发的，但预计可与其他版本的 Suricata 一起使用。

EVE

编辑

示例

一个 eve 的示例事件如下

{
    "@timestamp": "2018-07-05T19:01:09.820Z",
    "agent": {
        "ephemeral_id": "58adcb6e-5d0e-4822-98a4-8d93557f8f2e",
        "id": "0a5c1566-c6fd-4e91-b96d-4083445a000e",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.9.0"
    },
    "data_stream": {
        "dataset": "suricata.eve",
        "namespace": "ep",
        "type": "logs"
    },
    "destination": {
        "address": "192.168.253.112",
        "ip": "192.168.253.112",
        "port": 22
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "0a5c1566-c6fd-4e91-b96d-4083445a000e",
        "snapshot": false,
        "version": "8.9.0"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "network"
        ],
        "created": "2023-08-08T15:09:13.171Z",
        "dataset": "suricata.eve",
        "ingested": "2023-08-08T15:09:14Z",
        "kind": "event",
        "type": [
            "protocol"
        ]
    },
    "input": {
        "type": "log"
    },
    "log": {
        "file": {
            "path": "/tmp/service_logs/eve-small.ndjson"
        },
        "offset": 0
    },
    "network": {
        "community_id": "1:NLm1MbaBR6humQxEQI2Ai7h/XiI=",
        "protocol": "ssh",
        "transport": "tcp"
    },
    "related": {
        "ip": [
            "192.168.86.85",
            "192.168.253.112"
        ]
    },
    "source": {
        "address": "192.168.86.85",
        "ip": "192.168.86.85",
        "port": 55406
    },
    "suricata": {
        "eve": {
            "event_type": "ssh",
            "flow_id": "298824096901438",
            "in_iface": "en0",
            "ssh": {
                "client": {
                    "proto_version": "2.0",
                    "software_version": "OpenSSH_7.6"
                },
                "server": {
                    "proto_version": "2.0",
                    "software_version": "libssh_0.7.0"
                }
            }
        }
    },
    "tags": [
        "forwarded",
        "suricata-eve"
    ]
}

导出的字段

字段	描述	类型
@timestamp	事件发生的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收到事件的时间填充。所有事件的必需字段。	日期
cloud.account.id	用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud 组织 ID 或其他唯一标识符。	关键字
cloud.availability_zone	此主机、资源或服务所在的可用区。	关键字
cloud.image.id	云实例的映像 ID。	关键字
cloud.instance.id	主机机器的实例 ID。	关键字
cloud.instance.name	主机机器的实例名称。	关键字
cloud.machine.type	主机机器的机器类型。	关键字
cloud.project.id	云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。	关键字
cloud.provider	云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。	关键字
cloud.region	此主机、资源或服务所在的区域。	关键字
container.id	唯一容器 ID。	关键字
container.image.name	容器构建所基于的映像的名称。	关键字
container.labels	映像标签。	对象
container.name	容器名称。	关键字
data_stream.dataset	该字段可以包含任何用于表示数据来源的信息。示例包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他方面适合但不设置数据集的数据流，我们对数据集值使用值“generic”。`event.dataset` 应具有与 `data_stream.dataset` 相同的值。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：* 不得包含 `-` * 长度不超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许对数据进行分组非常有用。许多用户已经以这种方式组织他们的索引，并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 `default` 填充此字段。如果没有使用值，它将回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：* 不得包含 `-` * 长度不超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。当前允许的值为“logs”和“metrics”。我们希望在不久的将来也添加“traces”和“synthetics”。	constant_keyword
destination.address	某些事件目标地址的定义含糊不清。事件有时会列出 IP、域名或 unix 套接字。您应始终将原始地址存储在 `.address` 字段中。然后应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪个。	关键字
destination.as.number	分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。	长整数
destination.as.organization.name	组织名称。	关键字
destination.as.organization.name.text	`destination.as.organization.name` 的多字段。	match_only_text
destination.bytes	从目标发送到源的字节数。	长整数
destination.domain	目标系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能来自扩充。	关键字
destination.geo.city_name	城市名称。	关键字
destination.geo.continent_name	大陆名称。	关键字
destination.geo.country_iso_code	国家/地区 ISO 代码。	关键字
destination.geo.country_name	国家/地区名称。	关键字
destination.geo.location	经度和纬度。	geo_point
destination.geo.region_iso_code	区域 ISO 代码。	关键字
destination.geo.region_name	区域名称。	关键字
destination.ip	目标 IP 地址（IPv4 或 IPv6）。	ip
destination.mac	目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个[大写]十六进制数字表示，该数字给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	关键字
destination.packets	从目标发送到源的数据包。	长整数
destination.port	目标的端口。	长整数
dns.answers	一个数组，其中包含服务器返回的每个答案部分的对象。这些对象中应存在的主要键由 ECS 定义。具有更多信息的记录可能包含比 ECS 定义的更多的键。并非所有 DNS 数据源都提供有关 DNS 答案的所有详细信息。至少，答案对象必须包含 `data` 键。如果存在更多信息，请尽可能多地将其映射到 ECS，并将任何其他字段作为自定义字段添加到答案对象。	组
dns.answers.class	此资源记录中包含的 DNS 数据的类。	关键字
dns.answers.data	描述资源的数据。此数据的含义取决于资源记录的类型和类。	关键字
dns.answers.name	此资源记录所属的域名。如果要解析 CNAME 链，则每个答案的 `name` 应与答案的 `data` 相对应。它不应只是重复原始的 `question.name`。	关键字
dns.answers.ttl	此资源记录在被丢弃之前可以缓存的时间间隔（以秒为单位）。零值表示不应缓存数据。	长整数
dns.answers.type	此资源记录中包含的数据的类型。	关键字
dns.header_flags	2 个字母的 DNS 标头标志的数组。	关键字
dns.id	生成查询的程序分配的 DNS 数据包标识符。该标识符被复制到响应中。	关键字
dns.op_code	指定消息中查询类型的 DNS 操作码。此值由查询的发起者设置并复制到响应中。	关键字
dns.question.class	正在查询的记录的类。	关键字
dns.question.name	正在查询的名称。如果名称字段包含不可打印字符（低于 32 或高于 126），则这些字符应表示为转义的十进制整数 (\DDD)。应转义反斜杠和引号。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。	关键字
dns.question.registered_domain	最高注册域名，剥离了子域名。例如，“foo.example.com”的注册域名是“example.com”。可以使用公共后缀列表 (http://publicsuffix.org) 等列表精确确定此值。尝试通过简单地取最后两个标签来近似此值对于诸如“co.uk”之类的 TLD 不会很好地工作。	关键字
dns.question.subdomain	子域名是 registered_domain 下的所有标签。如果域名具有多个级别的子域名，例如“sub2.sub1.example.com”，则子域名字段应包含“sub2.sub1”，不带尾随句点。	关键字
dns.question.top_level_domain	有效顶级域名 (eTLD)，也称为域名后缀，是域名的最后一部分。例如，example.com 的顶级域名是“com”。可以使用公共后缀列表 (http://publicsuffix.org) 等列表精确确定此值。尝试通过简单地取最后一个标签来近似此值对于诸如“co.uk”之类的有效 TLD 不会很好地工作。	关键字
dns.question.type	正在查询的记录类型。	关键字
dns.resolved_ip	包含 `answers.data` 中看到的所有 IP 的数组。`answers` 数组可能难以使用，因为它可能包含各种数据格式。将其中看到的所有 IP 地址提取到 `dns.resolved_ip` 中可以将其作为 IP 地址进行索引，并使其更易于可视化和查询。	ip
dns.response_code	DNS 响应代码。	关键字
dns.type	捕获的 DNS 事件的类型，查询或答案。如果您的 DNS 事件源只提供 DNS 查询，则您应该只创建类型为 `dns.type:query` 的 dns 事件。如果您的 DNS 事件源也提供答案，则您应该为每个查询创建一个事件（也可以在看到查询后立即创建）。第二个事件包含所有查询详细信息以及答案数组。	关键字
ecs.version	此事件符合的 ECS 版本。`ecs.version` 是必需字段，并且必须存在于所有事件中。在跨多个索引（可能符合略有不同的 ECS 版本）进行查询时，此字段允许集成调整到事件的模式版本。	关键字
event.created	`event.created` 包含代理或管道首次读取事件的日期/时间。此字段与 `@timestamp` 不同，因为 `@timestamp` 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳将略有不同。该差异可用于计算源生成事件的时间与代理首次处理事件的时间之间的延迟。这可用于监视您的代理或管道是否能够跟上您的事件源。如果两个时间戳相同，则应使用 `@timestamp`。	日期
event.dataset	事件数据集	constant_keyword
event.duration	事件的持续时间，以纳秒为单位。如果已知 `event.start` 和 `event.end`，则此值应为结束时间和开始时间之差。	长整数
event.end	`event.end` 包含事件结束或上次观察到活动时的日期。	日期
event.ingested	事件到达中央数据存储的时间戳。这与 `@timestamp` 不同，后者是事件最初发生的时间。它也与 `event.created` 不同，后者旨在捕获代理第一次看到事件的时间。在正常情况下，假设没有篡改，时间戳的时间顺序应如下所示：`@timestamp` < `event.created` < `event.ingested`。	日期
event.module	事件模块	constant_keyword
event.original	整个事件的原始文本消息。用于演示日志完整性，或者在需要完整日志消息（在将其拆分为多个部分之前）的情况下，例如用于重新索引。此字段未被索引，并且禁用了 doc_values。它不能被搜索，但可以从 `_source` 中检索。如果用户希望覆盖此设置并索引此字段，请参阅 `字段数据类型` 中的 `Elasticsearch 参考`。	关键字
event.outcome	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最低级别。`event.outcome` 只是表示从生成事件的实体角度来看，该事件是成功还是失败。请注意，当单个事务在多个事件中描述时，每个事件可能会根据其角度填充不同的 `event.outcome` 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能捕获事件生成者整体成功或失败的值。此外，请注意，并非所有事件都会有相关结果。例如，对于度量事件、`event.type:info` 的事件或任何结果不合逻辑的事件，通常不会填充此字段。	关键字
event.severity	根据您的事件源，事件的数字严重性。不同的严重性值可能在不同的来源和用例之间有所不同。由实施者来确保来自同一来源的事件的严重性保持一致。Syslog 严重性属于 `log.syslog.severity.code`。`event.severity` 旨在表示根据事件源（例如，防火墙、IDS）的严重性。如果事件源未发布其自身的严重性，您可以选择将 `log.syslog.severity.code` 复制到 `event.severity`。	长整数
event.start	`event.start` 包含事件开始或首次观察到活动时的日期。	日期
file.name	文件名，包括扩展名，但不包括目录。	关键字
file.path	文件的完整路径，包括文件名。如果适用，应包含驱动器号。	关键字
file.path.text	`file.path` 的多字段。	match_only_text
file.size	文件大小，以字节为单位。仅当 `file.type` 为 "file" 时才相关。	长整数
host.architecture	操作系统架构。	关键字
host.containerized	如果主机是容器。	boolean
host.domain	主机所属域的名称。例如，在 Windows 上，这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可能是主机 LDAP 提供程序的域。	关键字
host.hostname	主机的hostname。它通常包含主机上 `hostname` 命令返回的内容。	关键字
host.id	唯一的主机 ID。由于 hostname 并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前 `beat.name` 的用法。	关键字
host.ip	主机 IP 地址。	ip
host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	关键字
host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	关键字
host.os.build	操作系统构建信息。	关键字
host.os.codename	操作系统代码名（如果有）。	关键字
host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	关键字
host.os.kernel	操作系统的内核版本，以原始字符串形式表示。	关键字
host.os.name	操作系统名称，不带版本。	关键字
host.os.name.text	`host.os.name` 的多字段。	match_only_text
host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	关键字
host.os.version	操作系统版本，以原始字符串形式表示。	关键字
host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果虚拟机，这可能是容器，例如，或在您的环境中具有意义的其他信息。	关键字
http.request.method	HTTP 请求方法。该值应保留原始事件中的大小写。例如，`GET`、`get` 和 `GeT` 都被认为是此字段的有效值。	关键字
http.request.referrer	此 HTTP 请求的引用者。	关键字
http.response.body.bytes	响应正文的大小，以字节为单位。	长整数
http.response.status_code	HTTP 响应状态代码。	长整数
input.type	用于收集日志的 Filebeat 输入类型。	关键字
log.file.path	此事件来自的日志文件的完整路径，包括文件名。如果适用，应包含驱动器号。如果事件不是从日志文件中读取的，则不要填充此字段。	关键字
log.offset	报告的行开始的文件偏移量。	长整数
message	对于日志事件，message 字段包含日志消息，针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志，可以将其他字段连接起来，形成事件的人类可读摘要。如果存在多条消息，可以将它们组合成一条消息。	match_only_text
network.bytes	在两个方向传输的总字节数。如果知道 `source.bytes` 和 `destination.bytes`，则 `network.bytes` 是它们的总和。	长整数
network.community_id	源和目标 IP 和端口以及通信中使用的协议的哈希值。这是一种工具无关的标准，用于识别流。请访问 https://github.com/corelight/community-id-spec 了解更多信息。	关键字
network.packets	在两个方向传输的总数据包数。如果知道 `source.packets` 和 `destination.packets`，则 `network.packets` 是它们的总和。	长整数
network.protocol	在 OSI 模型中，这将是应用层协议。例如，`http`、`dns` 或 `ssh`。为了查询，字段值必须标准化为小写。	关键字
network.transport	与 network.iana_number 相同，但使用传输层（udp、tcp、ipv6-icmp 等）的关键字名称。为了查询，字段值必须标准化为小写。	关键字
observer.hostname	观察者的主机名。	关键字
observer.ip	观察者的 IP 地址。	ip
observer.mac	观察者的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	关键字
observer.name	观察者的自定义名称。这是一个可以赋予观察者的名称。例如，如果组织中使用多个相同型号的防火墙，这可能会很有帮助。如果不需要自定义名称，则可以将该字段留空。	关键字
observer.product	观察者的产品名称。	关键字
observer.type	数据来自的观察者类型。没有预定义的观察者类型列表。一些示例是 `forwarder`、`firewall`、`ids`、`ips`、`proxy`、`poller`、`sensor`、`APM server`。	关键字
observer.vendor	观察者的供应商名称。	关键字
related.hash	您的事件中看到的所有哈希值。填充此字段，然后使用它搜索哈希值可以在您不确定哈希算法是什么（因此要搜索哪个键名）的情况下提供帮助。	关键字
related.hosts	您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。	关键字
related.ip	您的事件中看到的所有 IP。	ip
rule.category	实体使用规则检测此事件时使用的分类值关键字。	关键字
rule.id	在代理、观察者或其他实体使用规则检测此事件的范围内唯一的规则 ID。	关键字
rule.name	生成事件的规则或签名的名称。	关键字
source.address	一些事件源地址的定义是模糊的。该事件有时会列出 IP、域或 Unix 套接字。您应该始终将原始地址存储在 `.address` 字段中。然后应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪一个。	关键字
source.as.number	分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一标识 Internet 上的每个网络。	长整数
source.as.organization.name	组织名称。	关键字
source.as.organization.name.text	`source.as.organization.name` 的多字段。	match_only_text
source.bytes	从源发送到目标的字节数。	长整数
source.geo.city_name	城市名称。	关键字
source.geo.continent_name	大陆名称。	关键字
source.geo.country_iso_code	国家/地区 ISO 代码。	关键字
source.geo.country_name	国家/地区名称。	关键字
source.geo.location	经度和纬度。	geo_point
source.geo.region_iso_code	区域 ISO 代码。	关键字
source.geo.region_name	区域名称。	关键字
source.ip	源的 IP 地址（IPv4 或 IPv6）。	ip
source.mac	源的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	关键字
source.packets	从源发送到目标的数据包数。	长整数
source.port	源的端口。	长整数
suricata.eve.alert.affected_product		关键字
suricata.eve.alert.attack_target		关键字
suricata.eve.alert.capec_id		关键字
suricata.eve.alert.category		关键字
suricata.eve.alert.classtype		关键字
suricata.eve.alert.created_at		日期
suricata.eve.alert.cve		关键字
suricata.eve.alert.cvss_v2_base		关键字
suricata.eve.alert.cvss_v2_temporal		关键字
suricata.eve.alert.cvss_v3_base		关键字
suricata.eve.alert.cvss_v3_temporal		关键字
suricata.eve.alert.cwe_id		关键字
suricata.eve.alert.deployment		关键字
suricata.eve.alert.former_category		关键字
suricata.eve.alert.gid		长整数
suricata.eve.alert.hostile		关键字
suricata.eve.alert.infected		关键字
suricata.eve.alert.malware		关键字
suricata.eve.alert.metadata		扁平化
suricata.eve.alert.mitre_tool_id		关键字
suricata.eve.alert.performance_impact		关键字
suricata.eve.alert.priority		关键字
suricata.eve.alert.protocols		关键字
suricata.eve.alert.rev		长整数
suricata.eve.alert.rule_source		关键字
suricata.eve.alert.sid		关键字
suricata.eve.alert.signature		关键字
suricata.eve.alert.signature_id		长整数
suricata.eve.alert.signature_severity		关键字
suricata.eve.alert.tag		关键字
suricata.eve.alert.updated_at		日期
suricata.eve.app_proto_expected		关键字
suricata.eve.app_proto_orig		关键字
suricata.eve.app_proto_tc		关键字
suricata.eve.app_proto_ts		关键字
suricata.eve.dns.id		长整数
suricata.eve.dns.rcode		关键字
suricata.eve.dns.rdata		关键字
suricata.eve.dns.rrname		关键字
suricata.eve.dns.rrtype		关键字
suricata.eve.dns.ttl		长整数
suricata.eve.dns.tx_id		长整数
suricata.eve.dns.type		关键字
suricata.eve.email.status		关键字
suricata.eve.event_type		关键字
suricata.eve.fileinfo.gaps		boolean
suricata.eve.fileinfo.md5		关键字
suricata.eve.fileinfo.sha1		关键字
suricata.eve.fileinfo.sha256		关键字
suricata.eve.fileinfo.state		关键字
suricata.eve.fileinfo.stored		boolean
suricata.eve.fileinfo.tx_id		长整数
suricata.eve.flow.age		长整数
suricata.eve.flow.alerted		boolean
suricata.eve.flow.end		日期
suricata.eve.flow.reason		关键字
suricata.eve.flow.state		关键字
suricata.eve.flow_id		关键字
suricata.eve.http.http_content_type		关键字
suricata.eve.http.http_port		长整数
suricata.eve.http.protocol		关键字
suricata.eve.http.redirect		关键字
suricata.eve.icmp_code		长整数
suricata.eve.icmp_type		长整数
suricata.eve.in_iface		关键字
suricata.eve.pcap_cnt		长整数
suricata.eve.smtp.helo		关键字
suricata.eve.smtp.mail_from		关键字
suricata.eve.smtp.rcpt_to		关键字
suricata.eve.ssh.client.proto_version		关键字
suricata.eve.ssh.client.software_version		关键字
suricata.eve.ssh.server.proto_version		关键字
suricata.eve.ssh.server.software_version		关键字
suricata.eve.stats.app_layer.flow.dcerpc_tcp		长整数
suricata.eve.stats.app_layer.flow.dcerpc_udp		长整数
suricata.eve.stats.app_layer.flow.dns_tcp		长整数
suricata.eve.stats.app_layer.flow.dns_udp		长整数
suricata.eve.stats.app_layer.flow.failed_tcp		长整数
suricata.eve.stats.app_layer.flow.failed_udp		长整数
suricata.eve.stats.app_layer.flow.ftp		长整数
suricata.eve.stats.app_layer.flow.http		长整数
suricata.eve.stats.app_layer.flow.imap		长整数
suricata.eve.stats.app_layer.flow.msn		长整数
suricata.eve.stats.app_layer.flow.smb		长整数
suricata.eve.stats.app_layer.flow.smtp		长整数
suricata.eve.stats.app_layer.flow.ssh		长整数
suricata.eve.stats.app_layer.flow.tls		长整数
suricata.eve.stats.app_layer.tx.dcerpc_tcp		长整数
suricata.eve.stats.app_layer.tx.dcerpc_udp		长整数
suricata.eve.stats.app_layer.tx.dns_tcp		长整数
suricata.eve.stats.app_layer.tx.dns_udp		长整数
suricata.eve.stats.app_layer.tx.ftp		长整数
suricata.eve.stats.app_layer.tx.http		长整数
suricata.eve.stats.app_layer.tx.smb		长整数
suricata.eve.stats.app_layer.tx.smtp		长整数
suricata.eve.stats.app_layer.tx.ssh		长整数
suricata.eve.stats.app_layer.tx.tls		长整数
suricata.eve.stats.capture.kernel_drops		长整数
suricata.eve.stats.capture.kernel_ifdrops		长整数
suricata.eve.stats.capture.kernel_packets		长整数
suricata.eve.stats.decoder.avg_pkt_size		长整数
suricata.eve.stats.decoder.bytes		长整数
suricata.eve.stats.decoder.dce.pkt_too_small		长整数
suricata.eve.stats.decoder.erspan		长整数
suricata.eve.stats.decoder.ethernet		长整数
suricata.eve.stats.decoder.gre		长整数
suricata.eve.stats.decoder.icmpv4		长整数
suricata.eve.stats.decoder.icmpv6		长整数
suricata.eve.stats.decoder.ieee8021ah		长整数
suricata.eve.stats.decoder.invalid		长整数
suricata.eve.stats.decoder.ipraw.invalid_ip_version		长整数
suricata.eve.stats.decoder.ipv4		长整数
suricata.eve.stats.decoder.ipv4_in_ipv6		长整数
suricata.eve.stats.decoder.ipv6		长整数
suricata.eve.stats.decoder.ipv6_in_ipv6		长整数
suricata.eve.stats.decoder.ltnull.pkt_too_small		长整数
suricata.eve.stats.decoder.ltnull.unsupported_type		长整数
suricata.eve.stats.decoder.max_pkt_size		长整数
suricata.eve.stats.decoder.mpls		长整数
suricata.eve.stats.decoder.null		长整数
suricata.eve.stats.decoder.pkts		长整数
suricata.eve.stats.decoder.ppp		长整数
suricata.eve.stats.decoder.pppoe		长整数
suricata.eve.stats.decoder.raw		长整数
suricata.eve.stats.decoder.sctp		长整数
suricata.eve.stats.decoder.sll		长整数
suricata.eve.stats.decoder.tcp		长整数
suricata.eve.stats.decoder.teredo		长整数
suricata.eve.stats.decoder.udp		长整数
suricata.eve.stats.decoder.vlan		长整数
suricata.eve.stats.decoder.vlan_qinq		长整数
suricata.eve.stats.defrag.ipv4.fragments		长整数
suricata.eve.stats.defrag.ipv4.reassembled		长整数
suricata.eve.stats.defrag.ipv4.timeouts		长整数
suricata.eve.stats.defrag.ipv6.fragments		长整数
suricata.eve.stats.defrag.ipv6.reassembled		长整数
suricata.eve.stats.defrag.ipv6.timeouts		长整数
suricata.eve.stats.defrag.max_frag_hits		长整数
suricata.eve.stats.detect.alert		长整数
suricata.eve.stats.dns.memcap_global		长整数
suricata.eve.stats.dns.memcap_state		长整数
suricata.eve.stats.dns.memuse		长整数
suricata.eve.stats.file_store.open_files		长整数
suricata.eve.stats.flow.emerg_mode_entered		长整数
suricata.eve.stats.flow.emerg_mode_over		长整数
suricata.eve.stats.flow.icmpv4		长整数
suricata.eve.stats.flow.icmpv6		长整数
suricata.eve.stats.flow.memcap		长整数
suricata.eve.stats.flow.memuse		长整数
suricata.eve.stats.flow.spare		长整数
suricata.eve.stats.flow.tcp		长整数
suricata.eve.stats.flow.tcp_reuse		长整数
suricata.eve.stats.flow.udp		长整数
suricata.eve.stats.flow_mgr.bypassed_pruned		长整数
suricata.eve.stats.flow_mgr.closed_pruned		长整数
suricata.eve.stats.flow_mgr.est_pruned		长整数
suricata.eve.stats.flow_mgr.flows_checked		长整数
suricata.eve.stats.flow_mgr.flows_notimeout		长整数
suricata.eve.stats.flow_mgr.flows_removed		长整数
suricata.eve.stats.flow_mgr.flows_timeout		长整数
suricata.eve.stats.flow_mgr.flows_timeout_inuse		长整数
suricata.eve.stats.flow_mgr.new_pruned		长整数
suricata.eve.stats.flow_mgr.rows_busy		长整数
suricata.eve.stats.flow_mgr.rows_checked		长整数
suricata.eve.stats.flow_mgr.rows_empty		长整数
suricata.eve.stats.flow_mgr.rows_maxlen		长整数
suricata.eve.stats.flow_mgr.rows_skipped		长整数
suricata.eve.stats.http.memcap		长整数
suricata.eve.stats.http.memuse		长整数
suricata.eve.stats.tcp.insert_data_normal_fail		长整数
suricata.eve.stats.tcp.insert_data_overlap_fail		长整数
suricata.eve.stats.tcp.insert_list_fail		长整数
suricata.eve.stats.tcp.invalid_checksum		长整数
suricata.eve.stats.tcp.memuse		长整数
suricata.eve.stats.tcp.no_flow		长整数
suricata.eve.stats.tcp.overlap		长整数
suricata.eve.stats.tcp.overlap_diff_data		长整数
suricata.eve.stats.tcp.pseudo		长整数
suricata.eve.stats.tcp.pseudo_failed		长整数
suricata.eve.stats.tcp.reassembly_gap		长整数
suricata.eve.stats.tcp.reassembly_memuse		长整数
suricata.eve.stats.tcp.rst		长整数
suricata.eve.stats.tcp.segment_memcap_drop		长整数
suricata.eve.stats.tcp.sessions		长整数
suricata.eve.stats.tcp.ssn_memcap_drop		长整数
suricata.eve.stats.tcp.stream_depth_reached		长整数
suricata.eve.stats.tcp.syn		长整数
suricata.eve.stats.tcp.synack		长整数
suricata.eve.stats.uptime		长整数
suricata.eve.tcp.ack		boolean
suricata.eve.tcp.fin		boolean
suricata.eve.tcp.psh		boolean
suricata.eve.tcp.rst		boolean
suricata.eve.tcp.state		关键字
suricata.eve.tcp.syn		boolean
suricata.eve.tcp.tcp_flags		关键字
suricata.eve.tcp.tcp_flags_tc		关键字
suricata.eve.tcp.tcp_flags_ts		关键字
suricata.eve.tls.fingerprint		关键字
suricata.eve.tls.issuerdn		关键字
suricata.eve.tls.ja3.hash		关键字
suricata.eve.tls.ja3.string		关键字
suricata.eve.tls.ja3s.hash		关键字
suricata.eve.tls.ja3s.string		关键字
suricata.eve.tls.notafter		日期
suricata.eve.tls.notbefore		日期
suricata.eve.tls.serial		关键字
suricata.eve.tls.session_resumed		boolean
suricata.eve.tls.sni		关键字
suricata.eve.tls.subject		关键字
suricata.eve.tls.version		关键字
suricata.eve.tx_id		长整数
标签	用于标记每个事件的关键字列表。	关键字
威胁框架	用于进一步分类和归类所报告威胁的策略和技术所使用的威胁框架的名称。框架分类可以由检测系统提供，在接收时进行评估，或追溯性地标记到事件。	关键字
威胁.策略.id	此威胁使用的策略的 ID。例如，您可以使用 MITRE ATT&CK® 策略。（例如，https://attack.mitre.org/tactics/TA0002/）	关键字
威胁.策略.名称	此威胁使用的策略类型的名称。例如，您可以使用 MITRE ATT&CK® 策略。（例如，https://attack.mitre.org/tactics/TA0002/）	关键字
威胁.技术.id	此威胁使用的技术的 ID。例如，您可以使用 MITRE ATT&CK® 技术。（例如，https://attack.mitre.org/techniques/T1059/）	关键字
威胁.技术.名称	此威胁使用的技术的名称。例如，您可以使用 MITRE ATT&CK® 技术。（例如，https://attack.mitre.org/techniques/T1059/）	关键字
威胁.技术.名称.文本	`threat.technique.name` 的多字段。	match_only_text
tls.客户端.ja3	一个哈希值，用于根据客户端执行 SSL/TLS 握手的方式来识别客户端。	关键字
tls.客户端.服务器名称	也称为 SNI，它告诉服务器客户端尝试连接到哪个主机名。当此值可用时，它应复制到 `destination.domain`。	关键字
tls.恢复	布尔标志，指示此 TLS 连接是否从现有的 TLS 协商中恢复。	boolean
tls.服务器.哈希.sha1	证书指纹，使用服务器提供的证书的 DER 编码版本的 SHA1 摘要。为了与其他哈希值保持一致，此值应格式化为大写哈希值。	关键字
tls.服务器.颁发者	服务器提供的 x.509 证书的颁发者的主题。	关键字
tls.服务器.ja3s	一个哈希值，用于根据服务器执行 SSL/TLS 握手的方式来识别服务器。	关键字
tls.服务器.不晚于	时间戳，指示服务器证书何时不再被视为有效。	日期
tls.服务器.不早于	时间戳，指示服务器证书何时首次被视为有效。	日期
tls.服务器.主题	服务器提供的 x.509 证书的主题。	关键字
tls.服务器.x509.颁发者.通用名称	颁发证书颁发机构的通用名称 (CN) 列表。	关键字
tls.服务器.x509.颁发者.国家/地区	国家/地区代码 (C) 的列表	关键字
tls.服务器.x509.颁发者.所在地	所在地名称 (L) 的列表	关键字
tls.服务器.x509.颁发者.组织	颁发证书颁发机构的组织 (O) 的列表。	关键字
tls.服务器.x509.颁发者.组织单元	颁发证书颁发机构的组织单元 (OU) 的列表。	关键字
tls.服务器.x509.颁发者.州或省份	州或省份名称（ST、S 或 P）的列表	关键字
tls.服务器.x509.不晚于	证书不再被视为有效的时间。	日期
tls.服务器.x509.不早于	证书首次被视为有效的时间。	日期
tls.服务器.x509.序列号	证书颁发机构颁发的唯一序列号。为了保持一致性，如果此值为字母数字，则应在不使用冒号和大写字符的情况下进行格式化。	关键字
tls.服务器.x509.主题.通用名称	主题的通用名称 (CN) 的列表。	关键字
tls.服务器.x509.主题.国家/地区	国家/地区代码 (C) 的列表	关键字
tls.服务器.x509.主题.所在地	所在地名称 (L) 的列表	关键字
tls.服务器.x509.主题.组织	主题的组织 (O) 的列表。	关键字
tls.服务器.x509.主题.组织单元	主题的组织单元 (OU) 的列表。	关键字
tls.服务器.x509.主题.州或省份	州或省份名称（ST、S 或 P）的列表	关键字
tls.版本	从原始字符串解析的版本号部分。	关键字
tls.版本协议	从原始字符串解析的规范化小写协议名称。	关键字
url.域名	URL 的域，例如“https://elastic.ac.cn[www.elastic.co]”。在某些情况下，URL 可能直接引用 IP 和/或端口，而没有域名。在这种情况下，IP 地址将进入 `domain` 字段。如果 URL 包含以 `[` 和 `]`（IETF RFC 2732）括起来的文字 IPv6 地址，则 `[` 和 `]` 字符也应捕获在 `domain` 字段中。	关键字
url.原始	事件源中看到的未经修改的原始 URL。请注意，在网络监控中，观察到的 URL 可能是完整的 URL，而在访问日志中，URL 通常仅表示为路径。此字段旨在表示观察到的 URL，无论完整与否。	通配符
url.original.text	`url.original` 的多字段。	match_only_text
url.path	请求的路径，例如 "/search"。	通配符
url.query	query 字段描述请求的查询字符串，例如 "q=elasticsearch"。查询字符串中不包含 `?`。如果 URL 不包含 `?`，则不存在 query 字段。如果存在 `?` 但没有查询，则 query 字段存在且为空字符串。可以使用 `exists` 查询来区分这两种情况。	关键字
user_agent.device.name	设备的名称。	关键字
user_agent.name	用户代理的名称。	关键字
user_agent.original	未解析的用户代理字符串。	关键字
user_agent.original.text	`user_agent.original` 的多字段。	match_only_text
user_agent.os.full	操作系统名称，包括版本或代码名称。	关键字
user_agent.os.full.text	`user_agent.os.full` 的多字段。	match_only_text
user_agent.os.name	操作系统名称，不带版本。	关键字
user_agent.os.name.text	`user_agent.os.name` 的多字段。	match_only_text
user_agent.os.version	操作系统版本，以原始字符串形式表示。	关键字
user_agent.version	用户代理的版本。	关键字

更新日志

编辑

更新日志

版本	详细信息	Kibana 版本
2.21.4	错误修复 (查看拉取请求) 修复 TLS 主题和颁发者字段中额外逗号的解析问题。	8.7.1 或更高版本
2.21.3	错误修复 (查看拉取请求) 在引用摄取管道中的变量时，使用三重大括号 Mustache 模板。	8.7.1 或更高版本
2.21.2	错误修复 (查看拉取请求) 处理未设置的 TLS 数据字段	8.7.1 或更高版本
2.21.1	错误修复 (查看拉取请求) 修复 SSLv2 类型值格式的 TLS 版本解析。	8.7.1 或更高版本
2.21.0	增强 (查看拉取请求) 将 package-spec 更新到 3.0.3。	8.7.1 或更高版本
2.20.2	增强 (查看拉取请求) 更改了所有者	8.7.1 或更高版本
2.20.1	错误修复 (查看拉取请求) 修复 exclude_files 模式。	8.7.1 或更高版本
2.20.0	增强 (查看拉取请求) ECS 版本已更新至 8.11.0。	8.7.1 或更高版本
2.19.0	增强 (查看拉取请求) 改进了对 event.original 的检查，以避免在设置时出现错误。	8.7.1 或更高版本
2.18.1	错误修复 (查看拉取请求) 修复组字段的映射	8.7.1 或更高版本
2.18.0	增强 (查看拉取请求) 如果在标签中“转发”，则填充 `observer.*` 字段	8.7.1 或更高版本
2.17.1	增强 (查看拉取请求) 对于 ECS 中存在的所有字段，请参考 ECS 定义。	8.7.1 或更高版本
2.17.0	增强 (查看拉取请求) ECS 版本已更新至 8.10.0。	8.7.1 或更高版本
2.16.0	增强 (查看拉取请求) 软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了带点的 YAML 键。在软件包清单中添加了 owner.type: elastic。	8.7.1 或更高版本
2.15.0	增强 (查看拉取请求) 添加 tags.yml 文件，以便将集成的仪表板和已保存的搜索标记为“安全解决方案”，并在安全解决方案 UI 中显示。	8.7.1 或更高版本
2.14.0	增强 (查看拉取请求) 使用导入的 ECS 定义，而不是本地定义。	8.7.1 或更高版本
2.13.0	增强 (查看拉取请求) 使用动态字段定义。	8.7.1 或更高版本
2.12.0	增强 (查看拉取请求) 将 package-spec 更新到 2.9.0。	8.7.1 或更高版本
2.11.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.9.0。	8.7.1 或更高版本
2.10.0	增强 (查看拉取请求) 将仪表板转换为 Lens	8.7.1 或更高版本
2.9.0	增强 (查看拉取请求) 确保为管道错误正确设置 event.kind。	8.1.0 或更高版本
2.8.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.8.0。	8.1.0 或更高版本
2.7.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.7.0。	8.1.0 或更高版本
2.6.1	增强 (查看拉取请求) 添加了类别和/或子类别。	8.1.0 或更高版本
2.6.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.6.0。	8.1.0 或更高版本
2.5.3	增强 (查看拉取请求) 将仪表板中的可视化迁移为按值迁移，以最大程度地减少已保存的对象混乱并减少加载时间	8.1.0 或更高版本
2.5.2	错误修复 (查看拉取请求) 删除重复字段。	8.0.0 或更高版本
2.5.1	错误修复 (查看拉取请求) 参数列表的防御性复制	8.0.0 或更高版本
2.5.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.5.0。	8.0.0 或更高版本
2.4.2	增强 (查看拉取请求) 使用 ECS geo.location 定义。	8.0.0 或更高版本
2.4.1	增强 (查看拉取请求) 删除未使用的可视化	8.0.0 或更高版本
2.4.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.4.0	8.0.0 或更高版本
2.3.1	增强 (查看拉取请求) 更新软件包名称和描述以符合标准措辞	8.0.0 或更高版本
2.3.0	增强 (查看拉取请求) 将服务器名称指示添加到 TLS 事件的 related.hosts。错误修复 (查看拉取请求) 根据 ECS 呈现 host.mac 硬件地址。	8.0.0 或更高版本
2.2.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.3.0。	8.0.0 或更高版本
2.1.0	增强 (查看拉取请求) 将 JA3/JA3S 添加到 `related.hash`	8.0.0 或更高版本
2.0.0	增强 (查看拉取请求) 将地图可视化从 tile_map 迁移到地图对象	8.0.0 或更高版本
1.7.0	增强 (查看拉取请求) 更新到 ECS 8.2	7.14.0 或更高版本 8.0.0 或更高版本
1.6.1	增强 (查看拉取请求) 为多字段添加文档	7.14.0 或更高版本 8.0.0 或更高版本
1.6.0	增强 (查看拉取请求) 添加对 krb5、smtp、snmp 和 ikev2 的 network.protocol 支持。	7.14.0 或更高版本 8.0.0 或更高版本
1.5.0	错误修复 (查看拉取请求) 在事件中设置 destination.ip。增强 (查看拉取请求) 按照 ECS 和 RFC 7042 格式化 MAC 地址。	7.14.0 或更高版本 8.0.0 或更高版本
1.4.0	增强 (查看拉取请求) 更新到 ECS 8.0	—
1.3.2	错误修复 (查看拉取请求) 使用新的 GeoIP 数据库重新生成测试文件	7.14.0 或更高版本 8.0.0 或更高版本
1.3.1	错误修复 (查看拉取请求) 将测试公共 IP 更改为支持的子集	—
1.3.0	增强 (查看拉取请求) 添加 8.0.0 版本约束	7.14.0 或更高版本 8.0.0 或更高版本
1.2.3	增强 (查看拉取请求) 与指南保持一致	7.14.0 或更高版本
1.2.2	增强 (查看拉取请求) 更新标题和描述。	—
1.2.1	错误修复 (查看拉取请求) 修复检查 forwarded 标签的逻辑	—
1.2.0	增强 (查看拉取请求) 更新到 ECS 1.12.0	7.14.0 或更高版本
1.1.3	增强 (查看拉取请求) 转换为生成的 ECS 字段	—
1.1.2	增强 (查看拉取请求) 更新到 ECS 1.11.0	—
1.1.1	增强 (查看拉取请求) 转义文档中的特殊字符	—
1.1.0	增强 (查看拉取请求) 更新集成描述	—
1.0.1	Bug 修复 (查看拉取请求) 修复不正确的日期字段和元数据字段问题。	—
1.0.0	增强 (查看拉取请求) 发布 GA 版本增强 (查看拉取请求) 设置 "event.module" 和 "event.dataset"	7.14.0 或更高版本
0.6.3	增强 (查看拉取请求) 使用 `wildcard` 字段类型。	—
0.6.2	增强 (查看拉取请求) 修改 event.original 并将 ECS 版本更新到 1.10.0	—
0.6.1	增强 (查看拉取请求) 使 event.original 变为可选	—
0.6.0	增强 (查看拉取请求) 将边缘处理移至摄取管道	—
0.5.2	增强 (查看拉取请求) 更新到 ECS 1.9.0	—
0.5.1	Bug 修复 (查看拉取请求) 更改 kibana.version 约束使其更保守。	—
0.0.1	增强 (查看拉取请求) 初始发布	—

« Sublime Security Stormshield SNS »