›

TYCHON 无代理

版本	0.2.1 [beta] 此功能为 beta 版，可能会发生更改。其设计和代码不如官方 GA 功能成熟，按“现状”提供，不提供任何担保。Beta 功能不受官方 GA 功能的支持 SLA 约束。 (查看全部)
兼容的 Kibana 版本	8.14.0 或更高版本
支持的无服务器项目类型这是什么？	安全
订阅级别这是什么？	基本
支持级别这是什么？	合作伙伴

TYCHON 无代理是一种集成，允许您从端点收集 TYCHON 的黄金来源主端点记录数据，包括漏洞和 STIG 结果，而无需大量资源使用或软件安装。然后，您可以使用 Elastic 的分析、可视化和仪表板来调查 TYCHON 数据。联系我们以了解更多信息。

兼容性

编辑

此集成支持 Windows 和 RedHat/CENTOS 端点操作系统。
此集成需要 TYCHON 无代理许可证。
此集成需要 TYCHON 漏洞定义文件。
Linux 端点需要安装 RedHat 的 OpenScap 才能报告 STIG 和 CVE 数据。

返回的数据字段

编辑

ARP 表信息

编辑

TYCHON 扫描端点 ARP 表并返回结果。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.destination.hostname	ARP 表中 IP 的转换主机名	keyword
tychon.destination.ip	目标 IP 地址 (IPv4 或 IPv6)。	ip
tychon.destination.mac	目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.destination.name		keyword
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.network.direction	网络流量的方向。在映射来自基于主机的监视环境的事件时，请从主机的角度填充此字段，使用值“ingress”或“egress”。在映射来自基于网络或边界的监视环境的事件时，请从网络边界的角度填充此字段，使用值“inbound”、“outbound”、“internal”或“external”。请注意，“internal”不跨越边界，而是指边界内两台主机之间的通信。另请注意，“external”是指边界之外的两台主机之间的流量。例如，这对于 ISP 或 VPN 服务提供商可能很有用。	keyword
tychon.network.interface	ARP 表已将目标关联到的接口。	keyword
tychon.network.state	当前状态	keyword
tychon.network.type	在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值已标准化为小写，以便进行查询。	keyword
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword

浏览器配置

编辑

TYCHON 检查本地浏览器配置设置。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.data.version	Tychon 数据版本。	keyword
tychon.destination.ip	目标 IP 地址 (IPv4 或 IPv6)。	ip
tychon.destination.mac	目标的 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.edition	产品版本	keyword
tychon.event.reason	事件原因。	keyword
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.cloud.compute.location	此云资产的位置。	keyword
tychon.host.cloud.compute.name	此资产的基于云的名称	keyword
tychon.host.cloud.compute.resource_group_name	分配给此云资产的资源组名称	keyword
tychon.host.cloud.compute.resource_id	分配给此云资产的云资源 ID。	keyword
tychon.host.cloud.compute.subscription_id	此云资产的帐户的订阅 ID	keyword
tychon.host.cloud.compute.tags	分配给此计算机的云计算标记。	keyword
tychon.host.cloud.compute.vm_id	此云资产的云 ID	keyword
tychon.host.cloud.hosted	此系统是否为云托管	boolean
tychon.host.cloud.network.mac_address	此云资产的公共 MAC 地址	keyword
tychon.host.cloud.network.public_ipv4	云实例的公共 IPv4 地址。	keyword
tychon.host.cloud.network.public_ipv6	云实例的公共 IPv6 地址。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机名。	keyword
tychon.host.id	主机 ID。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	主机操作系统系列。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	主机操作系统名称。	keyword
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	主机操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.package.architecture	程序包架构。	keyword
tychon.package.cpe	此应用程序的 cpe 值	keyword
tychon.package.edition	此应用程序的版本	keyword
tychon.package.installed	程序包的安装时间。	date
tychon.package.name	程序包名称	keyword
tychon.package.path	程序包的安装路径。	keyword
tychon.package.publisher	此应用程序的发布者	keyword
tychon.package.size	程序包大小（以字节为单位）。	long
tychon.package.type	程序包类型。这应该包含程序包文件类型，而不是程序包管理器名称。示例：rpm、dpkg、brew、npm、gem、nupkg、jar。	keyword
tychon.package.uninstall	用于删除程序包的卸载命令。	text
tychon.package.version	程序包版本	keyword
tychon.package.version_build	此应用程序的版本	keyword
tychon.package.version_major	此应用程序的主要版本	keyword
tychon.package.version_minor	此应用程序的次要版本	keyword
tychon.package.version_release	此应用程序的发布版本	keyword
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tls.version_protocol	原始格式的协议名称和版本。	keyword
tychon.tychon.data.version	数据版本。	version
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword

监听证书密码

编辑

TYCHON 连接到计算机上的开放端口，并报告是否托管了密码以及这些密码中的证书信息。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.connection.state	被测试连接的当前状态	keyword
tychon.file.accessed	上次访问文件的时间。请注意，并非所有文件系统都会跟踪访问时间。	date
tychon.file.attributes	文件属性数组。属性名称会因平台而异。以下是此字段中预期值的部分列表：archive（存档）、compressed（已压缩）、directory（目录）、encrypted（已加密）、execute（执行）、hidden（隐藏）、read（读取）、readonly（只读）、system（系统）、write（写入）。	keyword
tychon.file.code_signature.friendly_name	证书或密码的友好名称	keyword
tychon.file.code_signature.issuer_name	此证书的颁发者	keyword
tychon.file.code_signature.subject_name	签名证书的主题名称	keyword
tychon.file.code_signature.thumbprint	此签名证书的唯一 ID 指纹	keyword
tychon.file.created	文件创建时间。请注意，并非所有文件系统都会存储创建时间。	date
tychon.file.extension	文件扩展名，不包括前导点。请注意，当文件名有多个扩展名 (example.tar.gz) 时，应仅捕获最后一个扩展名 (“gz”，而不是 “tar.gz”)。	keyword
tychon.file.hash.md5	MD5 哈希值。	keyword
tychon.file.hash.sha1	SHA1 哈希值。	keyword
tychon.file.hash.sha256	SHA256 哈希值。	keyword
tychon.file.mtime	上次修改文件内容的时间。	date
tychon.file.name	文件名，包括扩展名，不包括目录。	keyword
tychon.file.path	文件的完整路径，包括文件名。应包括驱动器盘符（如果适用）。	keyword
tychon.file.path.text	`tychon.file.path` 的多字段。	match_only_text
tychon.file.size	文件大小（以字节为单位）。仅当 `file.type` 为 “file” 时相关。	long
tychon.file.version	文件的版本	keyword
tychon.file.x509.issuer.distinguished_name	颁发证书机构的专有名称 (DN)。	keyword
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.process.command_line	启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。	通配符
tychon.process.command_line.text	`tychon.process.command_line` 的多字段。	match_only_text
tychon.process.description	进程描述	keyword
tychon.process.executable	进程可执行文件的绝对路径。	keyword
tychon.process.executable.text	`tychon.process.executable` 的多字段。	match_only_text
tychon.process.information_source	进程信息来源	keyword
tychon.process.name	进程名称。有时也称为程序名称或类似名称。	keyword
tychon.process.name.text	`tychon.process.name` 的多字段。	match_only_text
tychon.process.parent.pid	进程 ID。	long
tychon.process.pid	进程 ID。	long
tychon.process.user.name	用户的简称或登录名。	keyword
tychon.process.user.name.text	`tychon.process.user.name` 的多字段。	match_only_text
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.server.address	某些事件服务器地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 `.address` 字段中。然后，应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪一个。	keyword
tychon.server.ip	托管密码的站点的 IP 或域	keyword
tychon.server.port	服务器端口。	long
tychon.service.description	服务说明	keyword
tychon.service.display_name	服务的友好名称	keyword
tychon.service.name	从中收集数据的服务名称。服务名称通常由用户指定。这允许在多个主机上运行的分布式服务根据名称关联相关实例。在 Elasticsearch 的情况下，`service.name` 可以包含集群名称。对于 Beats，如果没有指定名称，`service.name` 默认是 `service.type` 字段的副本。	keyword
tychon.service.protocol.name	监听服务使用的协议	keyword
tychon.service.state	服务的当前状态。	keyword
tychon.tls.client.supported_ciphers	客户端在客户端 Hello 期间提供的密码数组。	keyword
tychon.tls.server.cipher.is_nist_approved	密码是否经过 NIST 批准，可用于量子抵抗	boolean
tychon.tls.server.cipher.weight	密码的风险权重	整数
tychon.tls.server.protocol.weight	协议的风险权重	整数
tychon.tls.server.signature_hash.weight	签名哈希的风险权重	整数
tychon.tls.server.supported_cipher_mac	消息身份验证码算法。	keyword
tychon.tls.server.supported_ciphers	服务器在客户端 Hello 期间提供的密码数组。	keyword
tychon.tls.server.supported_ciphers_mac	服务器在客户端 Hello 期间提供的密码 MAC 数组。	keyword
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword
tychon.url.full	如果完整 URL 对您的用例很重要，则应将它们存储在 `url.full` 中，无论此字段是重建的还是在事件源中存在的。	通配符
tychon.url.full.text	`tychon.url.full` 的多字段。	match_only_text
tychon.x509.version_number	x509 格式的版本。	keyword

DISA 持续监控和风险评分数据

编辑

TYCHON 无代理将生成完整的“主端点记录”，以报告给 CMRS，此数据集是不可搜索的且已编码，但必须发送给 DISA。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.data	要报告给 DISA 服务器的 STIG 数据的 Base64 编码内容	text
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.managed_asset	要在端点上向 DISA 服务器报告的当前资产报告的 Base64 编码内容	text
tychon.op_attr	要报告给 DISA 服务器的已分配运营属性的 Base64 编码内容	text
tychon.output_type	报告的源类型	keyword
tychon.patches	要在端点上向 DISA 服务器报告的当前已安装补丁的 Base64 编码内容	text
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.software_inventory	要在端点上向 DISA 服务器报告的当前软件清单报告的 Base64 编码内容	text
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword
tychon.vulnerability	要在端点上向 DISA 服务器报告的当前漏洞的 Base64 编码内容	text

COAMS 信息（需要 DATT）

编辑

TYCHON 已与 DISA DATT 集成，并收集已应用的运营属性。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.host.architecture	操作系统架构。	keyword
tychon.host.attribute.cmrs	报告所需的 CMRS 标记	keyword
tychon.host.attribute.id	显示名称末尾的标识符	keyword
tychon.host.attribute.name	运营属性的名称	keyword
tychon.host.attribute.path	显示名称直到 “;”	keyword
tychon.host.attribute.timestamp	注册表数据值中的显示版本	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword

漏洞

编辑

TYCHON 扫描端点 CPU 并返回结果。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.cpu.caption	主机 CPU 标题。	text
tychon.host.cpu.clockspeed	主机 CPU 时钟速度。	long
tychon.host.cpu.family	主机 CPU 系列。	keyword
tychon.host.cpu.manufacturer	主机 CPU 制造商。	keyword
tychon.host.cpu.name	主机 CPU 名称。	keyword
tychon.host.cpu.number_of_cores	主机 CPU 核心数。	整数
tychon.host.cpu.number_of_logical_processors	主机 CPU 逻辑处理器数。	整数
tychon.host.cpu.speed	主机 CPU 速度。	long
tychon.host.cpu.virtualization_firmware_enabled	主机 CPU 虚拟化固件已启用。	boolean
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword

漏洞

编辑

TYCHON 扫描端点漏洞并返回结果。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword
tychon.vulnerability.category	漏洞影响的系统或架构类型。这些可能是特定于平台的（例如，Debian 或 SUSE）或通用的（例如，数据库或防火墙）。例如（Qualys[https://qualysguard.qualys.com/qwebhelp/fo_portal/knowledgebase/vulnerability_categories.htm[Qualys 漏洞类别]）此字段必须是数组。	keyword
tychon.vulnerability.classification	漏洞评分系统的分类。例如 (https://www.first.org/cvss/)	keyword
tychon.vulnerability.description	漏洞的描述，提供了漏洞的附加上下文。例如（常见[https://cve.mitre.org/about/faqs.html#cve_entry_descriptions_created[常见漏洞和曝光 CVE 描述]）	keyword
tychon.vulnerability.description.text	`tychon.vulnerability.description` 的多字段。	match_only_text
tychon.vulnerability.due_date	漏洞到期日期。	date
tychon.vulnerability.due_date_reason	漏洞到期日期原因。	keyword
tychon.vulnerability.enumeration	此漏洞使用的标识符类型。例如 (https://cve.mitre.org/about/)	keyword
tychon.vulnerability.iava	漏洞 Iava。	keyword
tychon.vulnerability.iava_severity	漏洞 Iava 严重性。	keyword
tychon.vulnerability.id	标识 (ID) 是漏洞条目的数字部分。它包括漏洞的唯一标识号。例如（常见[https://cve.mitre.org/about/faqs.html#what_is_cve_id)[常见漏洞和曝光 CVE ID]）	keyword
tychon.vulnerability.reference	一种资源，为已识别的漏洞提供额外的详细信息、上下文和缓解措施。	keyword
tychon.vulnerability.result	漏洞结果（通过或失败）。	keyword
tychon.vulnerability.scanner.vendor	漏洞扫描程序供应商的名称。	keyword
tychon.vulnerability.score.base	分数范围为 0.0 到 10.0，其中 10.0 最严重。基本分数涵盖了利用指标（攻击向量、复杂性、特权和用户交互）、影响指标（机密性、完整性和可用性）和范围的评估。例如 (https://www.first.org/cvss/specification-document)	浮点数
tychon.vulnerability.score.version	国家漏洞数据库 (NVD) 除了 CVSS v3.0 规范中定义的 CVSS v3.0 严重性等级外，还为 CVSS v2.0 基本分数范围提供了 “低”、“中” 和 “高” 的定性严重性排名。CVSS 由总部位于美国的非营利组织 FIRST.Org, Inc. (FIRST) 拥有和管理，其使命是帮助世界各地的计算机安全事件响应团队。例如 (https://nvd.nist.gov/vuln-metrics/cvss)	keyword
tychon.vulnerability.severity	漏洞的严重程度有助于衡量指标和内部确定修复的优先级。例如（https://nvd.nist.gov/vuln-metrics/cvss）	keyword
tychon.vulnerability.title	漏洞标题。	keyword
tychon.vulnerability.version	漏洞版本。	keyword
tychon.vulnerability.year	漏洞年份。	整数

端点保护平台

编辑

TYCHON 扫描端点的 Windows Defender，并返回保护状态和版本详细信息。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.crowdstrike.service.falcon.signature_version	Crowdstrike Service Falcon 签名版本。	keyword
tychon.crowdstrike.service.falcon.status	Crowdstrike Service Falcon 状态。	keyword
tychon.crowdstrike.service.falcon.version	Crowdstrike Service Falcon 版本。	version
tychon.elastic.service.agent.status	Elastic Service Agent 状态。	keyword
tychon.elastic.service.agent.version	Elastic Service Agent 版本。	version
tychon.elastic.service.endpoint.behavior_protection	Elastic Service Endpoint 行为保护。	keyword
tychon.elastic.service.endpoint.malware	Elastic Service Endpoint 恶意软件。	keyword
tychon.elastic.service.endpoint.memory_protection	Elastic Service Endpoint 内存保护。	keyword
tychon.elastic.service.endpoint.ransomware	Elastic Service Endpoint 勒索软件。	keyword
tychon.elastic.service.endpoint.status	Elastic Service Endpoint 状态。	keyword
tychon.elastic.service.endpoint.version	Elastic Service Endpoint 版本。	version
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.package.build_version	有关已安装软件包的构建版本的其他信息。例如，使用未发布软件包的提交 SHA。	keyword
tychon.package.description	软件包的描述。	keyword
tychon.package.name	程序包名称	keyword
tychon.package.reference	如果可用，此软件包中软件的主页或参考 URL。	keyword
tychon.package.type	程序包类型。这应该包含程序包文件类型，而不是程序包管理器名称。示例：rpm、dpkg、brew、npm、gem、nupkg、jar。	keyword
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.trellix.service.accm.status	Trellix Service Accm 状态。	keyword
tychon.trellix.service.accm.version	Trellix Service Accm 版本。	version
tychon.trellix.service.dlp.status	Trellix Service Dlp 状态。	keyword
tychon.trellix.service.dlp.version	Trellix Service Dlp 版本。	version
tychon.trellix.service.ens.cloud_enabled	Trellix Service Ens 云已启用。	boolean
tychon.trellix.service.ens.engine_version	Trellix Service Ens 引擎版本。	version
tychon.trellix.service.ens.oas_enabled	已启用 Trellix Service Ens OAS。	boolean
tychon.trellix.service.ens.signature_date	Trellix Service Ens 签名日期。	date
tychon.trellix.service.ens.signature_version	Trellix Service Ens 签名版本。	keyword
tychon.trellix.service.ens.status	Trellix Service Ens 状态。	keyword
tychon.trellix.service.ens.version	Trellix Service Ens 版本。	version
tychon.trellix.service.epo.guid	Trellix Service EPO GUID。	keyword
tychon.trellix.service.epo.version	Trellix Service EPO 版本。	version
tychon.trellix.service.ma.guid	Trellix Service Ma GUID。	keyword
tychon.trellix.service.ma.last_checkin	Trellix Service Ma 上次签入。	keyword
tychon.trellix.service.ma.status	Trellix Service Ma 状态。	keyword
tychon.trellix.service.ma.version	Trellix Service Ma 版本。	version
tychon.trellix.service.pa.status	Trellix Service Pa 状态。	keyword
tychon.trellix.service.pa.version	Trellix Service Pa 版本。	version
tychon.trellix.service.rsd.status	Trellix Service Rsd 状态。	keyword
tychon.trellix.service.rsd.version	Trellix Service Rsd 版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword
tychon.windows_defender.service.antimalware.engine_version	Windows Defender Service 反恶意软件引擎版本。	keyword
tychon.windows_defender.service.antimalware.product_version	Windows Defender Service 反恶意软件产品版本。	keyword
tychon.windows_defender.service.antimalware.signature_version	Windows Defender Service 反恶意软件签名版本。	keyword
tychon.windows_defender.service.antimalware.status	Windows Defender Service 反恶意软件状态。	keyword
tychon.windows_defender.service.antispyware.signature_age	Windows Defender Service 反间谍软件签名年龄。	long
tychon.windows_defender.service.antispyware.signature_last_updated	Windows Defender Service 反间谍软件签名上次更新时间。	date
tychon.windows_defender.service.antispyware.signature_version	Windows Defender Service 反间谍软件签名版本。	keyword
tychon.windows_defender.service.antispyware.status	Windows Defender Service 反间谍软件状态。	keyword
tychon.windows_defender.service.antivirus.full_scan.signature_version	Windows Defender Service 防病毒完整扫描签名版本。	keyword
tychon.windows_defender.service.antivirus.quick_scan.signature_version	Windows Defender Service 防病毒快速扫描签名版本。	keyword
tychon.windows_defender.service.antivirus.signature_age	Windows Defender Service 防病毒签名年龄。	long
tychon.windows_defender.service.antivirus.signature_last_updated	Windows Defender Service 防病毒签名上次更新时间。	date
tychon.windows_defender.service.antivirus.status	Windows Defender Service 防病毒状态。	keyword
tychon.windows_defender.service.behavior_monitor.status	Windows Defender Service 行为监视器状态。	keyword
tychon.windows_defender.service.firewall.domain.default_inbound_action	Windows Defender Service 防火墙域默认入站操作。	keyword
tychon.windows_defender.service.firewall.domain.enabled	Windows Defender Service 防火墙域已启用。	boolean
tychon.windows_defender.service.firewall.domain.log_blocked	Windows Defender Service 防火墙域日志阻止。	boolean
tychon.windows_defender.service.firewall.private.default_inbound_action	Windows Defender Service 防火墙专用默认入站操作。	keyword
tychon.windows_defender.service.firewall.private.enabled	Windows Defender Service 防火墙专用已启用。	boolean
tychon.windows_defender.service.firewall.private.log_blocked	Windows Defender Service 防火墙专用日志阻止。	boolean
tychon.windows_defender.service.firewall.public.default_inbound_action	Windows Defender Service 防火墙公共默认入站操作。	keyword
tychon.windows_defender.service.firewall.public.enabled	Windows Defender Service 防火墙公共已启用。	boolean
tychon.windows_defender.service.firewall.public.log_blocked	Windows Defender Service 防火墙公共日志阻止。	boolean
tychon.windows_defender.service.firewall.status	Windows Defender Service 防火墙状态。	keyword
tychon.windows_defender.service.ioav_protection.status	Windows Defender Service Ioav 保护状态。	keyword
tychon.windows_defender.service.nis.engine_version	Windows Defender Service Nis 引擎版本。	keyword
tychon.windows_defender.service.nis.signature_age	Windows Defender Service Nis 签名年龄。	long
tychon.windows_defender.service.nis.signature_out_of_date	Windows Defender Service Nis 签名已过期。	boolean
tychon.windows_defender.service.nis.signature_version	Windows Defender Service Nis 签名版本。	keyword
tychon.windows_defender.service.nis.status	Windows Defender Service Nis 状态。	keyword
tychon.windows_defender.service.on_access_protection.status	Windows Defender Service 按访问保护状态。	keyword
tychon.windows_defender.service.real_time_protection.status	Windows Defender Service 实时保护状态。	keyword
tychon.windows_defender.service.signature_out_of_date	Windows Defender Service 签名已过期。	boolean

端点公开服务信息

编辑

TYCHON 脚本扫描端点公开的服务并返回信息。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.device.name	设备名称。	keyword
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.network.transport	与 network.iana_number 相同，但使用的是传输层的关键字名称（udp、tcp、ipv6-icmp 等）。字段值被规范化为小写以便查询。	keyword
tychon.process.command_line	启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。	通配符
tychon.process.command_line.text	`tychon.process.command_line` 的多字段。	match_only_text
tychon.process.executable	进程可执行文件的绝对路径。	keyword
tychon.process.executable.text	`tychon.process.executable` 的多字段。	match_only_text
tychon.process.hash.sha1	SHA1 哈希值。	keyword
tychon.process.name	进程名称。有时也称为程序名称或类似名称。	keyword
tychon.process.name.text	`tychon.process.name` 的多字段。	match_only_text
tychon.process.pid	进程 ID。	long
tychon.process.start	进程启动的时间。	date
tychon.process.user.name	用户的简称或登录名。	keyword
tychon.process.user.name.text	`tychon.process.user.name` 的多字段。	match_only_text
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.service.description	服务上的描述文本。	keyword
tychon.service.display_name	服务的易读名称	keyword
tychon.service.name	从中收集数据的服务名称。服务名称通常由用户指定。这允许在多个主机上运行的分布式服务根据名称关联相关实例。在 Elasticsearch 的情况下，`service.name` 可以包含集群名称。对于 Beats，如果没有指定名称，`service.name` 默认是 `service.type` 字段的副本。	keyword
tychon.service.state	服务的当前状态。	keyword
tychon.service.status	服务状态。	keyword
tychon.source.ip	源的 IP 地址（IPv4 或 IPv6）。	ip
tychon.source.port	源的端口。	long
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword
tychon.user.name	用户的简称或登录名。	keyword
tychon.user.name.text	`tychon.user.name` 的多字段。	match_only_text

端点外部设备控制

编辑

TYCHON 将确保除了策略中的白名单硬件标识符之外，无法使用 USB 硬盘和 CD-ROM 驱动器等外部设备。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.event_data.device_description	连接设备的描述	keyword
tychon.event_data.device_id	设备标识符	keyword
tychon.event_data.device_location	插入设备的位置	keyword
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.log.event_data.device_description	连接设备的描述	keyword
tychon.log.event_id	事件日志 ID	long
tychon.log.event_summary	事件的描述	keyword
tychon.log.record_id	事件中的记录 ID	long
tychon.log.time_created	创建此事件的时间	date
tychon.log.user_data.code_name	尝试连接设备的代号	keyword
tychon.log.user_data.device_id	尝试连接的设备标识符，用于更新允许的硬件的白名单	keyword
tychon.policy.attach.action	确定操作是成功还是失败	keyword
tychon.policy.attach.changed	TYCHON 更改了附件策略的值	boolean
tychon.policy.execution.action	确定操作是成功还是失败	keyword
tychon.policy.execution.changed	TYCHON 更改了执行策略的值	boolean
tychon.policy.whitelist.action	确定操作是成功还是失败	keyword
tychon.policy.whitelist.changed	TYCHON 更改了白名单策略的值	boolean
tychon.policy.whitelist.current_value	白名单的当前值	text
tychon.policy.whitelist.previous_value	白名单的上一个值	text
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword
tychon.type	正在为设备控制发送的事件类型，来自事件日志的策略更改类型（策略）或设备事件（设备）	keyword

Windows 功能信息

编辑

TYCHON 收集端点上启用了哪些 Windows 功能并返回结果。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.feature.cpe	主机操作系统功能 CPE。	keyword
tychon.host.os.feature.display_name	主机操作系统功能显示名称。	keyword
tychon.host.os.feature.major_version	主机操作系统功能主版本。	keyword
tychon.host.os.feature.minor_version	主机操作系统功能次版本。	keyword
tychon.host.os.feature.name	主机操作系统功能名称。	keyword
tychon.host.os.feature.type	主机操作系统功能类型。	keyword
tychon.host.os.feature.version	主机操作系统功能版本。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.package.build_version	有关已安装软件包的构建版本的其他信息。例如，使用未发布软件包的提交 SHA。	keyword
tychon.package.description	软件包的描述。	keyword
tychon.package.name	程序包名称	keyword
tychon.package.reference	如果可用，此软件包中软件的主页或参考 URL。	keyword
tychon.package.type	程序包类型。这应该包含程序包文件类型，而不是程序包管理器名称。示例：rpm、dpkg、brew、npm、gem、nupkg、jar。	keyword
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword

端点硬盘信息

编辑

TYCHON 脚本扫描端点的硬盘配置并返回信息。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.disk.adapter.serial_number	磁盘适配器序列号	keyword
tychon.disk.boot_from	操作系统从此磁盘启动	boolean
tychon.disk.bus_type	磁盘总线类型	keyword
tychon.disk.clustered	磁盘是否为群集	boolean
tychon.disk.firmware.version	磁盘固件版本	keyword
tychon.disk.health_status	磁盘的运行状况	keyword
tychon.disk.highly_available	磁盘标记为高可用	boolean
tychon.disk.id	磁盘 ID	keyword
tychon.disk.is_boot	磁盘是否为启动磁盘	boolean
tychon.disk.location.adapter	零索引适配器位置	整数
tychon.disk.location.bus	磁盘总线位置	整数
tychon.disk.location.device	磁盘设备位置	整数
tychon.disk.location.function	磁盘功能位置	整数
tychon.disk.location.pci_slot	PCI 插槽位置	整数
tychon.disk.manufacturer	磁盘的制造商	keyword
tychon.disk.model	磁盘的型号	keyword
tychon.disk.name	磁盘的友好名称	keyword
tychon.disk.number	分配给磁盘的编号	整数
tychon.disk.number_of_partitions	驱动器上分区的总数	整数
tychon.disk.offline	磁盘是否脱机	boolean
tychon.disk.operational_status	磁盘的运行状态	keyword
tychon.disk.partition_style	分区样式	keyword
tychon.disk.serial_number	驱动器的唯一序列号	keyword
tychon.disk.size	磁盘的总大小	long
tychon.disk.system	是否为系统驱动器	boolean
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword

端点硬件信息

编辑

TYCHON 脚本扫描端点的硬件配置并返回信息。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.device.class	设备类别。	keyword
tychon.device.description	设备描述。	text
tychon.device.friendly_name	设备友好名称。	keyword
tychon.device.id	设备的唯一标识符。该标识符在应用程序会话中不得更改，但对于（移动）设备的实例保持固定。在 iOS 上，此值必须等于供应商标识符 (https://developer.apple.com/documentation/uikit/uidevice/1620059-identifierforvendor)。在 Android 上，此值必须等于 Firebase 安装 ID 或在应用程序会话中持续存在的全局唯一 UUID。出于 GDPR 和数据保护法律的原因，此标识符不应携带允许识别用户的信息。	keyword
tychon.device.manufacturer	设备制造商的供应商名称。	keyword
tychon.device.model.name	设备型号的易读营销名称。	keyword
tychon.device.name	设备名称。	keyword
tychon.device.present	设备存在。	boolean
tychon.device.status	设备状态。	keyword
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword

端点主机操作系统信息

编辑

TYCHON 脚本扫描端点的操作系统配置并返回信息。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.event.deviceguard.basevirtualizationsupport.available	事件 Deviceguard Basevirtualizationsupport 可用。	boolean
tychon.event.deviceguard.credentialguard.enabled	事件 Deviceguard Credentialguard 已启用。	boolean
tychon.event.deviceguard.credentialguard.running	事件 Deviceguard Credentialguard 正在运行。	boolean
tychon.event.deviceguard.dmaprotection.available	事件 Deviceguard Dmaprotection 可用。	boolean
tychon.event.deviceguard.hypervisorenforcedcodeint.enabled	事件 Deviceguard Hypervisorenforcedcodeint 已启用。	boolean
tychon.event.deviceguard.hypervisorenforcedcodeint.running	事件 Deviceguard Hypervisorenforcedcodeint 正在运行。	boolean
tychon.event.deviceguard.secureboot.available	事件 Deviceguard 安全启动可用。	boolean
tychon.event.deviceguard.securememoverwrite.available	事件 Deviceguard 安全内存覆盖可用。	boolean
tychon.event.deviceguard.smmsecuritymigrations.available	事件 Deviceguard Smmsecuritymigrations 可用。	boolean
tychon.event.deviceguard.systemguardsecurelaunch.enabled	事件 Deviceguard Systemguardsecurelaunch 已启用。	boolean
tychon.event.deviceguard.systemguardsecurelaunch.running	事件 Deviceguard Systemguardsecurelaunch 正在运行。	boolean
tychon.event.deviceguard.ueficodereadonly.available	事件 Deviceguard Ueficodereadonly 可用。	boolean
tychon.event.deviceguard.usermodecodeintegrity.policyenforcement	事件 Deviceguard Usermodecodeintegrity Policyenforcement。	keyword
tychon.event.deviceguard.version	事件 Deviceguard 版本。	keyword
tychon.event.deviceguard.virtualizationbasedsecurity.status	事件 Deviceguard 基于虚拟化的安全性状态。	keyword
tychon.event.directx.version	事件 DirectX 版本	keyword
tychon.event.ufi.enabled	事件 Ufi 已启用。	boolean
tychon.event.windows_11_compatible.core	事件 Windows 11 兼容核心	keyword
tychon.event.windows_11_compatible.cpu	事件 Windows 11 兼容 CPU	keyword
tychon.event.windows_11_compatible.disk	事件 Windows 11 兼容磁盘	keyword
tychon.event.windows_11_compatible.dxv	事件 Windows 11 兼容 DXV	keyword
tychon.event.windows_11_compatible.memory	事件 Windows 11 兼容内存	keyword
tychon.event.windows_11_compatible.proxy	事件 Windows 11 兼容代理	keyword
tychon.event.windows_11_compatible.uefi	事件 Windows 11 兼容 UEFI	keyword
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.cloud.compute.name	主机云计算名称。	keyword
tychon.host.cloud.compute.resource_group_name	主机云计算资源组名称。	keyword
tychon.host.cloud.compute.resource_id	主机云计算资源 ID。	keyword
tychon.host.cloud.compute.subscription_id	主机云计算订阅 ID。	keyword
tychon.host.cloud.compute.tags	主机云计算标签。	keyword
tychon.host.cloud.compute.vm_id	主机云计算虚拟机 ID。	keyword
tychon.host.cloud.hosted	主机云托管。	boolean
tychon.host.cloud.network.mac_address	主机云网络 MAC 地址。	keyword
tychon.host.cloud.network.public_ipv4	主机云网络公共 IPv4。	keyword
tychon.host.cloud.network.public_ipv6	主机云网络公共 IPv6。	keyword
tychon.host.compute.location	主机计算位置。	keyword
tychon.host.cpu.caption	主机 CPU 标题。	text
tychon.host.cpu.count	主机 CPU 计数。	整数
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.firmware.type	主机固件类型。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.memory.size	主机内存大小。	long
tychon.host.motherboard.chipset	主机主板芯片组。	keyword
tychon.host.motherboard.serial_number	主机主板序列号。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.edition	主机操作系统版本。	keyword
tychon.host.os.extended_support_license	主机操作系统扩展支持许可证。	keyword
tychon.host.os.extended_support_license_expiration	主机操作系统扩展支持许可证到期时间。	date
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.supported_plan	主机操作系统支持的计划。	keyword
tychon.host.os.vendor	主机操作系统供应商。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.risk.calculated_score	由内部系统计算的风险分类评分，作为实体分析和实体风险评分的一部分。	浮点数
tychon.host.risk.compliant.nist_standards	主机风险符合 NIST 标准。	keyword
tychon.host.risk.count.ciphers	主机风险密码计数。	keyword
tychon.host.risk.count.protocol	主机风险密码计数。	keyword
tychon.host.risk.count.signature_hash	主机风险签名哈希计数。	keyword
tychon.host.risk.noncompliant.nist_standards	主机风险不符合 NIST 标准。	keyword
tychon.host.risk.score.ciphers	主机风险密码评分。	keyword
tychon.host.risk.score.nist_standards	主机风险 NIST 标准评分。	keyword
tychon.host.risk.score.protocol	主机风险协议评分。	keyword
tychon.host.risk.score.signature_hash	主机风险签名哈希评分。	keyword
tychon.host.risk.weight.ciphers	主机风险密码权重。	keyword
tychon.host.risk.weight.protocol	主机风险协议权重。	keyword
tychon.host.risk.weight.signature_hash	主机风险签名哈希权重。	keyword
tychon.host.security.antivirus.exists	主机安全防病毒存在。	boolean
tychon.host.security.antivirus.name	主机安全防病毒名称。	keyword
tychon.host.security.antivirus.state	主机安全防病毒状态。	keyword
tychon.host.security.antivirus.status	主机安全防病毒状态。	keyword
tychon.host.tpm.compliant	主机 TPM 合规。	boolean
tychon.host.tpm.digest.id	主机 TPM 摘要 ID。	keyword
tychon.host.tpm.enabled	主机 TPM 已启用。	boolean
tychon.host.tpm.locked_out	主机 TPM 已锁定。	boolean
tychon.host.tpm.lockout.count	主机 TPM 锁定计数。	keyword
tychon.host.tpm.present	主机 TPM 存在。	boolean
tychon.host.tpm.version	主机 TPM 版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.virtualization_status	主机虚拟化状态。	keyword
tychon.host.virtulization_status	主机虚拟化状态。	keyword
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.definition.oval	Tychon 定义 Oval。	date
tychon.tychon.definition.stig	Tychon 定义 Stig。	date
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword
tychon.tychon.version.agent	Tychon 版本代理。	version
tychon.tychon.version.content	Tychon 版本内容。	version

端点网络适配器信息

编辑

TYCHON 脚本扫描端点的网络适配器配置并返回信息。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.host.adapter.alias	为此适配器指定的别名	keyword
tychon.host.adapter.description	网络适配器描述	text
tychon.host.adapter.dhcp.enabled	是否在此适配器上启用了 DHCP	boolean
tychon.host.adapter.dhcp.lease_expires	此 DHCP 租约何时到期	date
tychon.host.adapter.dhcp.lease_obtained	何时获取 DHCP 租约	date
tychon.host.adapter.dhcp.server	从哪个 IP 地址获取 DHCP IP。	ip
tychon.host.adapter.domain	为此适配器分配了哪个域	text
tychon.host.adapter.driver.date	驱动程序安装日期	date
tychon.host.adapter.driver.description	驱动程序的描述	text
tychon.host.adapter.driver.file_name	驱动程序文件名	keyword
tychon.host.adapter.driver.name	驱动程序的名称	keyword
tychon.host.adapter.driver.provider	提供驱动程序的公司	keyword
tychon.host.adapter.driver.version	驱动程序版本	keyword
tychon.host.adapter.gateway	网关 IP 地址	ip
tychon.host.adapter.id	适配器的 ID	keyword
tychon.host.adapter.ip	分配给适配器的 IP 地址	ip
tychon.host.adapter.ip_filter.enabled	是否启用了 IP 过滤	boolean
tychon.host.adapter.link_speed	适配器的链接速度	long
tychon.host.adapter.mac	硬件 MAC 地址	keyword
tychon.host.adapter.media.connection_state	当前连接状态	keyword
tychon.host.adapter.media.type	当前连接媒体类型	keyword
tychon.host.adapter.mtu	MTU 大小	整数
tychon.host.adapter.ndis.version	NDIS 版本	keyword
tychon.host.adapter.subnet_bit	子网位	整数
tychon.host.adapter.virtual	适配器是否为虚拟	boolean
tychon.host.adapter.vlan.id	VLAN ID	keyword
tychon.host.adapter.wifi.authentication	用于连接到 WIFI 路由器的身份验证方法	keyword
tychon.host.adapter.wifi.band	用于连接到 WIFI 路由器的频段	keyword
tychon.host.adapter.wifi.bssid	连接的 WIFI 路由器硬件地址	keyword
tychon.host.adapter.wifi.channel	用于连接到 WIFI 路由器的信道	keyword
tychon.host.adapter.wifi.cipher	用于连接到 WIFI 路由器的密码	keyword
tychon.host.adapter.wifi.enabled	是否启用了 WIFI	boolean
tychon.host.adapter.wifi.radio_type	连接的 WIFI 路由器的无线电类型	keyword
tychon.host.adapter.wifi.signal_percent	连接的 WIFI 路由器的信号强度	整数
tychon.host.adapter.wifi.ssid	连接的 WIFI 路由器 SSID	keyword
tychon.host.adapter.wins_server	附加到此适配器的 WINS 服务器	ip
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword

端点软件清单信息

编辑

TYCHON 脚本扫描端点的软件清单并返回信息。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.package.architecture	程序包架构。	keyword
tychon.package.cpe	程序包 Cpe。	keyword
tychon.package.description	软件包的描述。	keyword
tychon.package.edition	程序包版本。	keyword
tychon.package.id	程序包 ID。	keyword
tychon.package.installed	程序包的安装时间。	date
tychon.package.name	程序包名称	keyword
tychon.package.path	程序包的安装路径。	keyword
tychon.package.publisher	程序包发布者。	keyword
tychon.package.size	程序包大小（以字节为单位）。	long
tychon.package.type	程序包类型。这应该包含程序包文件类型，而不是程序包管理器名称。示例：rpm、dpkg、brew、npm、gem、nupkg、jar。	keyword
tychon.package.uninstall	程序包卸载。	text
tychon.package.version	程序包版本	keyword
tychon.package.version_build	程序包版本构建。	keyword
tychon.package.version_major	程序包版本主要。	keyword
tychon.package.version_minor	程序包版本次要。	keyword
tychon.package.version_release	程序包版本发行。	keyword
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword

端点 STIG 信息

编辑

TYCHON 基准脚本扫描端点的 Windows 配置以查找 STIG/XCCDF 问题并返回信息。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.benchmark.generated_utc	基准 UTC。	date
tychon.benchmark.hash	基准 SHA256 哈希	keyword
tychon.benchmark.id	基准 ID。	keyword
tychon.benchmark.name	基准名称。	keyword
tychon.benchmark.title	基准标题。	keyword
tychon.benchmark.version	基准版本。	keyword
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.oval.class	开放漏洞和评估语言类。	keyword
tychon.oval.id	开放漏洞和评估语言标识符。	keyword
tychon.oval.refid	开放漏洞和评估语言规则参考标识符。	keyword
tychon.package.build_version	有关已安装软件包的构建版本的其他信息。例如，使用未发布软件包的提交 SHA。	keyword
tychon.package.description	软件包的描述。	keyword
tychon.package.name	程序包名称	keyword
tychon.package.reference	如果可用，此软件包中软件的主页或参考 URL。	keyword
tychon.package.type	程序包类型。这应该包含程序包文件类型，而不是程序包管理器名称。示例：rpm、dpkg、brew、npm、gem、nupkg、jar。	keyword
tychon.rule.benchmark.profile.id	基准规则配置文件标识符。	keyword
tychon.rule.benchmark.title	基准规则标题。	keyword
tychon.rule.finding_id	基准规则查找标识符。	keyword
tychon.rule.id	在代理、观察者或其他使用该规则来检测此事件的实体范围内唯一的规则 ID。	keyword
tychon.rule.name	生成事件的规则或签名的名称。	keyword
tychon.rule.oval.class	开放漏洞和评估语言类。	keyword
tychon.rule.oval.id	开放漏洞和评估语言标识符。	keyword
tychon.rule.oval.refid	开放漏洞和评估语言参考标识符。	keyword
tychon.rule.result	基准规则结果。	keyword
tychon.rule.result_score	基准规则结果评分。	long
tychon.rule.severity	基准严重性状态。	keyword
tychon.rule.stig_id	Stig 规则 ID	keyword
tychon.rule.test_result	规则测试结果。	keyword
tychon.rule.title	基准规则标题。	keyword
tychon.rule.vulnerability_id	规则漏洞 ID。	keyword
tychon.rule.weight	基准规则权重。	浮点数
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword

文件系统证书

编辑

TYCHON 在计算机和硬盘驱动器中搜索存储在密钥库中以及密钥库外部的证书文件。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
labels.source	标识证书来自主机还是来自侦听进程。	keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.certificate.is_expired	证书已过期。	boolean
tychon.certificate.is_expiring_soon	证书将在 30 天内到期。	boolean
tychon.certificate.is_file	在证书存储区之外的文件系统上找到了证书	boolean
tychon.certificate.is_long_lived	该证书有效期很长。	boolean
tychon.certificate.is_weak	该证书被认为在量子计算方面较弱。	boolean
tychon.certificate.location.trust_category	北约国家代码指定。	keyword
tychon.certificate.name	主机操作系统功能名称。	keyword
tychon.certificate.type	主机操作系统功能类型。	keyword
tychon.connection.state	被测试连接的当前状态	keyword
tychon.file.accessed	上次访问文件的时间。请注意，并非所有文件系统都会跟踪访问时间。	date
tychon.file.attributes	文件属性数组。属性名称会因平台而异。以下是此字段中预期值的部分列表：archive（存档）、compressed（已压缩）、directory（目录）、encrypted（已加密）、execute（执行）、hidden（隐藏）、read（读取）、readonly（只读）、system（系统）、write（写入）。	keyword
tychon.file.code_signature.friendly_name	签名证书的友好名称	keyword
tychon.file.code_signature.issuer_name	此证书的颁发者	keyword
tychon.file.code_signature.subject_name	签名证书的主题名称	keyword
tychon.file.code_signature.thumbprint	此签名证书的唯一 ID 指纹	keyword
tychon.file.created	文件创建时间。请注意，并非所有文件系统都会存储创建时间。	date
tychon.file.extension	文件扩展名，不包括前导点。请注意，当文件名有多个扩展名 (example.tar.gz) 时，应仅捕获最后一个扩展名 (“gz”，而不是 “tar.gz”)。	keyword
tychon.file.hash.md5	MD5 哈希值。	keyword
tychon.file.hash.sha1	SHA1 哈希值。	keyword
tychon.file.hash.sha256	SHA256 哈希值。	keyword
tychon.file.mtime	上次修改文件内容的时间。	date
tychon.file.name	文件名，包括扩展名，不包括目录。	keyword
tychon.file.path	文件的完整路径，包括文件名。应包括驱动器盘符（如果适用）。	keyword
tychon.file.path.text	`tychon.file.path` 的多字段。	match_only_text
tychon.file.size	文件大小（以字节为单位）。仅当 `file.type` 为 “file” 时相关。	long
tychon.file.version	文件的版本	keyword
tychon.file.x509.issuer.distinguished_name	颁发证书机构的专有名称 (DN)。	keyword
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.process.command_line	启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。	通配符
tychon.process.command_line.text	`tychon.process.command_line` 的多字段。	match_only_text
tychon.process.description	进程描述	keyword
tychon.process.executable	进程可执行文件的绝对路径。	keyword
tychon.process.executable.text	`tychon.process.executable` 的多字段。	match_only_text
tychon.process.information_source	进程信息来源	keyword
tychon.process.name	进程名称。有时也称为程序名称或类似名称。	keyword
tychon.process.name.text	`tychon.process.name` 的多字段。	match_only_text
tychon.process.parent.pid	进程 ID。	long
tychon.process.pid	进程 ID。	long
tychon.process.user.name	用户的简称或登录名。	keyword
tychon.process.user.name.text	`tychon.process.user.name` 的多字段。	match_only_text
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.server.address	某些事件服务器地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 `.address` 字段中。然后，应将其复制到 `.ip` 或 `.domain`，具体取决于它是哪一个。	keyword
tychon.server.ip	服务器的 IP 地址（IPv4 或 IPv6）。	ip
tychon.server.port	服务器端口。	long
tychon.service.description	服务说明	keyword
tychon.service.display_name	服务的友好名称	keyword
tychon.service.name	从中收集数据的服务名称。服务名称通常由用户指定。这允许在多个主机上运行的分布式服务根据名称关联相关实例。在 Elasticsearch 的情况下，`service.name` 可以包含集群名称。对于 Beats，如果没有指定名称，`service.name` 默认是 `service.type` 字段的副本。	keyword
tychon.service.state	服务的当前状态。	keyword
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword
tychon.url.full	如果完整 URL 对您的用例很重要，则应将它们存储在 `url.full` 中，无论此字段是重建的还是在事件源中存在的。	通配符
tychon.url.full.text	`tychon.url.full` 的多字段。	match_only_text
tychon.windows_certificate_store_path	Windows 证书存储的路径	keyword
tychon.x509.certificate_template	证书模板	keyword
tychon.x509.enhanced_key_usage	指示证书公钥可以使用的用途的值列表	keyword
tychon.x509.extended_error_information	与名称约束处理相关的失败	keyword
tychon.x509.extended_validation	符合 X.509 标准的证书，证明所有者的合法实体，并由可以颁发 EV 证书的证书颁发机构密钥签名。	boolean
tychon.x509.friendly_name	证书的易读友好名称	keyword
tychon.x509.hash	证书的哈希值	keyword
tychon.x509.hash_algorithm	证书的哈希算法	keyword
tychon.x509.is_root	证书是链中的根证书	boolean
tychon.x509.is_self_signed	证书是由受信任的密钥链生成的还是自签名	boolean
tychon.x509.is_valid	证书是否来自报告证书的端点有效	boolean
tychon.x509.issuer.common_name	颁发者的通用名称 (CN) 列表。	keyword
tychon.x509.issuer.country	国家（地区）代码列表。	keyword
tychon.x509.issuer.distinguished_name	证书颁发实体的专有名称 (DN)。	keyword
tychon.x509.issuer.locality	地区名称 (L) 列表。	keyword
tychon.x509.issuer.organization	颁发者的组织 (O) 列表。	keyword
tychon.x509.issuer.organizational_unit	颁发者的组织单位 (OU) 列表。	keyword
tychon.x509.issuer.state_or_province	州或省份名称（ST、S 或 P）列表。	keyword
tychon.x509.key_usage	证书的指定用途	keyword
tychon.x509.not_after	证书不再被视为有效的时间。	date
tychon.x509.not_before	证书首次被视为有效的时间。	date
tychon.x509.private_key_size	私钥签名大小	keyword
tychon.x509.private_signature_algorithm	私有签名哈希算法	keyword
tychon.x509.public_key_algorithm	用于生成公钥的算法。	keyword
tychon.x509.public_key_size	公钥空间的大小（以位为单位）。	long
tychon.x509.public_key_thumbprint	公钥哈希	keyword
tychon.x509.public_key_type	公钥类型	keyword
tychon.x509.public_signature_algorithm	公有签名哈希算法	keyword
tychon.x509.serial_number	证书颁发机构颁发的唯一序列号。为保持一致性，如果此值为字母数字，则应采用不带冒号和大写字符的格式。	keyword
tychon.x509.signature_algorithm	证书签名算法的标识符。	keyword
tychon.x509.subject.common_name	主题的通用名称 (CN) 列表。	keyword
tychon.x509.subject.country	国家（地区）代码列表。	keyword
tychon.x509.subject.distinguished_name	证书主题实体的专有名称 (DN)。	keyword
tychon.x509.subject.locality	地区名称 (L) 列表。	keyword
tychon.x509.subject.organization	主题的组织 (O) 列表。	keyword
tychon.x509.subject.organizational_unit	主题的组织单位 (OU) 列表。	keyword
tychon.x509.subject.state_or_province	州或省份名称（ST、S 或 P）列表。	keyword
tychon.x509.subject_key_identifier	主题密钥标识符	keyword
tychon.x509.version_number	x509 格式的版本。	keyword

端点卷信息

编辑

TYCHON 脚本扫描端点的卷配置并返回信息。

导出的字段

字段	描述	类型
@timestamp	事件的原始日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。	date
data_stream.dataset	该字段可以包含任何对标识数据源有意义的内容。例如，包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他匹配的数据流，但未设置数据集，我们使用值“generic”作为数据集值。`event.dataset` 应与 `data_stream.dataset` 的值相同。除了上面提到的 Elasticsearch 数据流命名标准之外，`dataset` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在将此最佳实践作为默认设置。许多用户将使用 `default` 填充此字段。如果未使用任何值，则回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准之外，`namespace` 值还有其他限制：不得包含 `-` 长度不得超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。目前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
input.type	输入类型。	keyword
labels.is_transform_source	区分作为转换源的文档和作为转换输出的文档，以方便筛选。	constant_keyword
log.file.device_id	包含文件所在文件系统的设备的 ID。	keyword
log.file.fingerprint	启用指纹识别时，文件的 sha256 指纹标识。	keyword
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	keyword
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	keyword
log.file.inode	日志文件的 inode 号。	keyword
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	keyword
log.offset	日志偏移量。	long
tychon.host.architecture	操作系统架构。	keyword
tychon.host.biossn	主机 BIOS 序列号。	keyword
tychon.host.domain	主机所属的域名。例如，在 Windows 上，这可以是主机 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。	keyword
tychon.host.hardware.bios.name	主机 BIOS 名称。	keyword
tychon.host.hardware.bios.version	主机 BIOS 版本。	keyword
tychon.host.hardware.cpu.caption	主机 CPU 标题。	keyword
tychon.host.hardware.manufacturer	主机 BIOS 制造商。	keyword
tychon.host.hardware.owner	主机 BIOS 所有者。	keyword
tychon.host.hardware.serial_number	主机 BIOS 序列号。	keyword
tychon.host.hostname	主机的主机名。它通常包含主机上 `hostname` 命令返回的内容。	keyword
tychon.host.id	唯一主机 ID。由于主机名并非总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	keyword
tychon.host.ip	主机 IP 地址。	ip
tychon.host.ipv4	主机 IPv4 地址。	ip
tychon.host.ipv6	主机 IPv6 地址。	keyword
tychon.host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个 [大写] 十六进制数字表示，给出该八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	keyword
tychon.host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	keyword
tychon.host.oem.manufacturer	主机 OEM 制造商。	keyword
tychon.host.oem.model	主机 OEM 型号。	keyword
tychon.host.os.build	主机 OS 版本。	keyword
tychon.host.os.description	主机操作系统描述。	text
tychon.host.os.family	操作系统系列（如 redhat、debian、freebsd、windows）。	keyword
tychon.host.os.kernel	作为原始字符串的操作系统内核版本。	keyword
tychon.host.os.name	操作系统名称，不带版本。	keyword
tychon.host.os.name.text	`tychon.host.os.name` 的多字段。	match_only_text
tychon.host.os.organization	主机 OS 组织。	keyword
tychon.host.os.platform	操作系统平台（如 centos、ubuntu、windows）。	keyword
tychon.host.os.type	使用 `os.type` 字段将操作系统分类为广泛的商业系列之一。如果您的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。	keyword
tychon.host.os.version	作为原始字符串的操作系统版本。	keyword
tychon.host.type	主机类型。对于云提供商，这可以是机器类型，如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或在您的环境中有意义的其他信息。	keyword
tychon.host.uptime	主机运行的秒数。	long
tychon.host.workgroup	主机工作组网络名称。	keyword
tychon.id	TYCHON 唯一文档标识符。	keyword
tychon.script.current_duration	扫描器脚本持续时间。	long
tychon.script.current_time	当前日期时间。	date
tychon.script.name	扫描器脚本名称。	keyword
tychon.script.start	扫描器开始日期时间。	date
tychon.script.type	扫描器脚本类型。	keyword
tychon.script.version	扫描器脚本版本。	version
tychon.tychon.data.version	Tychon 数据版本	keyword
tychon.tychon.id	TYCHON 唯一主机标识符。	keyword
tychon.volume.automount	卷自动装载。	boolean
tychon.volume.block_size	卷块大小。	long
tychon.volume.dirty_bit_set	卷脏位设置。	boolean
tychon.volume.dos_device_path	卷 DOS 设备路径。	text
tychon.volume.drive.letter	卷驱动器盘符。	keyword
tychon.volume.drive.type	卷驱动器类型。	keyword
tychon.volume.file_system	卷文件系统。	keyword
tychon.volume.freespace	卷可用空间。	long
tychon.volume.id	卷 ID。	keyword
tychon.volume.name	卷名称。	keyword
tychon.volume.page_file_present	卷页面文件存在。	boolean
tychon.volume.percent_full	卷已满百分比。	浮点数
tychon.volume.power_management_supported	卷电源管理支持。	boolean
tychon.volume.purpose	卷用途。	keyword
tychon.volume.serial_number	卷序列号。	keyword
tychon.volume.size	卷大小。	long
tychon.volume.system_volume	卷系统卷。	boolean

更新日志

编辑

更新日志

版本	详情	Kibana 版本
0.2.1	Bug 修复 (查看拉取请求) 修复安全服务集成包中的损坏链接。	—
0.2.0	增强 (查看拉取请求) 将 "preserve_original_event" 标签添加到 `event.kind` 设置为 "pipeline_error" 的文档中。	—
0.1.2	Bug 修复 (查看拉取请求) 添加安全功能，因为该包需要安全功能。	—
0.1.1	Bug 修复 (查看拉取请求) 在引用摄取管道中的变量时，使用三花括号 Mustache 模板。	—
0.1.0	增强 (查看拉取请求) TYCHON 无代理集成的初始版本	—

« 趋势科技 Vision One 自定义 UDP 日志集成 »