« Apache Tomcat 集成 自定义 API 输入集成 »
Elastic 文档 Elastic 集成 Apache

Tomcat NetWitness 日志集成(即将弃用)

编辑

Tomcat NetWitness 日志集成(即将弃用)

编辑

版本

1.11.0 (查看全部)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的无服务器项目类型
这是什么?

安全
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

此集成用于 Tomcat 设备的日志。它包括以下数据集,用于通过 syslog 接收日志或从文件读取日志

  • log 数据集:支持 Apache Tomcat 日志。

注意

日志
编辑

log 数据集收集 Apache Tomcat 日志。

ECS 字段参考

有关 ECS 字段的详细信息,请参阅以下文档

导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

data_stream.dataset

数据流数据集。

constant_keyword

data_stream.namespace

数据流命名空间。

constant_keyword

data_stream.type

数据流类型。

constant_keyword

dns.question.domain

服务器域名。

keyword

event.dataset

事件数据集

constant_keyword

event.module

事件模块

constant_keyword

geo.city_name

城市名称。

keyword

geo.country_name

国家名称。

keyword

geo.name

用户定义的位置描述,粒度级别由他们决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)、城市名称。通常不用于自动地理位置定位。

keyword

geo.region_name

区域名称。

keyword

input.type

输入类型

keyword

log.flags

日志文件的标志。

keyword

log.offset

日志偏移量

long

log.source.address

从中读取/发送日志事件的源地址。

keyword

network.interface.name

keyword

rsa.counters.dclass_c1

这是一个通用计数器键,应仅与标签 dclass.c1.str 一起使用

long

rsa.counters.dclass_c1_str

这是一个通用计数器字符串键,应仅与标签 dclass.c1 一起使用

keyword

rsa.counters.dclass_c2

这是一个通用计数器键,应仅与标签 dclass.c2.str 一起使用

long

rsa.counters.dclass_c2_str

这是一个通用计数器字符串键,应仅与标签 dclass.c2 一起使用

keyword

rsa.counters.dclass_c3

这是一个通用计数器键,应仅与标签 dclass.c3.str 一起使用

long

rsa.counters.dclass_c3_str

这是一个通用计数器字符串键,应仅与标签 dclass.c3 一起使用

keyword

rsa.counters.dclass_r1

这是一个通用比率键,应仅与标签 dclass.r1.str 一起使用

keyword

rsa.counters.dclass_r1_str

这是一个通用比率字符串键,应仅与标签 dclass.r1 一起使用

keyword

rsa.counters.dclass_r2

这是一个通用比率键,应仅与标签 dclass.r2.str 一起使用

keyword

rsa.counters.dclass_r2_str

这是一个通用比率字符串键,应仅与标签 dclass.r2 一起使用

keyword

rsa.counters.dclass_r3

这是一个通用比率键,应仅与标签 dclass.r3.str 一起使用

keyword

rsa.counters.dclass_r3_str

这是一个通用比率字符串键,应仅与标签 dclass.r3 一起使用

keyword

rsa.counters.event_counter

用于捕获事件重复的次数

long

rsa.crypto.cert_ca

此键仅用于捕获证书签名机构

keyword

rsa.crypto.cert_checksum

keyword

rsa.crypto.cert_common

此键仅用于捕获证书的公用名

keyword

rsa.crypto.cert_error

此键捕获证书错误字符串

keyword

rsa.crypto.cert_host_cat

此键用于证书的主机名类别值

keyword

rsa.crypto.cert_host_name

仅在表映射中定义的已弃用键。

keyword

rsa.crypto.cert_issuer

keyword

rsa.crypto.cert_keysize

keyword

rsa.crypto.cert_serial

此键仅用于捕获证书序列号

keyword

rsa.crypto.cert_status

此键捕获证书验证状态

keyword

rsa.crypto.cert_subject

此键仅用于捕获证书组织

keyword

rsa.crypto.cert_username

keyword

rsa.crypto.cipher_dst

此键用于目标(服务器)密码

keyword

rsa.crypto.cipher_size_dst

此键捕获目标(服务器)密码大小

long

rsa.crypto.cipher_size_src

此键捕获源(客户端)密码大小

long

rsa.crypto.cipher_src

此键用于源(客户端)密码

keyword

rsa.crypto.crypto

此键仅用于捕获加密类型或加密密钥

keyword

rsa.crypto.d_certauth

keyword

rsa.crypto.https_insact

keyword

rsa.crypto.https_valid

keyword

rsa.crypto.ike

IKE 协商阶段。

keyword

rsa.crypto.ike_cookie1

协商的 ID — 为 ISAKMP 第一阶段发送

keyword

rsa.crypto.ike_cookie2

协商的 ID — 为 ISAKMP 第二阶段发送

keyword

rsa.crypto.peer

此键用于加密对等方的 IP 地址

keyword

rsa.crypto.peer_id

此键用于加密对等方的身份

keyword

rsa.crypto.s_certauth

keyword

rsa.crypto.scheme

此键捕获使用的加密方案

keyword

rsa.crypto.sig_type

此键捕获签名类型

keyword

rsa.crypto.ssl_ver_dst

已弃用,请使用版本

keyword

rsa.crypto.ssl_ver_src

已弃用,请使用版本

keyword

rsa.db.database

此键用于捕获会话中看到的数据库或实例的名称

keyword

rsa.db.db_id

此键用于捕获数据库的唯一标识符

keyword

rsa.db.db_pid

此键捕获与数据库服务器连接的进程 ID

long

rsa.db.index

此键捕获索引的 IndexID。

keyword

rsa.db.instance

此键用于捕获数据库服务器实例名称

keyword

rsa.db.lread

此键用于逻辑读取次数

long

rsa.db.lwrite

此键用于逻辑写入次数

long

rsa.db.permissions

此键捕获分配给资源的权限或特权级别。

keyword

rsa.db.pread

此键用于物理写入次数

long

rsa.db.table_name

此键用于捕获表名称

keyword

rsa.db.transact_id

此键捕获当前会话的 SQL 事务 ID

keyword

rsa.email.email

此键用于捕获通用电子邮件地址,其中源或目标上下文不明确

keyword

rsa.email.email_dst

此键仅用于捕获目标电子邮件地址,当目标上下文不明确时,请使用 email

keyword

rsa.email.email_src

此键仅用于捕获源电子邮件地址,当源上下文不明确时,请使用 email

keyword

rsa.email.subject

此键仅用于捕获电子邮件中的主题字符串。

keyword

rsa.email.trans_from

仅在表映射中定义的已弃用键。

keyword

rsa.email.trans_to

仅在表映射中定义的已弃用键。

keyword

rsa.endpoint.host_state

此键用于捕获计算机的当前状态,例如 <strong>已列入黑名单</strong>、<strong>已感染</strong>、<strong>防火墙已禁用</strong> 等

keyword

rsa.endpoint.registry_key

此键捕获注册表项的路径

keyword

rsa.endpoint.registry_value

此键捕获注册表项中使用的值或修饰符

keyword

rsa.file.attachment

此键捕获附件文件名

keyword

rsa.file.binary

仅在表映射中定义的已弃用键。

keyword

rsa.file.directory_dst

<span>此键用于捕获目标进程或文件的目录</span>

keyword

rsa.file.directory_src

此键用于捕获源进程或文件的目录

keyword

rsa.file.file_entropy

用于捕获文件的熵值

double

rsa.file.file_vendor

用于捕获 version_info 中文件的公司名称

keyword

rsa.file.filename_dst

用于捕获操作的目标文件的名称

keyword

rsa.file.filename_src

用于捕获执行操作的父文件名称

keyword

rsa.file.filename_tmp

keyword

rsa.file.filesystem

keyword

rsa.file.privilege

已弃用,请使用 permissions

keyword

rsa.file.task_name

用于捕获任务的名称

keyword

rsa.healthcare.patient_fname

此键仅用于名字,主要用于医疗保健以捕获患者信息

keyword

rsa.healthcare.patient_id

此键捕获患者的唯一 ID

keyword

rsa.healthcare.patient_lname

此键仅用于姓氏,主要用于医疗保健以捕获患者信息

keyword

rsa.healthcare.patient_mname

此键仅用于中间名,主要用于医疗保健以捕获患者信息

keyword

rsa.identity.accesses

此键用于捕获访问对象时使用的实际特权

keyword

rsa.identity.auth_method

此键仅用于捕获使用的身份验证方法

keyword

rsa.identity.dn

X.500 (LDAP) 可分辨名称

keyword

rsa.identity.dn_dst

X.500 (LDAP) 可分辨名称,用于指示目标 dn 的上下文中

keyword

rsa.identity.dn_src

一个 X.500 (LDAP) 专有名称,在上下文中表示源 dn

keyword

rsa.identity.federated_idp

此键是联合身份提供者。这是提供身份验证的服务器。

keyword

rsa.identity.federated_sp

此键是联合服务提供者。这是请求身份验证的应用程序。

keyword

rsa.identity.firstname

此键仅用于名字,主要用于医疗保健以捕获患者信息

keyword

rsa.identity.host_role

此键仅应用于捕获主机角色

keyword

rsa.identity.lastname

此键仅用于姓氏,主要用于医疗保健以捕获患者信息

keyword

rsa.identity.ldap

此键用于未解释的 LDAP 值。没有明确查询或响应上下文的 LDAP 值

keyword

rsa.identity.ldap_query

此键是 LDAP 搜索的搜索条件

keyword

rsa.identity.ldap_response

此键用于捕获 LDAP 搜索的结果

keyword

rsa.identity.logon_type

此键用于捕获所使用的登录方法类型。

keyword

rsa.identity.logon_type_desc

此键用于捕获存储在元键 *logon.type* 中的整数登录类型的文本描述。

keyword

rsa.identity.middlename

此键仅用于中间名,主要用于医疗保健以捕获患者信息

keyword

rsa.identity.org

此键捕获用户组织

keyword

rsa.identity.owner

用于捕获进程或服务运行的用户名,即任务的作者

keyword

rsa.identity.password

此键用于任何会话中看到的密码,无论是纯文本还是加密的

keyword

rsa.identity.profile

此键用于捕获用户配置文件

keyword

rsa.identity.realm

Radius 域或类似的帐户分组

keyword

rsa.identity.service_account

此键是特定于 Windows 的键,用于捕获服务(事件中引用)所运行的帐户的名称。旧版用法

keyword

rsa.identity.user_dept

仅限用户部门名称

keyword

rsa.identity.user_role

此键仅用于捕获用户的角色

keyword

rsa.identity.user_sid_dst

此键捕获目标用户会话 ID

keyword

rsa.identity.user_sid_src

此键捕获源用户会话 ID

keyword

rsa.internal.audit_class

仅在表映射中定义的已弃用键。

keyword

rsa.internal.cid

这是用于标识 NetWitness Concentrator 的唯一标识符。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.data

仅在表映射中定义的已弃用键。

keyword

rsa.internal.dead

仅在表映射中定义的已弃用键。

long

rsa.internal.device_class

这是在预定义的固定事件源分类集下对日志事件源进行的分类。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.device_group

此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.device_host

这是将日志发送到 NetWitness 的日志事件源的主机名。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.device_ip

这是将日志发送到 NetWitness 的日志事件源的 IPv4 地址。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

ip

rsa.internal.device_ipv6

这是将日志发送到 NetWitness 的日志事件源的 IPv6 地址。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

ip

rsa.internal.device_type

这是解析给定会话的日志解析器的名称。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.device_type_id

仅在表映射中定义的已弃用键。

long

rsa.internal.did

这是用于标识 NetWitness Decoder 的唯一标识符。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.entropy_req

此键仅由熵解析器使用,元类型可以是基于配置的 UInt16 或 Float32

long

rsa.internal.entropy_res

此键仅由熵解析器使用,元类型可以是基于配置的 UInt16 或 Float32

long

rsa.internal.entry

仅在表映射中定义的已弃用键。

keyword

rsa.internal.event_desc

keyword

rsa.internal.event_name

仅在表映射中定义的已弃用键。

keyword

rsa.internal.feed_category

用于捕获馈送的类别。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.feed_desc

用于捕获馈送的描述。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.feed_name

用于捕获馈送的名称。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.forward_ip

此键应用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV4 地址。

ip

rsa.internal.forward_ipv6

此键用于捕获将事件从原始系统转发到 NetWitness 的中继系统的 IPV6 地址。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

ip

rsa.internal.hcode

仅在表映射中定义的已弃用键。

keyword

rsa.internal.header_id

这是标识解析特定日志会话的确切日志解析器标头定义的标头 ID 值。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.inode

仅在表映射中定义的已弃用键。

long

rsa.internal.lc_cid

这是日志收集器的唯一标识符。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.lc_ctime

这是在 NetWitness 日志收集器中收集日志的时间。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

日期

rsa.internal.level

仅在表映射中定义的已弃用键。

long

rsa.internal.mcb_req

此键仅由熵解析器使用,最常见的字节请求只是每一侧(0 到 255)最常看到的字节

long

rsa.internal.mcb_res

此键仅由熵解析器使用,最常见的字节响应只是每一侧(0 到 255)最常看到的字节

long

rsa.internal.mcbc_req

此键仅由熵解析器使用,最常见的字节计数是在会话流中看到最常见的字节(以上)的次数

long

rsa.internal.mcbc_res

此键仅由熵解析器使用,最常见的字节计数是在会话流中看到最常见的字节(以上)的次数

long

rsa.internal.medium

此键用于标识它是日志/数据包会话还是第 2 层封装类型。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键。32 = 日志,33 = 关联会话,< 32 是数据包会话

long

rsa.internal.message

此键捕获即时消息的内容

keyword

rsa.internal.messageid

keyword

rsa.internal.msg

此键用于捕获进入日志解码器的原始消息

keyword

rsa.internal.msg_id

这是标识解析特定日志会话的确切日志解析器定义的 Message ID1 值。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.msg_vid

这是标识解析特定日志会话的确切日志解析器定义的 Message ID2 值。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.node_name

仅在表映射中定义的已弃用键。

keyword

rsa.internal.nwe_callback_id

此键表示事件与端点相关

keyword

rsa.internal.obj_id

仅在表映射中定义的已弃用键。

keyword

rsa.internal.obj_server

仅在表映射中定义的已弃用键。

keyword

rsa.internal.obj_val

仅在表映射中定义的已弃用键。

keyword

rsa.internal.parse_error

这是一个特殊键,用于存储解析日志会话时发现的任何元键验证错误。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.payload_req

此键仅由熵解析器使用,有效负载大小度量是解析时每个会话侧的有效负载大小。但是,为了保持

long

rsa.internal.payload_res

此键仅由熵解析器使用,有效负载大小度量是解析时每个会话侧的有效负载大小。但是,为了保持

long

rsa.internal.process_vid_dst

端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示目标进程。

keyword

rsa.internal.process_vid_src

端点生成并使用唯一的虚拟 ID 来标识任何类似的进程组。此 ID 表示源进程。

keyword

rsa.internal.resource

仅在表映射中定义的已弃用键。

keyword

rsa.internal.resource_class

仅在表映射中定义的已弃用键。

keyword

rsa.internal.rid

这是由 NetWitness Decoder 创建的远程会话的特殊 ID。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

long

rsa.internal.session_split

此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.site

仅在表映射中定义的已弃用键。

keyword

rsa.internal.size

这是 NetWitness Decoder 看到的会话的大小。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

long

rsa.internal.sourcefile

这是可以导入 NetWitness 的日志文件或 PCAP 的名称。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键

keyword

rsa.internal.statement

仅在表映射中定义的已弃用键。

keyword

rsa.internal.time

这是会话到达 NetWitness Decoder 的时间。此键绝不应用于直接从会话(日志/数据包)中解析元数据,这是 NetWitness 中的保留键。

日期

rsa.internal.ubc_req

此键仅由熵解析器使用,唯一字节计数是每个流中看到的唯一字节数。256 表示至少看到一次 0 到 255 的所有字节值

long

rsa.internal.ubc_res

此键仅由熵解析器使用,唯一字节计数是每个流中看到的唯一字节数。256 表示至少看到一次 0 到 255 的所有字节值

long

rsa.internal.word

Word Parsing 技术使用此项来捕获未解析日志中每个单词的前 5 个字符

keyword

rsa.investigations.analysis_file

此项用于捕获文件分析中使用的所有指示符。此键应用于捕获文件分析

keyword

rsa.investigations.analysis_service

此项用于捕获服务分析中使用的所有指示符。此键应用于捕获服务分析

keyword

rsa.investigations.analysis_session

此项用于捕获会话分析中使用的所有指示符。此键应用于捕获会话分析

keyword

rsa.investigations.boc

此项用于捕获入侵行为

keyword

rsa.investigations.ec_activity

此键捕获特定的事件活动(例如:注销)

keyword

rsa.investigations.ec_outcome

此键捕获特定事件的结果(例如:成功)

keyword

rsa.investigations.ec_subject

此键捕获特定事件的主题(例如:用户)

keyword

rsa.investigations.ec_theme

此键捕获特定事件的主题(例如:身份验证)

keyword

rsa.investigations.eoc

此项用于捕获入侵促成因素

keyword

rsa.investigations.event_cat

此键捕获事件类别编号

long

rsa.investigations.event_cat_name

此键捕获与事件类别代码对应的事件类别名称

keyword

rsa.investigations.event_vcat

这是供应商提供的类别。此项应用于供应商采用其自己的 event_category 分类法的情况。

keyword

rsa.investigations.inv_category

用于捕获调查类别

keyword

rsa.investigations.inv_context

用于捕获调查上下文

keyword

rsa.investigations.ioc

这是捕获入侵指标的关键

keyword

rsa.misc.OS

此键捕获操作系统的名称

keyword

rsa.misc.acl_id

keyword

rsa.misc.acl_op

keyword

rsa.misc.acl_pos

keyword

rsa.misc.acl_table

keyword

rsa.misc.action

keyword

rsa.misc.admin

keyword

rsa.misc.agent_id

此键用于捕获代理 ID

keyword

rsa.misc.alarm_id

keyword

rsa.misc.alarmname

keyword

rsa.misc.alert_id

已弃用,新的狩猎模型(inv.,ioc,boc,eoc,analysis.

keyword

rsa.misc.app_id

keyword

rsa.misc.audit

keyword

rsa.misc.audit_object

keyword

rsa.misc.auditdata

keyword

rsa.misc.autorun_type

用于捕获自动运行类型

keyword

rsa.misc.benchmark

keyword

rsa.misc.bypass

keyword

rsa.misc.cache

keyword

rsa.misc.cache_hit

keyword

rsa.misc.category

此键用于捕获供应商在会话中给出的事件类别

keyword

rsa.misc.cc_number

仅限有效的信用卡号码

long

rsa.misc.cefversion

keyword

rsa.misc.cfg_attr

keyword

rsa.misc.cfg_obj

keyword

rsa.misc.cfg_path

keyword

rsa.misc.change_attrib

此键用于捕获会话中正在更改的属性的名称

keyword

rsa.misc.change_new

此键用于捕获会话中正在更改的属性的新值

keyword

rsa.misc.change_old

此键用于捕获会话中正在更改的属性的旧值

keyword

rsa.misc.changes

keyword

rsa.misc.checksum

此键用于捕获实体(例如文件或进程)的校验和或哈希值。当不清楚实体是操作的源还是目标时,应优先使用 checksum 而不是 checksum.src 或 checksum.dst。

keyword

rsa.misc.checksum_dst

此键用于捕获目标实体(例如进程或文件)的校验和或哈希值。

keyword

rsa.misc.checksum_src

此键用于捕获源实体(例如文件或进程)的校验和或哈希值。

keyword

rsa.misc.client

此键仅用于捕获请求服务器资源的客户端应用程序的名称。有关捕获特定用户代理标识符或浏览器标识字符串的信息,请参阅 user.agent 元键。

keyword

rsa.misc.client_ip

keyword

rsa.misc.clustermembers

keyword

rsa.misc.cmd

keyword

rsa.misc.cn_acttimeout

keyword

rsa.misc.cn_asn_src

keyword

rsa.misc.cn_bgpv4nxthop

keyword

rsa.misc.cn_ctr_dst_code

keyword

rsa.misc.cn_dst_tos

keyword

rsa.misc.cn_dst_vlan

keyword

rsa.misc.cn_engine_id

keyword

rsa.misc.cn_engine_type

keyword

rsa.misc.cn_f_switch

keyword

rsa.misc.cn_flowsampid

keyword

rsa.misc.cn_flowsampintv

keyword

rsa.misc.cn_flowsampmode

keyword

rsa.misc.cn_inacttimeout

keyword

rsa.misc.cn_inpermbyts

keyword

rsa.misc.cn_inpermpckts

keyword

rsa.misc.cn_invalid

keyword

rsa.misc.cn_ip_proto_ver

keyword

rsa.misc.cn_ipv4_ident

keyword

rsa.misc.cn_l_switch

keyword

rsa.misc.cn_log_did

keyword

rsa.misc.cn_log_rid

keyword

rsa.misc.cn_max_ttl

keyword

rsa.misc.cn_maxpcktlen

keyword

rsa.misc.cn_min_ttl

keyword

rsa.misc.cn_minpcktlen

keyword

rsa.misc.cn_mpls_lbl_1

keyword

rsa.misc.cn_mpls_lbl_10

keyword

rsa.misc.cn_mpls_lbl_2

keyword

rsa.misc.cn_mpls_lbl_3

keyword

rsa.misc.cn_mpls_lbl_4

keyword

rsa.misc.cn_mpls_lbl_5

keyword

rsa.misc.cn_mpls_lbl_6

keyword

rsa.misc.cn_mpls_lbl_7

keyword

rsa.misc.cn_mpls_lbl_8

keyword

rsa.misc.cn_mpls_lbl_9

keyword

rsa.misc.cn_mplstoplabel

keyword

rsa.misc.cn_mplstoplabip

keyword

rsa.misc.cn_mul_dst_byt

keyword

rsa.misc.cn_mul_dst_pks

keyword

rsa.misc.cn_muligmptype

keyword

rsa.misc.cn_sampalgo

keyword

rsa.misc.cn_sampint

keyword

rsa.misc.cn_seqctr

keyword

rsa.misc.cn_spackets

keyword

rsa.misc.cn_src_tos

keyword

rsa.misc.cn_src_vlan

keyword

rsa.misc.cn_sysuptime

keyword

rsa.misc.cn_template_id

keyword

rsa.misc.cn_totbytsexp

keyword

rsa.misc.cn_totflowexp

keyword

rsa.misc.cn_totpcktsexp

keyword

rsa.misc.cn_unixnanosecs

keyword

rsa.misc.cn_v6flowlabel

keyword

rsa.misc.cn_v6optheaders

keyword

rsa.misc.code

keyword

rsa.misc.command

keyword

rsa.misc.comments

日志消息中提供的注释信息

keyword

rsa.misc.comp_class

keyword

rsa.misc.comp_name

keyword

rsa.misc.comp_rbytes

keyword

rsa.misc.comp_sbytes

keyword

rsa.misc.comp_version

此键捕获产品的子组件的版本级别。

keyword

rsa.misc.connection_id

此键捕获连接 ID

keyword

rsa.misc.content

此键捕获协议标头的内容类型

keyword

rsa.misc.content_type

此键仅用于捕获内容类型。

keyword

rsa.misc.content_version

此键捕获签名或数据库内容的版本级别。

keyword

rsa.misc.context

此键捕获为事件添加额外上下文的信息。

keyword

rsa.misc.context_subject

此键用于审核上下文,其中主体是被标识的对象

keyword

rsa.misc.context_target

keyword

rsa.misc.count

keyword

rsa.misc.cpu

此键是记录事件执行中使用的 CPU 时间。

long

rsa.misc.cpu_data

keyword

rsa.misc.criticality

keyword

rsa.misc.cs_agency_dst

keyword

rsa.misc.cs_analyzedby

keyword

rsa.misc.cs_av_other

keyword

rsa.misc.cs_av_primary

keyword

rsa.misc.cs_av_secondary

keyword

rsa.misc.cs_bgpv6nxthop

keyword

rsa.misc.cs_bit9status

keyword

rsa.misc.cs_context

keyword

rsa.misc.cs_control

keyword

rsa.misc.cs_data

keyword

rsa.misc.cs_datecret

keyword

rsa.misc.cs_dst_tld

keyword

rsa.misc.cs_eth_dst_ven

keyword

rsa.misc.cs_eth_src_ven

keyword

rsa.misc.cs_event_uuid

keyword

rsa.misc.cs_filetype

keyword

rsa.misc.cs_fld

keyword

rsa.misc.cs_if_desc

keyword

rsa.misc.cs_if_name

keyword

rsa.misc.cs_ip_next_hop

keyword

rsa.misc.cs_ipv4dstpre

keyword

rsa.misc.cs_ipv4srcpre

keyword

rsa.misc.cs_lifetime

keyword

rsa.misc.cs_log_medium

keyword

rsa.misc.cs_loginname

keyword

rsa.misc.cs_modulescore

keyword

rsa.misc.cs_modulesign

keyword

rsa.misc.cs_opswatresult

keyword

rsa.misc.cs_payload

keyword

rsa.misc.cs_registrant

keyword

rsa.misc.cs_registrar

keyword

rsa.misc.cs_represult

keyword

rsa.misc.cs_rpayload

keyword

rsa.misc.cs_sampler_name

keyword

rsa.misc.cs_sourcemodule

keyword

rsa.misc.cs_streams

keyword

rsa.misc.cs_targetmodule

keyword

rsa.misc.cs_v6nxthop

keyword

rsa.misc.cs_whois_server

keyword

rsa.misc.cs_yararesult

keyword

rsa.misc.cve

此键捕获 CVE(通用漏洞披露)- 已知信息安全漏洞的标识符。

keyword

rsa.misc.data_type

keyword

rsa.misc.description

keyword

rsa.misc.device_name

用于捕获与节点关联的设备的名称,如:物理磁盘、打印机等

keyword

rsa.misc.devvendor

keyword

rsa.misc.disposition

此键捕获操作的最终状态。

keyword

rsa.misc.distance

keyword

rsa.misc.doc_number

此键捕获文件标识号

long

rsa.misc.dstburb

keyword

rsa.misc.edomain

keyword

rsa.misc.edomaub

keyword

rsa.misc.ein_number

仅限员工身份号码

long

rsa.misc.error

此键捕获所有不成功的错误代码或响应

keyword

rsa.misc.euid

keyword

rsa.misc.event_category

keyword

rsa.misc.event_computer

此键仅为 Windows 概念,其中此键用于捕获 Windows 日志中的完全限定域名。

keyword

rsa.misc.event_desc

此键用于捕获直接可用或推断出的事件描述

keyword

rsa.misc.event_id

keyword

rsa.misc.event_log

此键捕获事件日志的名称

keyword

rsa.misc.event_source

此键捕获事件的来源,而不是主机名

keyword

rsa.misc.event_state

此键捕获事件中引用的对象/项目的当前状态。描述正在进行的事件。

keyword

rsa.misc.event_type

此键捕获事件源指定的事件类别类型。

keyword

rsa.misc.event_user

此键仅为 Windows 概念,其中此键用于捕获 Windows 日志中的域名和用户名的组合。

keyword

rsa.misc.expected_val

此键捕获预期值(从生成日志的设备的角度来看)。

keyword

rsa.misc.facility

keyword

rsa.misc.facilityname

keyword

rsa.misc.fcatnum

此键捕获过滤器类别编号。旧版用法

keyword

rsa.misc.filter

此键捕获用于减少结果集的过滤器

keyword

rsa.misc.finterface

keyword

rsa.misc.flags

keyword

rsa.misc.forensic_info

keyword

rsa.misc.found

用于捕获正则表达式匹配的结果

keyword

rsa.misc.fresult

此键捕获过滤器结果

long

rsa.misc.gaddr

keyword

rsa.misc.group

此键捕获组名称值

keyword

rsa.misc.group_id

此键捕获组 ID 号(与组名称相关)

keyword

rsa.misc.group_object

此键捕获实体集合/分组。特定用法

keyword

rsa.misc.hardware_id

此键用于捕获设备或系统的唯一标识符(不是 MAC 地址)

keyword

rsa.misc.id3

keyword

rsa.misc.im_buddyid

keyword

rsa.misc.im_buddyname

keyword

rsa.misc.im_client

keyword

rsa.misc.im_croomid

keyword

rsa.misc.im_croomtype

keyword

rsa.misc.im_members

keyword

rsa.misc.im_userid

keyword

rsa.misc.im_username

keyword

rsa.misc.index

keyword

rsa.misc.inout

keyword

rsa.misc.ipkt

keyword

rsa.misc.ipscat

keyword

rsa.misc.ipspri

keyword

rsa.misc.job_num

此键捕获作业编号

keyword

rsa.misc.jobname

keyword

rsa.misc.language

用于捕获客户端支持的语言列表以及客户端首选的语言

keyword

rsa.misc.latitude

keyword

rsa.misc.library

此键用于捕获大型机设备中的库信息

keyword

rsa.misc.lifetime

此键用于捕获会话生命周期(以秒为单位)。

long

rsa.misc.linenum

keyword

rsa.misc.link

此键用于将会话链接在一起。此键绝不应用于直接从会话(日志/数据包)解析元数据,这是 NetWitness 中的保留键

keyword

rsa.misc.list_name

keyword

rsa.misc.listnum

此键用于捕获列表名称或列表编号,主要用于收集访问控制列表

keyword

rsa.misc.load_data

keyword

rsa.misc.location_floor

keyword

rsa.misc.location_mark

keyword

rsa.misc.log_id

keyword

rsa.misc.log_session_id

此键用于直接从会话中捕获会话 ID

keyword

rsa.misc.log_session_id1

此键用于直接从会话中捕获链接(相关)会话 ID

keyword

rsa.misc.log_type

keyword

rsa.misc.logid

keyword

rsa.misc.logip

keyword

rsa.misc.logname

keyword

rsa.misc.longitude

keyword

rsa.misc.lport

keyword

rsa.misc.mail_id

此键用于捕获邮箱 ID/名称

keyword

rsa.misc.match

此键用于搜索.ini 中的正则表达式匹配名称

keyword

rsa.misc.mbug_data

keyword

rsa.misc.message_body

此键捕获消息正文的内容。

keyword

rsa.misc.misc

keyword

rsa.misc.misc_name

keyword

rsa.misc.mode

keyword

rsa.misc.msgIdPart1

keyword

rsa.misc.msgIdPart2

keyword

rsa.misc.msgIdPart3

keyword

rsa.misc.msgIdPart4

keyword

rsa.misc.msg_type

keyword

rsa.misc.msgid

keyword

rsa.misc.name

keyword

rsa.misc.netsessid

keyword

rsa.misc.node

常见用例是集群中的节点名称。集群名称由主机名反映。

keyword

rsa.misc.ntype

keyword

rsa.misc.num

keyword

rsa.misc.number

keyword

rsa.misc.number1

keyword

rsa.misc.number2

keyword

rsa.misc.nwwn

keyword

rsa.misc.obj_name

用于捕获对象名称

keyword

rsa.misc.obj_type

用于捕获对象类型

keyword

rsa.misc.object

keyword

rsa.misc.observed_val

此键捕获观察到的值(从生成日志的设备角度来看)。

keyword

rsa.misc.operation

keyword

rsa.misc.operation_id

警报编号或操作编号。这些值应该是唯一的且不重复。

keyword

rsa.misc.opkt

keyword

rsa.misc.orig_from

keyword

rsa.misc.owner_id

keyword

rsa.misc.p_action

keyword

rsa.misc.p_filter

keyword

rsa.misc.p_group_object

keyword

rsa.misc.p_id

keyword

rsa.misc.p_msgid

keyword

rsa.misc.p_msgid1

keyword

rsa.misc.p_msgid2

keyword

rsa.misc.p_result1

keyword

rsa.misc.param

此键是作为命令或应用程序的一部分传递的参数等。

keyword

rsa.misc.param_dst

此键捕获目标进程或文件的命令行/启动参数

keyword

rsa.misc.param_src

此键捕获源参数

keyword

rsa.misc.parent_node

此键捕获父节点名称。必须与节点变量相关。

keyword

rsa.misc.password_chg

keyword

rsa.misc.password_expire

keyword

rsa.misc.payload_dst

此键用于捕获目标有效负载

keyword

rsa.misc.payload_src

此键用于捕获源有效负载

keyword

rsa.misc.permgranted

keyword

rsa.misc.permwanted

keyword

rsa.misc.pgid

keyword

rsa.misc.phone

keyword

rsa.misc.pid

keyword

rsa.misc.policy

keyword

rsa.misc.policyUUID

keyword

rsa.misc.policy_id

此键仅用于捕获策略 ID,这应该是一个数值,否则请使用 policy.name

keyword

rsa.misc.policy_name

此键仅用于捕获策略名称。

keyword

rsa.misc.policy_value

此键捕获策略的内容。其中包含有关策略的详细信息

keyword

rsa.misc.policy_waiver

keyword

rsa.misc.pool_id

此键捕获资源池的标识符(通常为数字字段)

keyword

rsa.misc.pool_name

此键捕获资源池的名称

keyword

rsa.misc.port_name

此键用于物理或逻辑端口连接,但不包括网络端口。(例如:打印机端口名称)。

keyword

rsa.misc.priority

keyword

rsa.misc.process_id_val

当进程 ID 不是整数值时,此键是进程 ID 的故障键

keyword

rsa.misc.prog_asp_num

keyword

rsa.misc.program

keyword

rsa.misc.real_data

keyword

rsa.misc.reason

keyword

rsa.misc.rec_asp_device

keyword

rsa.misc.rec_asp_num

keyword

rsa.misc.rec_library

keyword

rsa.misc.recordnum

keyword

rsa.misc.reference_id

此键用于直接从会话捕获事件 ID

keyword

rsa.misc.reference_id1

此键用于链接 ID,作为“reference.id”的补充

keyword

rsa.misc.reference_id2

此键用于第二个链接 ID。可以链接到“reference.id”或“reference.id1”值,但除非另外两个变量在使用,否则不应使用。

keyword

rsa.misc.result

此键用于捕获会话中操作的结果/结果字符串值。

keyword

rsa.misc.result_code

此键用于捕获会话中操作的结果/结果数值

keyword

rsa.misc.risk

此键捕获非数值风险值

keyword

rsa.misc.risk_info

已弃用,请使用新的狩猎模型(inv., ioc, boc, eoc, analysis.

keyword

rsa.misc.risk_num

此键捕获数值风险值

double

rsa.misc.risk_num_comm

此键捕获风险编号社区

double

rsa.misc.risk_num_next

此键捕获风险编号 NextGen

double

rsa.misc.risk_num_sand

此键捕获风险编号沙盒

double

rsa.misc.risk_num_static

此键捕获风险编号静态

double

rsa.misc.risk_suspicious

已弃用,请使用新的狩猎模型(inv., ioc, boc, eoc, analysis.

keyword

rsa.misc.risk_warning

已弃用,请使用新的狩猎模型(inv., ioc, boc, eoc, analysis.

keyword

rsa.misc.ruid

keyword

rsa.misc.rule

此键捕获规则编号

keyword

rsa.misc.rule_group

此键捕获规则组名称

keyword

rsa.misc.rule_name

此键捕获规则名称

keyword

rsa.misc.rule_template

一组默认参数,这些参数叠加在规则(或规则名称)上,从而有效地构成一个模板

keyword

rsa.misc.rule_uid

此键是规则的唯一标识符。

keyword

rsa.misc.sburb

keyword

rsa.misc.sdomain_fld

keyword

rsa.misc.search_text

此键捕获使用的搜索文本

keyword

rsa.misc.sec

keyword

rsa.misc.second

keyword

rsa.misc.sensor

此键捕获传感器的名称。通常用于基于 IDS/IPS 的设备中

keyword

rsa.misc.sensorname

keyword

rsa.misc.seqnum

keyword

rsa.misc.serial_number

此键是与物理资产关联的序列号。

keyword

rsa.misc.session

keyword

rsa.misc.sessiontype

keyword

rsa.misc.severity

此键用于捕获会话的严重程度

keyword

rsa.misc.sigUUID

keyword

rsa.misc.sig_id

此键捕获 IDS/IPS Int 签名 ID

long

rsa.misc.sig_id1

此键捕获 IDS/IPS Int 签名 ID。这必须链接到 sig.id

long

rsa.misc.sig_id_str

此键捕获 sigid 变量的字符串对象。

keyword

rsa.misc.sig_name

此键仅用于捕获签名名称。

keyword

rsa.misc.sigcat

keyword

rsa.misc.snmp_oid

SNMP 对象标识符

keyword

rsa.misc.snmp_value

SNMP 设置请求值

keyword

rsa.misc.space

keyword

rsa.misc.space1

keyword

rsa.misc.spi

keyword

rsa.misc.spi_dst

目标 SPI 索引

keyword

rsa.misc.spi_src

源 SPI 索引

keyword

rsa.misc.sql

此键捕获 SQL 查询

keyword

rsa.misc.srcburb

keyword

rsa.misc.srcdom

keyword

rsa.misc.srcservice

keyword

rsa.misc.state

keyword

rsa.misc.status

keyword

rsa.misc.status1

keyword

rsa.misc.streams

此键捕获会话中的流数

long

rsa.misc.subcategory

keyword

rsa.misc.svcno

keyword

rsa.misc.system

keyword

rsa.misc.tbdstr1

keyword

rsa.misc.tbdstr2

keyword

rsa.misc.tcp_flags

此键捕获会话中任何数据包中设置的 TCP 标志

long

rsa.misc.terminal

此键仅捕获终端名称

keyword

rsa.misc.tgtdom

keyword

rsa.misc.tgtdomain

keyword

rsa.misc.threshold

keyword

rsa.misc.tos

此键描述服务类型

long

rsa.misc.trigger_desc

此键捕获触发器或阈值条件的描述。

keyword

rsa.misc.trigger_val

此键捕获触发器或阈值条件的值。

keyword

rsa.misc.type

keyword

rsa.misc.type1

keyword

rsa.misc.udb_class

keyword

rsa.misc.url_fld

keyword

rsa.misc.user_div

keyword

rsa.misc.userid

keyword

rsa.misc.username_fld

keyword

rsa.misc.utcstamp

keyword

rsa.misc.v_instafname

keyword

rsa.misc.version

此键捕获生成事件的应用程序或操作系统的版本。

keyword

rsa.misc.virt_data

keyword

rsa.misc.virusname

此键捕获病毒的名称

keyword

rsa.misc.vm_target

VMWare 目标VMWARE仅限变量。

keyword

rsa.misc.vpnid

keyword

rsa.misc.vsys

此键捕获虚拟系统名称

keyword

rsa.misc.vuln_ref

此键捕获漏洞参考详细信息

keyword

rsa.misc.workspace

此键捕获工作区描述

keyword

rsa.network.ad_computer_dst

已弃用,请使用 host.dst

keyword

rsa.network.addr

keyword

rsa.network.alias_host

当主机名的源或目标上下文不明确时,应使用此键。它还会捕获设备主机名。任何非 ad.computer 的主机名。

keyword

rsa.network.dinterface

此键仅应用于目标接口时

keyword

rsa.network.dmask

此键用于目标设备网络掩码

keyword

rsa.network.dns_a_record

keyword

rsa.network.dns_cname_record

keyword

rsa.network.dns_id

keyword

rsa.network.dns_opcode

keyword

rsa.network.dns_ptr_record

keyword

rsa.network.dns_resp

keyword

rsa.network.dns_type

keyword

rsa.network.domain

keyword

rsa.network.domain1

keyword

rsa.network.eth_host

已弃用,请使用 alias.mac

keyword

rsa.network.eth_type

此键用于捕获以太网类型,仅用于第 3 层协议

long

rsa.network.faddr

keyword

rsa.network.fhost

keyword

rsa.network.fport

keyword

rsa.network.gateway

此键用于捕获网关的 IP 地址

keyword

rsa.network.host_dst

此键仅应用于目标主机名时

keyword

rsa.network.host_orig

用于捕获转发代理或中间代理的原始主机名。

keyword

rsa.network.host_type

keyword

rsa.network.icmp_code

此键用于仅捕获 ICMP 代码

long

rsa.network.icmp_type

此键用于仅捕获 ICMP 类型

long

rsa.network.interface

当接口的源或目标上下文不明确时,应使用此键

keyword

rsa.network.ip_proto

此键应用于捕获协议编号,所有协议编号在 UI 中都会转换为字符串

long

rsa.network.laddr

keyword

rsa.network.lhost

keyword

rsa.network.linterface

keyword

rsa.network.mask

此键用于捕获设备网络 IP 掩码。

keyword

rsa.network.netname

此键用于捕获与 IP 范围关联的网络名称。这是由最终用户配置的。

keyword

rsa.network.network_port

已弃用,请使用 port。注意:当前使用中存在类型差异,TM:Int32,INDEX:UInt64(为什么两个都不选择正确的 UInt16?!)

long

rsa.network.network_service

用于捕获第 7 层协议/服务名称

keyword

rsa.network.origin

keyword

rsa.network.packet_length

keyword

rsa.network.paddr

已弃用

ip

rsa.network.phost

keyword

rsa.network.port

当方向不明确时,此键仅应用于捕获网络端口

long

rsa.network.protocol_detail

此键应用于捕获其他协议信息

keyword

rsa.network.remote_domain_id

keyword

rsa.network.rpayload

此键用于捕获在重新传输的数据包中看到的有效负载总字节数。

keyword

rsa.network.sinterface

此键仅应用于源接口时

keyword

rsa.network.smask

此键用于捕获源网络掩码

keyword

rsa.network.vlan

此键仅应用于捕获虚拟 LAN 的 ID

long

rsa.network.vlan_name

此键仅应用于捕获虚拟 LAN 的名称

keyword

rsa.network.zone

当区域的源或目标上下文不明确时,应使用此键

keyword

rsa.network.zone_dst

此键仅应用于目标区域时。

keyword

rsa.network.zone_src

此键仅应用于源区域时。

keyword

rsa.physical.org_dst

用于根据 GEOPIP Maxmind 数据库捕获目标组织。

keyword

rsa.physical.org_src

用于根据 GEOPIP Maxmind 数据库捕获源组织。

keyword

rsa.storage.disk_volume

分配给物理磁盘中逻辑单元(卷)的唯一名称

keyword

rsa.storage.lun

逻辑单元号。此键在存储中是一个非常有用的概念。

keyword

rsa.storage.pwwn

这唯一标识 HBA 上的端口。

keyword

rsa.threat.alert

此键用于捕获警报的名称

keyword

rsa.threat.threat_category

此键捕获威胁名称/威胁类别/警报分类

keyword

rsa.threat.threat_desc

此键用于直接从会话捕获威胁描述或推断的威胁描述

keyword

rsa.threat.threat_source

此键用于捕获威胁的来源

keyword

rsa.time.date

keyword

rsa.time.datetime

keyword

rsa.time.day

keyword

rsa.time.duration_str

持续时间的文本字符串版本

keyword

rsa.time.duration_time

此键用于捕获以秒为单位的标准化持续时间/生命周期。

double

rsa.time.effective_time

此键是标准时间戳格式的单个事件引用的有效时间

日期

rsa.time.endtime

此键用于以标准形式捕获会话中提到的结束时间

日期

rsa.time.event_queue_time

此键是事件排队的时间。

日期

rsa.time.event_time

此键用于捕获原始会话中提到的时间,该时间表示以标准标准化形式发生的事件的实际时间

日期

rsa.time.event_time_str

此键用于捕获会话中以字符串形式提到的不完整时间

keyword

rsa.time.eventtime

keyword

rsa.time.expire_time

此键是明确表示过期的时间戳。

日期

rsa.time.expire_time_str

此键用于捕获明确表示过期但不完整的时间戳。

keyword

rsa.time.gmtdate

keyword

rsa.time.gmttime

keyword

rsa.time.hour

keyword

rsa.time.min

keyword

rsa.time.month

keyword

rsa.time.p_date

keyword

rsa.time.p_month

keyword

rsa.time.p_time

keyword

rsa.time.p_time1

keyword

rsa.time.p_time2

keyword

rsa.time.p_year

keyword

rsa.time.process_time

已弃用,请使用 duration.time

keyword

rsa.time.recorded_time

事件的发生时间,由收集事件的系统记录。使用场景是多层应用程序,其中系统的管理层在从其子节点收集时记录自己的时间戳。必须是时间戳格式。

日期

rsa.time.stamp

仅在表映射中定义的已弃用键。

日期

rsa.time.starttime

此键用于以标准格式捕获会话中提到的开始时间

日期

rsa.time.timestamp

keyword

rsa.time.timezone

此键用于捕获事件时间的时区

keyword

rsa.time.tzone

keyword

rsa.time.year

keyword

rsa.web.alias_host

keyword

rsa.web.cn_asn_dst

keyword

rsa.web.cn_rpackets

keyword

rsa.web.fqdn

完全限定域名

keyword

rsa.web.p_url

keyword

rsa.web.p_user_agent

keyword

rsa.web.p_web_cookie

keyword

rsa.web.p_web_method

keyword

rsa.web.p_web_referer

keyword

rsa.web.remote_domain

keyword

rsa.web.reputation_num

实体的信誉编号。通常用于 Web 域名

double

rsa.web.urlpage

keyword

rsa.web.urlroot

keyword

rsa.web.web_cookie

此键用于专门捕获 Web Cookie。

keyword

rsa.web.web_extension_tmp

keyword

rsa.web.web_page

keyword

rsa.web.web_ref_domain

Web 引荐来源域

keyword

rsa.web.web_ref_page

此键捕获 Web 引荐来源页面的信息

keyword

rsa.web.web_ref_query

此键捕获 URL 中 Web 引荐来源的查询部分

keyword

rsa.web.web_ref_root

Web 引荐来源的根 URL 路径

keyword

rsa.wireless.access_point

此键用于捕获接入点名称。

keyword

rsa.wireless.wlan_channel

此键用于捕获通道名称

long

rsa.wireless.wlan_name

此键捕获 WLAN 编号/名称

keyword

rsa.wireless.wlan_ssid

此键用于捕获无线会话的 ssid

keyword

更新日志

编辑
更新日志
版本 详细信息 Kibana 版本

1.11.0

增强 (查看拉取请求)
ECS 版本已更新至 8.11.0。更新 kibana 约束至 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板中多余的 ECS 字段。

8.13.0 或更高版本

1.10.0

增强 (查看拉取请求)
将软件包 format_version 更新至 3.0.0。

7.14.1 或更高版本
8.0.0 或更高版本

1.9.0

增强 (查看拉取请求)
将所有权从 obs-service-integrations 重命名为 obs-infraobs-integrations

7.14.1 或更高版本
8.0.0 或更高版本

1.8.3

增强 (查看拉取请求)
在 README 中添加新的“apache_tomcat”软件包的链接。

7.14.1 或更高版本
8.0.0 或更高版本

1.8.2

增强 (查看拉取请求)
弃用 Tomcat 软件包。

7.14.1 或更高版本
8.0.0 或更高版本

1.8.1

增强 (查看拉取请求)
添加了类别和/或子类别。

7.14.1 或更高版本
8.0.0 或更高版本

1.8.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.6.0。

7.14.1 或更高版本
8.0.0 或更高版本

1.7.1

Bug 修复 (查看拉取请求)
删除重复字段。

7.14.1 或更高版本
8.0.0 或更高版本

1.7.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.5.0。

7.14.1 或更高版本
8.0.0 或更高版本

1.6.1

增强 (查看拉取请求)
使用 ECS geo.location 定义。

7.14.1 或更高版本
8.0.0 或更高版本

1.6.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.4.0

7.14.1 或更高版本
8.0.0 或更高版本

1.5.0

增强 (查看拉取请求)
将软件包更新至 ECS 8.3.0。

7.14.1 或更高版本
8.0.0 或更高版本

1.4.1

增强 (查看拉取请求)
更新 readme 以包含指向 Tomcat 文档的链接

7.14.1 或更高版本
8.0.0 或更高版本

1.4.0

增强 (查看拉取请求)
更新至 ECS 8.2.0

7.14.1 或更高版本
8.0.0 或更高版本

1.3.1

增强 (查看拉取请求)
添加多字段的文档

7.14.1 或更高版本
8.0.0 或更高版本

1.3.0

增强 (查看拉取请求)
更新至 ECS 8.0.0

7.14.1 或更高版本
8.0.0 或更高版本

1.2.1

Bug 修复 (查看拉取请求)
使用新的 GeoIP 数据库重新生成测试文件

7.14.1 或更高版本
8.0.0 或更高版本

1.2.0

增强 (查看拉取请求)
添加 8.0.0 版本约束

7.14.1 或更高版本
8.0.0 或更高版本

1.1.4

增强 (查看拉取请求)
与指南统一

7.14.1 或更高版本

1.1.3

增强 (查看拉取请求)
更新标题和描述。

1.1.2

Bug 修复 (查看拉取请求)
修复了阻止软件包在 7.16 中运行的 Bug。

1.1.1

Bug 修复 (查看拉取请求)
修复了检查forwarded标签的逻辑

1.1.0

增强 (查看拉取请求)
更新至 ECS 1.12.0

7.14.1 或更高版本

1.0.0

增强 (查看拉取请求)
发布 Tomcat 作为 GA

7.14.1 或更高版本

0.4.4

Bug 修复 (查看拉取请求)
需要堆栈的 7.14.1 版本

0.4.3

增强 (查看拉取请求)
转换为生成的 ECS 字段

0.4.2

增强 (查看拉取请求)
更新至 ECS 1.11.0

0.4.1

增强 (查看拉取请求)
转义文档中的特殊字符

0.4.0

增强 (查看拉取请求)
更新集成描述

0.3.0

增强 (查看拉取请求)
设置“event.module”和“event.dataset”

0.2.0

增强 (查看拉取请求)
更新至 ECS 1.10.0 并添加 event.original 选项

0.1.4

增强 (查看拉取请求)
更新至 ECS 1.9.0

0.1.0

增强 (查看拉取请求)
初始版本

« Apache Tomcat 集成 自定义 API 输入集成 »