Linux 版 Sysmon 集成

版本	1.7.1 (查看全部)
兼容的 Kibana 版本	8.4.0 或更高版本
支持的无服务器项目类型这是什么？	安全可观测性
订阅级别这是什么？	基本
支持级别这是什么？	Elastic

Linux 版 Sysmon 集成允许您监控 Linux 版 Sysmon，这是一个开源系统监控工具，旨在从 Linux 环境中收集安全事件。

使用 Linux 版 Sysmon 集成从运行 Sysmon 工具的 Linux 机器收集日志。然后在 Kibana 中可视化该数据，创建警报以在出现问题时通知您，并在排查问题时引用数据。

要从 Windows 事件日志收集 Sysmon 事件，请使用 Windows sysmon_operational 数据流。

要求

编辑

您需要 Elasticsearch 来存储和搜索数据，以及 Kibana 来可视化和管理数据。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务（推荐），或者在您自己的硬件上自行管理 Elastic Stack。

设置

编辑

有关如何设置集成的分步说明，请参阅入门指南。

数据流

编辑

Linux 版 Sysmon log 数据流提供来自在 Linux 机器上运行的 Sysmon 工具生成的日志的事件。

示例

log 的示例事件如下所示

{
    "@timestamp": "2023-10-24T17:05:31.000Z",
    "agent": {
        "ephemeral_id": "9a76eca2-a433-4b6f-a30b-bac6e6d09995",
        "id": "9f4e1395-4b95-476b-8057-130127354b7a",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.10.2"
    },
    "data_stream": {
        "dataset": "sysmon_linux.log",
        "namespace": "ep",
        "type": "logs"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "9f4e1395-4b95-476b-8057-130127354b7a",
        "snapshot": false,
        "version": "8.10.2"
    },
    "event": {
        "action": "log",
        "agent_id_status": "verified",
        "dataset": "sysmon_linux.log",
        "ingested": "2023-10-03T10:35:51Z",
        "kind": "event",
        "timezone": "+00:00"
    },
    "host": {
        "architecture": "x86_64",
        "containerized": true,
        "hostname": "docker-fleet-agent",
        "id": "efe661d97f0c4d9883075c393da6b0d8",
        "ip": [
            "192.168.48.7"
        ],
        "mac": [
            "02-42-C0-A8-30-07"
        ],
        "name": "docker-fleet-agent",
        "os": {
            "codename": "focal",
            "family": "debian",
            "kernel": "5.15.90.1-microsoft-standard-WSL2",
            "name": "Ubuntu",
            "platform": "ubuntu",
            "type": "linux",
            "version": "20.04.6 LTS (Focal Fossa)"
        }
    },
    "input": {
        "type": "filestream"
    },
    "log": {
        "file": {
            "device_id": 2080,
            "inode": 91045,
            "path": "/tmp/service_logs/sysmon.log"
        },
        "offset": 0
    },
    "message": "Sysmon v1.0.0 - Monitors system events",
    "process": {
        "name": "sysmon",
        "pid": 3041
    }
}

导出的字段

字段	描述	类型
@timestamp	事件时间戳。	date
cloud.account.id	用于在多租户环境中识别不同实体的云帐户或组织 ID。例如：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。	keyword
cloud.availability_zone	此主机运行所在的可用区。	keyword
cloud.image.id	云实例的映像 ID。	keyword
cloud.instance.id	主机机器的实例 ID。	keyword
cloud.instance.name	主机机器的实例名称。	keyword
cloud.machine.type	主机机器的机器类型。	keyword
cloud.project.id	Google Cloud 中项目的名称。	keyword
cloud.provider	云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。	keyword
cloud.region	此主机运行所在的区域。	keyword
container.id	唯一的容器 ID。	keyword
container.image.name	容器构建所基于的映像名称。	keyword
container.labels	映像标签。	object
container.name	容器名称。	keyword
data_stream.dataset	数据流数据集名称。	constant_keyword
data_stream.namespace	数据流命名空间。	constant_keyword
data_stream.type	数据流类型。	constant_keyword
dataset.name	数据集名称。	constant_keyword
dataset.namespace	数据集命名空间。	constant_keyword
dataset.type	数据集类型。	constant_keyword
destination.domain	目标系统的域名。此值可以是主机名、完全限定域名或另一种主机命名格式。该值可能来自原始事件，也可能是通过扩充添加的。	keyword
destination.ip	目标的 IP 地址（IPv4 或 IPv6）。	ip
destination.port	目标的端口。	long
dns.answers	一个数组，其中包含服务器返回的每个答案部分的对象。这些对象中应该存在的主要键由 ECS 定义。具有更多信息的记录可能包含比 ECS 定义的更多的键。并非所有 DNS 数据源都提供有关 DNS 答案的所有详细信息。答案对象至少必须包含 `data` 键。如果有更多信息可用，请尽可能将其映射到 ECS，并将任何其他字段作为自定义字段添加到答案对象中。	group
dns.answers.class	此资源记录中包含的 DNS 数据的类。	keyword
dns.answers.data	描述资源的数据。此数据的含义取决于资源记录的类型和类。	keyword
dns.answers.name	此资源记录所属的域名。如果正在解析 CNAME 链，则每个答案的 `name` 应与答案的 `data` 相对应。它不应只是重复原始 `question.name`。	keyword
dns.answers.ttl	此资源记录在丢弃前可以缓存的时间间隔（以秒为单位）。零值表示不应缓存数据。	long
dns.answers.type	此资源记录中包含的数据的类型。	keyword
dns.header_flags	包含 2 个字母的 DNS 标头标志的数组。	keyword
dns.id	生成查询的程序分配的 DNS 数据包标识符。该标识符会复制到响应中。	keyword
dns.op_code	指定消息中查询类型的 DNS 操作码。此值由查询的发起者设置，并复制到响应中。	keyword
dns.question.class	正在查询的记录的类。	keyword
dns.question.name	正在查询的名称。如果 name 字段包含不可打印字符（小于 32 或大于 126），则这些字符应表示为转义的十进制整数 (\DDD)。反斜杠和引号应进行转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。	keyword
dns.question.registered_domain	已注册的最高级域，已剥离子域。例如，“foo.example.com”的已注册域名为“example.com”。可以使用公共后缀列表 (http://publicsuffix.org) 等列表精确确定此值。尝试通过简单地取最后两个标签来近似此值对于“co.uk”等 TLD 来说效果不佳。	keyword
dns.question.subdomain	子域是 registered_domain 下的所有标签。如果域具有多个子域级别，例如“sub2.sub1.example.com”，则子域字段应包含“sub2.sub1”，不带尾随句点。	keyword
dns.question.top_level_domain	有效的顶级域 (eTLD)，也称为域名后缀，是域名的最后一部分。例如，example.com 的顶级域名为“com”。可以使用公共后缀列表 (http://publicsuffix.org) 等列表精确确定此值。尝试通过简单地取最后一个标签来近似此值对于“co.uk”等有效 TLD 来说效果不佳。	keyword
dns.question.type	正在查询的记录的类型。	keyword
dns.resolved_ip	包含在 `answers.data` 中看到的所有 IP 的数组。`answers` 数组可能难以使用，因为它包含多种数据格式。将其中看到的所有 IP 地址提取到 `dns.resolved_ip` 使您可以将它们索引为 IP 地址，并且更易于可视化和查询。	ip
dns.response_code	DNS 响应代码。	keyword
dns.type	捕获的 DNS 事件的类型，查询或答案。如果您的 DNS 事件源仅为您提供 DNS 查询，则您应仅创建 `dns.type:query` 类型的 dns 事件。如果您的 DNS 事件源也为您提供答案，则您应为每个查询创建一个事件（可选，在看到查询后立即创建）。以及包含所有查询详细信息和答案数组的第二个事件。	keyword
ecs.version	此事件符合的 ECS 版本。`ecs.version` 是必需字段，必须存在于所有事件中。在跨可能符合略微不同的 ECS 版本的多个索引进行查询时，此字段使集成能够调整为事件的架构版本。	keyword
error.code	描述错误的错误代码。	keyword
error.message	错误消息。	match_only_text
event.action	事件捕获的操作。这描述了事件中的信息。它比 `event.category` 更具体。例如 `group-add`、`process-started`、`file-created`。该值通常由实现者定义。	keyword
event.category	这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的第二层。`event.category` 代表 ECS 类别的“大桶”。例如，筛选 `event.category:process` 将产生与进程活动相关的所有事件。此字段与用作子类别的 `event.type` 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行适当分类。	keyword
event.code	此事件的标识代码（如果存在）。某些事件源使用事件代码来明确标识消息，而不管消息语言或随时间调整的措辞如何。例如，Windows 事件 ID。	keyword
event.created	`event.created` 包含代理或您的管道首次读取事件时的日期/时间。此字段与 `@timestamp` 不同，因为 `@timestamp` 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。此差异可用于计算您的源生成事件与您的代理首次处理该事件之间的时间延迟。这可用于监控您的代理或管道保持与您的事件源同步的能力。如果两个时间戳相同，则应使用 `@timestamp`。	date
event.dataset	事件数据集	constant_keyword
event.ingested	事件到达中央数据存储区的时间戳。这与 `@timestamp` 不同，后者是事件最初发生的时间。它也与 `event.created` 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳应按时间顺序显示如下：`@timestamp` < `event.created` < `event.ingested`。	date
event.kind	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构的最高级别。`event.kind` 提供了关于事件包含何种类型信息的高级信息，而没有具体到事件的内容。例如，此字段的值可以区分告警事件和指标事件。此字段的值可用于指导如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制，并且还可以帮助了解数据是否以固定的时间间隔传入。	keyword
event.module	事件模块	constant_keyword
event.outcome	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构的最低级别。`event.outcome` 简单地表示从生成事件的实体的角度来看，该事件是成功还是失败。请注意，当单个事务在多个事件中描述时，每个事件可能会根据其角度填充不同的 `event.outcome` 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能捕获事件生成者角度的整体成功或失败的值。还要注意，并非所有事件都会有相关的结果。例如，通常不会为指标事件、`event.type:info` 的事件或任何结果没有逻辑意义的事件填充此字段。	keyword
event.provider	事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd），也可以是操作系统子系统的名称（内核、Microsoft-Windows-Security-Auditing）。	keyword
event.sequence	事件的序列号。序列号是某些事件源发布的值，用于明确事件的精确顺序，而不管时间戳的精度如何。	long
event.type	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构的第三级。`event.type` 表示一个分类“子桶”，当与 `event.category` 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许对属于多种事件类型的某些事件进行正确的分类。	keyword
file.code_signature.exists	用于捕获是否存在签名的布尔值。	布尔值
file.code_signature.status	关于证书状态的附加信息。这对于记录证书的有效性或信任状态的加密错误很有用。如果未检查证书的有效性或信任，则留空。	keyword
file.code_signature.subject_name	代码签名者的主题名称	keyword
file.code_signature.trusted	存储证书链的信任状态。验证证书链的信任可能很复杂，此字段应仅由主动检查状态的工具填充。	布尔值
file.code_signature.valid	用于捕获数字签名是否针对二进制内容进行验证的布尔值。如果未检查证书，则留空。	布尔值
file.directory	文件所在的目录。它应包括驱动器盘符（如果适用）。	keyword
file.extension	文件扩展名，不包括前导点。请注意，当文件名具有多个扩展名 (example.tar.gz) 时，应仅捕获最后一个扩展名（“gz”，而不是“tar.gz”）。	keyword
file.hash.md5	MD5 哈希值。	keyword
file.hash.sha1	SHA1 哈希值。	keyword
file.hash.sha256	SHA256 哈希值。	keyword
file.hash.sha512	SHA512 哈希值。	keyword
file.name	文件名，包括扩展名，但不包括目录。	keyword
file.path	文件的完整路径，包括文件名。它应包括驱动器盘符（如果适用）。	keyword
file.path.text	`file.path` 的多字段。	match_only_text
file.pe.architecture	文件的目标 CPU 架构。	keyword
file.pe.company	文件的内部公司名称，在编译时提供。	keyword
file.pe.description	文件的内部描述，在编译时提供。	keyword
file.pe.file_version	文件的内部版本，在编译时提供。	keyword
file.pe.imphash	PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生（这将更改更传统的哈希值）之后，imphash（或导入哈希）也可用于对二进制文件进行指纹识别。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。	keyword
file.pe.original_file_name	文件的内部名称，在编译时提供。	keyword
file.pe.product	文件的内部产品名称，在编译时提供。	keyword
group.domain	组所属的目录名称。例如，LDAP 或 Active Directory 域名。	keyword
group.id	系统/平台上组的唯一标识符。	keyword
group.name	组的名称。	keyword
host.architecture	操作系统架构。	keyword
host.containerized	主机是否为容器。	布尔值
host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
host.hostname	主机的计算机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
host.id	唯一的主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前 `beat.name` 的用法。	keyword
host.ip	主机 IP 地址。	ip
host.mac	主机 MAC 地址。	keyword
host.name	主机的名称。它可以包含 Unix 系统上 `hostname` 返回的内容、完全限定域名或用户指定的名称。发送者决定使用哪个值。	keyword
host.os.build	操作系统版本信息。	keyword
host.os.codename	操作系统代号（如果有）。	keyword
host.os.family	操作系统系列（例如 redhat、debian、freebsd、windows）。	keyword
host.os.kernel	操作系统的内核版本，以原始字符串形式表示。	keyword
host.os.name	操作系统名称，不含版本。	keyword
host.os.name.text	`host.os.name` 的多字段。	文本
host.os.platform	操作系统平台（例如 centos、ubuntu、windows）。	keyword
host.os.version	操作系统版本，以原始字符串形式表示。	keyword
host.type	主机类型。对于云提供商，这可以是机器类型，例如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或其他在您的环境中具有意义的信息。	keyword
input.type	Filebeat 输入的类型。	keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 编号。	keyword
log.file.path	此事件来源的日志文件的完整路径，包括文件名。它应包括驱动器盘符（如果适用）。如果事件不是从日志文件中读取的，请不要填充此字段。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.level	日志事件的原始日志级别。如果事件的来源提供日志级别或文本严重性，则此级别将进入 `log.level`。如果您的来源未指定，则可以将事件传输的严重性放在此处（例如，Syslog 严重性）。一些示例是 `warn`、`err`、`i`、`informational`。	keyword
log.offset	日志文件中条目的偏移量。	long
message	对于日志事件，message 字段包含日志消息，该消息针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志，可以将其他字段连接起来以形成事件的人工可读摘要。如果存在多条消息，则可以将它们合并为一条消息。	match_only_text
network.community_id	源和目标 IP 及端口以及通信中使用的协议的哈希值。这是一种与工具无关的识别流的标准。在 https://github.com/corelight/community-id-spec 了解更多信息。	keyword
network.direction	网络流量的方向。当从基于主机的监视上下文映射事件时，请从主机的角度使用值“ingress”或“egress”来填充此字段。当从基于网络或边界的监视上下文映射事件时，请从网络边界的角度使用值“inbound”、“outbound”、“internal”或“external”来填充此字段。请注意，“internal”不跨越边界，旨在描述边界内两台主机之间的通信。另请注意，“external”旨在描述两个外部边界主机之间的流量。例如，这对于 ISP 或 VPN 服务提供商可能有用。	keyword
network.protocol	在 OSI 模型中，这将是应用层协议。例如，`http`、`dns` 或 `ssh`。为了进行查询，字段值必须标准化为小写。	keyword
network.transport	与 network.iana_number 相同，但使用传输层（udp、tcp、ipv6-icmp 等）的关键字名称。为了进行查询，字段值必须标准化为小写。	keyword
network.type	在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。为了进行查询，字段值必须标准化为小写。	keyword
process.args	进程参数的数组，以可执行文件的绝对路径开头。可能会过滤以保护敏感信息。	keyword
process.args_count	process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行桶分析可能很有用。更多参数可能表明存在可疑活动。	long
process.command_line	启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。	通配符
process.command_line.text	`process.command_line` 的多字段。	match_only_text
process.entity_id	进程的唯一标识符。此实现由数据源指定，但此处可以使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并识别多个受监视主机上的特定进程。	keyword
process.executable	进程可执行文件的绝对路径。	keyword
process.executable.text	`process.executable` 的多字段。	match_only_text
process.hash.md5	MD5 哈希值。	keyword
process.hash.sha1	SHA1 哈希值。	keyword
process.hash.sha256	SHA256 哈希值。	keyword
process.hash.sha512	SHA512 哈希值。	keyword
process.name	进程名称。有时也称为程序名称或类似名称。	keyword
process.name.text	`process.name` 的多字段。	match_only_text
process.parent.args	进程参数的数组，以可执行文件的绝对路径开头。可能会过滤以保护敏感信息。	keyword
process.parent.args_count	process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行桶分析可能很有用。更多参数可能表明存在可疑活动。	long
process.parent.command_line	启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。	通配符
process.parent.command_line.text	`process.parent.command_line` 的多字段。	match_only_text
process.parent.entity_id	进程的唯一标识符。此实现由数据源指定，但此处可以使用的一些示例包括进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构造全局唯一标识符是一种常见的做法，可以缓解 PID 重用，并识别多个受监视主机上的特定进程。	keyword
process.parent.executable	进程可执行文件的绝对路径。	keyword
process.parent.executable.text	`process.parent.executable` 的多字段。	match_only_text
process.parent.name	进程名称。有时也称为程序名称或类似名称。	keyword
process.parent.name.text	`process.parent.name` 的多字段。	match_only_text
process.parent.pid	进程 ID。	long
process.pe.architecture	文件的目标 CPU 架构。	keyword
process.pe.company	文件的内部公司名称，在编译时提供。	keyword
process.pe.description	文件的内部描述，在编译时提供。	keyword
process.pe.file_version	文件的内部版本，在编译时提供。	keyword
process.pe.imphash	PE 文件中导入的哈希值。即使在重新编译或其他代码级转换发生（这将更改更传统的哈希值）之后，imphash（或导入哈希）也可用于对二进制文件进行指纹识别。在 https://www.fireeye.com/blog/threat-research/2014/01/tracking-malware-import-hashing.html 了解更多信息。	keyword
process.pe.original_file_name	文件的内部名称，在编译时提供。	keyword
process.pe.product	文件的内部产品名称，在编译时提供。	keyword
process.pid	进程 ID。	long
process.title	进程标题。 proctitle，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。	keyword
process.title.text	`process.title` 的多字段。	match_only_text
process.working_directory	进程的工作目录。	keyword
process.working_directory.text	`process.working_directory` 的多字段。	match_only_text
registry.data.strings	写入字符串类型时的内容。当将字符串数据写入注册表时，会填充为数组。对于单字符串注册表类型（REG_SZ、REG_EXPAND_SZ），这应该是一个包含一个字符串的数组。对于 REG_MULTI_SZ 的字符串序列，此数组的长度是可变的。对于数值数据，例如 REG_DWORD 和 REG_QWORD，这应该填充十进制表示形式（例如 `"1"`）。	通配符
registry.data.type	用于编码内容的标准注册表类型	keyword
registry.hive	配置单元的缩写名称。	keyword
registry.key	键的相对于配置单元的路径。	keyword
registry.path	完整路径，包括配置单元、键和值	keyword
registry.value	写入的值的名称。	keyword
related.hash	在您的事件中看到的所有哈希值。填充此字段，然后使用它搜索哈希值可以帮助您在不确定哈希算法是什么（因此要搜索哪个键名）的情况下。	keyword
related.hosts	在您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。	keyword
related.ip	在您的事件中看到的所有 IP。	ip
related.user	在事件中看到的所有用户名或其他用户标识符。	keyword
rule.name	生成事件的规则或签名的名称。	keyword
service.name	从中收集数据的服务的名称。服务的名称通常由用户给定。这允许运行在多台主机上的分布式服务基于名称关联相关的实例。在 Elasticsearch 的情况下，`service.name` 可以包含集群名称。对于 Beats，如果未指定名称，则 `service.name` 默认为 `service.type` 字段的副本。	keyword
service.type	从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 收集日志或指标，则 `service.type` 将为 `elasticsearch`。	keyword
source.domain	源系统的域名。此值可以是主机名、完全限定域名或其他主机命名格式。该值可能来自原始事件，也可能来自丰富。	keyword
source.ip	源的 IP 地址（IPv4 或 IPv6）。	ip
source.port	源的端口。	long
sysmon.dns.status	DNS 查询返回的 Windows 状态代码。	keyword
sysmon.file.archived	指示已删除的文件是否已存档。	布尔值
sysmon.file.is_executable	指示已删除的文件是否为可执行文件。	布尔值
tags	用于标记每个事件的关键字列表。	keyword
user.domain	用户所属目录的名称。例如，LDAP 或 Active Directory 域名。	keyword
user.id	用户的唯一标识符。	keyword
user.name	用户的简称或登录名。	keyword
user.name.text	`user.name` 的多字段。	match_only_text
user.target.group.domain	组所属的目录名称。例如，LDAP 或 Active Directory 域名。	keyword
user.target.group.id	系统/平台上组的唯一标识符。	keyword
user.target.group.name	组的名称。	keyword
user.target.name	用户的简称或登录名。	keyword
user.target.name.text	`user.target.name` 的多字段。	match_only_text
winlog.activity_id	一个全局唯一标识符，用于标识当前活动。使用此标识符发布的事件是同一活动的一部分。	keyword
winlog.api	用于读取记录的事件日志 API 类型。可能的值为 Windows 事件日志 API 的 "wineventlog" 或事件日志 API 的 "eventlogging"。事件日志 API 是为 Windows Server 2003 或 Windows 2000 操作系统设计的。在 Windows Vista 中，事件日志基础结构经过重新设计。在 Windows Vista 或更高版本的操作系统上，使用 Windows 事件日志 API。 Winlogbeat 会自动检测使用哪个 API 来读取事件日志。	keyword
winlog.channel	从中读取此记录的通道的名称。此值是配置中 `event_logs` 集合中的名称之一。	keyword
winlog.computer_name	生成记录的计算机的名称。当使用 Windows 事件转发时，此名称可能与 `agent.hostname` 不同。	keyword
winlog.event_data	事件的特定数据。此字段与 `user_data` 互斥。如果您在 Windows Vista 之前的版本上捕获事件数据，则 `event_data` 中的参数被命名为 `param1`、`param2` 等等，因为在早期版本的 Windows 中事件日志参数是未命名的。	object
winlog.event_data.AuthenticationPackageName		keyword
winlog.event_data.Binary		keyword
winlog.event_data.BitlockerUserInputTime		keyword
winlog.event_data.BootMode		keyword
winlog.event_data.BootType		keyword
winlog.event_data.BuildVersion		keyword
winlog.event_data.ClientInfo		keyword
winlog.event_data.Company		keyword
winlog.event_data.Configuration		keyword
winlog.event_data.CorruptionActionState		keyword
winlog.event_data.CreationUtcTime		keyword
winlog.event_data.Description		keyword
winlog.event_data.Detail		keyword
winlog.event_data.DeviceName		keyword
winlog.event_data.DeviceNameLength		keyword
winlog.event_data.DeviceTime		keyword
winlog.event_data.DeviceVersionMajor		keyword
winlog.event_data.DeviceVersionMinor		keyword
winlog.event_data.DriveName		keyword
winlog.event_data.DriverName		keyword
winlog.event_data.DriverNameLength		keyword
winlog.event_data.DwordVal		keyword
winlog.event_data.EntryCount		keyword
winlog.event_data.EventType		keyword
winlog.event_data.ExtraInfo		keyword
winlog.event_data.FailureName		keyword
winlog.event_data.FailureNameLength		keyword
winlog.event_data.FileVersion		keyword
winlog.event_data.FinalStatus		keyword
winlog.event_data.Group		keyword
winlog.event_data.IdleImplementation		keyword
winlog.event_data.IdleStateCount		keyword
winlog.event_data.ImpersonationLevel		keyword
winlog.event_data.IntegrityLevel		keyword
winlog.event_data.IpAddress		keyword
winlog.event_data.IpPort		keyword
winlog.event_data.KeyLength		keyword
winlog.event_data.LastBootGood		keyword
winlog.event_data.LastShutdownGood		keyword
winlog.event_data.LmPackageName		keyword
winlog.event_data.LogonGuid		keyword
winlog.event_data.LogonId		keyword
winlog.event_data.LogonProcessName		keyword
winlog.event_data.LogonType		keyword
winlog.event_data.MajorVersion		keyword
winlog.event_data.MaximumPerformancePercent		keyword
winlog.event_data.MemberName		keyword
winlog.event_data.MemberSid		keyword
winlog.event_data.MinimumPerformancePercent		keyword
winlog.event_data.MinimumThrottlePercent		keyword
winlog.event_data.MinorVersion		keyword
winlog.event_data.NewProcessId		keyword
winlog.event_data.NewProcessName		keyword
winlog.event_data.NewSchemeGuid		keyword
winlog.event_data.NewTime		keyword
winlog.event_data.NominalFrequency		keyword
winlog.event_data.Number		keyword
winlog.event_data.OldSchemeGuid		keyword
winlog.event_data.OldTime		keyword
winlog.event_data.OriginalFileName		keyword
winlog.event_data.Path		keyword
winlog.event_data.PerformanceImplementation		keyword
winlog.event_data.PreviousCreationUtcTime		keyword
winlog.event_data.PreviousTime		keyword
winlog.event_data.PrivilegeList		keyword
winlog.event_data.ProcessId		keyword
winlog.event_data.ProcessName		keyword
winlog.event_data.ProcessPath		keyword
winlog.event_data.ProcessPid		keyword
winlog.event_data.Product		keyword
winlog.event_data.PuaCount		keyword
winlog.event_data.PuaPolicyId		keyword
winlog.event_data.QfeVersion		keyword
winlog.event_data.Reason		keyword
winlog.event_data.SchemaVersion		keyword
winlog.event_data.ScriptBlockText		keyword
winlog.event_data.ServiceName		keyword
winlog.event_data.ServiceVersion		keyword
winlog.event_data.Session		keyword
winlog.event_data.ShutdownActionType		keyword
winlog.event_data.ShutdownEventCode		keyword
winlog.event_data.ShutdownReason		keyword
winlog.event_data.Signature		keyword
winlog.event_data.SignatureStatus		keyword
winlog.event_data.Signed		keyword
winlog.event_data.StartTime		keyword
winlog.event_data.State		keyword
winlog.event_data.Status		keyword
winlog.event_data.StopTime		keyword
winlog.event_data.SubjectDomainName		keyword
winlog.event_data.SubjectLogonId		keyword
winlog.event_data.SubjectUserName		keyword
winlog.event_data.SubjectUserSid		keyword
winlog.event_data.TSId		keyword
winlog.event_data.TargetDomainName		keyword
winlog.event_data.TargetInfo		keyword
winlog.event_data.TargetLogonGuid		keyword
winlog.event_data.TargetLogonId		keyword
winlog.event_data.TargetServerName		keyword
winlog.event_data.TargetUserName		keyword
winlog.event_data.TargetUserSid		keyword
winlog.event_data.TerminalSessionId		keyword
winlog.event_data.TokenElevationType		keyword
winlog.event_data.TransmittedServices		keyword
winlog.event_data.Type		keyword
winlog.event_data.UserSid		keyword
winlog.event_data.Version		keyword
winlog.event_data.Workstation		keyword
winlog.event_data.param1		keyword
winlog.event_data.param2		keyword
winlog.event_data.param3		keyword
winlog.event_data.param4		keyword
winlog.event_data.param5		keyword
winlog.event_data.param6		keyword
winlog.event_data.param7		keyword
winlog.event_data.param8		keyword
winlog.event_id	事件标识符。该值特定于事件的源。	keyword
winlog.keywords	关键字用于对事件进行分类。	keyword
winlog.opcode	事件中定义的操作码。任务和操作码通常用于识别应用程序中记录事件的位置。	keyword
winlog.process.pid	客户端服务器运行时进程的 process_id。	long
winlog.process.thread.id		long
winlog.provider_guid	一个全局唯一标识符，用于标识记录事件的提供程序。	keyword
winlog.provider_name	事件日志记录的源（记录该记录的应用程序或服务）。	keyword
winlog.record_id	事件日志记录的记录 ID。写入事件日志的第一条记录的记录号为 1，其他记录按顺序编号。如果记录号达到最大值（对于事件日志 API 为 2³²，对于 Windows 事件日志 API 为 2⁶⁴），则下一个记录号将为 0。	keyword
winlog.related_activity_id	一个全局唯一标识符，用于标识将控制权转移到的活动。相关的事件然后将此标识符作为其 `activity_id` 标识符。	keyword
winlog.task	事件中定义的任务。任务和操作码通常用于识别应用程序中记录事件的位置。事件日志 API（在 Windows Vista 之前的操作系统上）使用的类别写入此字段。	keyword
winlog.user.domain	与此事件关联的帐户所属的域。	keyword
winlog.user.identifier	与此事件关联的帐户的安全标识符 (SID)。	keyword
winlog.user.name	与此事件关联的用户的名称。	keyword
winlog.user.type	与此事件关联的帐户的类型。	keyword
winlog.user_data	事件的特定数据。此字段与 `event_data` 互斥。	object
winlog.version	事件定义的版本号。	long

更新日志

编辑

更新日志

版本	详细信息	Kibana 版本
1.7.1	Bug 修复 (查看拉取请求) 在引用摄取管道中的变量时，使用三括号 Mustache 模板。	8.4.0 或更高版本
1.7.0	增强 (查看拉取请求) 收紧从 IPv4 映射的 IPv6 地址中提取 IPv4。	8.4.0 或更高版本
1.6.3	Bug 修复 (查看拉取请求) 修复 IPv6 清理步骤。	8.4.0 或更高版本
1.6.2	增强 (查看拉取请求) 更改了所有者	8.4.0 或更高版本
1.6.1	缺陷修复 (查看拉取请求) 修复 exclude_files 模式。	8.4.0 或更高版本
1.6.0	增强 (查看拉取请求) ECS 版本更新至 8.11.0。	8.4.0 或更高版本
1.5.1	缺陷修复 (查看拉取请求) 修复 dns.answers 的映射	8.4.0 或更高版本
1.5.0	增强 (查看拉取请求) 调整字段以适应文件系统信息中的更改	8.4.0 或更高版本
1.4.0	增强 (查看拉取请求) ECS 版本更新至 8.10.0。	8.4.0 或更高版本
1.3.0	增强 (查看拉取请求) 软件包清单中的 format_version 从 2.11.0 更改为 3.0.0。从软件包清单中删除了点分隔的 YAML 键。向软件包清单添加了 owner.type: elastic。	8.4.0 或更高版本
1.2.0	增强 (查看拉取请求) 添加 tags.yml 文件，以便使用“安全解决方案”标记集成的仪表板和已保存的搜索，并在安全解决方案 UI 中显示。	8.4.0 或更高版本
1.1.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.9.0。	8.4.0 或更高版本
1.0.0	增强 (查看拉取请求) 将 Linux 版 Sysmon 作为 GA 发布。	8.4.0 或更高版本
0.5.0	增强 (查看拉取请求) 确保为管道错误正确设置 event.kind。	—
0.4.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.8.0。	—
0.3.0	增强 (查看拉取请求) 将 package-spec 版本更新到 2.7.0。	—
0.2.0	增强 (查看拉取请求) 将软件包更新到 ECS 8.7.0。	—
0.1.0	增强 (查看拉取请求) 初始版本	—

« Symantec Endpoint Security Sysdig 集成 »