Windows 集成

@timestamp

事件发生的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

日期

cloud.account.id

云帐户或组织 ID，用于在多租户环境中标识不同的实体。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机、资源或服务所在的可用区。

关键字

cloud.image.id

云实例的镜像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

关键字

cloud.provider

云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机、资源或服务所在的区域。

关键字

container.id

唯一的容器 ID。

关键字

container.image.name

构建容器所依据的镜像的名称。

关键字

container.labels

镜像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

该字段可以包含任何有意义的用于表示数据来源的内容。示例包括 nginx.access、prometheus、endpoint 等。对于其他方面都符合但未设置数据集的数据流，我们使用值“generic”作为数据集值。event.dataset 应具有与 data_stream.dataset 相同的值。除了上面提到的 Elasticsearch 数据流命名标准之外，dataset 值还有其他限制：*不得包含 - *长度不得超过 100 个字符

常量关键字

data_stream.namespace

用户定义的命名空间。命名空间对于允许对数据进行分组非常有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在提供了这种最佳实践作为默认设置。许多用户将使用 default 填充此字段。如果没有使用值，则会回退到 default。除了上面提到的 Elasticsearch 索引命名标准之外，namespace 值还有其他限制：*不得包含 - *长度不得超过 100 个字符

常量关键字

data_stream.type

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。

常量关键字

dataset.name

数据集名称。

常量关键字

dataset.namespace

数据集命名空间。

常量关键字

dataset.type

数据集类型。

常量关键字

destination.user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

关键字

destination.user.id

用户的唯一标识符。

关键字

destination.user.name

用户的简称或登录名。

关键字

destination.user.name.text

destination.user.name 的多字段。

仅匹配文本

ecs.version

此事件符合的 ECS 版本。ecs.version 是必填字段，并且必须存在于所有事件中。当跨多个索引进行查询时（这些索引可能符合略有不同的 ECS 版本），此字段允许集成调整为事件的模式版本。

关键字

error.code

描述错误的错误代码。

关键字

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例为 group-add、process-started、file-created。该值通常由实现者定义。

关键字

event.category

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的第二级。event.category 表示 ECS 类别的“大桶”。例如，筛选 event.category:process 将产生与进程活动相关的所有事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。

关键字

event.code

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确识别消息，而不管消息语言或随时间调整的措辞如何。一个例子是 Windows 事件 ID。

关键字

event.created

event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。此差异可用于计算源生成事件的时间与您的代理首次处理事件的时间之间的延迟。这可用于监视您的代理或管道是否能够跟上您的事件源。如果两个时间戳相同，则应使用 @timestamp。

日期

event.dataset

数据集的名称。如果某个事件源发布多种类型的日志或事件（例如，访问日志、错误日志），则使用数据集来指定事件的来源。建议（但不是必须）数据集名称以模块名称开头，后跟一个点，然后是数据集名称。

常量关键字

event.ingested

事件到达中心数据存储时的时间戳。这与 @timestamp 不同，后者是事件最初发生的时间。它也与 event.created 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳的顺序应如下所示：@timestamp < event.created < event.ingested。

日期

event.kind

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的最高级别。event.kind 提供有关事件包含的信息类型的高级信息，而无需具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制，也可能有助于了解数据是否以固定的间隔传入。

关键字

event.module

此数据来自的模块的名称。如果您的监控代理支持使用模块或插件来处理给定来源的事件（例如，Apache 日志），则 event.module 应包含此模块的名称。

常量关键字

event.outcome

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的最低级别。event.outcome 只是表示从产生事件的实体的角度来看，事件是成功还是失败。请注意，当单个事务在多个事件中描述时，每个事件可能会根据其角度填充不同的 event.outcome 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能捕获事件生产者角度的总体成功或失败的值。此外，请注意并非所有事件都会有相关的结果。例如，此字段通常不会为指标事件、event.type:info 的事件或任何结果没有逻辑意义的事件填充。

关键字

event.provider

事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd），也可以是操作系统子系统（内核、Microsoft-Windows-Security-Auditing）。

关键字

event.sequence

事件的序列号。序列号是一些事件源发布的值，用于使事件的确切排序明确，而与时间戳的精度无关。

long

event.type

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的第三级。event.type 表示一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许正确分类属于多种事件类型的某些事件。

关键字

file.directory

文件所在的目录。应包括驱动器盘符（如果适用）。

关键字

file.extension

文件扩展名，不包括前导点。请注意，当文件名有多个扩展名 (example.tar.gz) 时，只应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

关键字

file.hash.sha256

SHA256 哈希值。

关键字

file.name

文件名，包括扩展名，不包含目录。

关键字

file.path

文件的完整路径，包括文件名。应包括驱动器盘符（如果适用）。

关键字

file.path.text

file.path 的多字段。

仅匹配文本

file.pe.file_version

在编译时提供的文件的内部版本。

关键字

file.pe.original_file_name

在编译时提供的文件的内部名称。

关键字

file.pe.product

在编译时提供的文件的内部产品名称。

关键字

file.x509.subject.country

国家/地区 (C) 代码列表

关键字

file.x509.subject.locality

地点名称列表 (L)

关键字

file.x509.subject.organization

主题的组织 (O) 列表。

关键字

file.x509.subject.state_or_province

州或省名称列表 (ST、S 或 P)

关键字

host.architecture

操作系统架构。

关键字

host.containerized

主机是否为容器。

boolean

host.domain

主机所属的域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的 hostname。它通常包含主机上的 hostname 命令返回的内容。

关键字

host.id

唯一的主机 ID。由于主机名并非始终唯一，因此请使用在您的环境中具有意义的值。例如：当前 beat.name 的用法。

关键字

host.ip

主机 IP 地址。

ip

host.mac

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。

关键字

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号（如果有）。

关键字

host.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

关键字

host.os.kernel

操作系统的内核版本（原始字符串）。

关键字

host.os.name

操作系统名称，不包含版本。

关键字

host.os.name.text

host.os.name 的多字段。

仅匹配文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

关键字

host.os.type

使用 os.type 字段将操作系统分类为广泛的商业系列之一。如果您处理的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。

关键字

host.os.version

操作系统版本（原始字符串）。

关键字

host.type

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果虚拟机，这可以是容器，例如，或您的环境中其他有意义的信息。

关键字

input.type

Filebeat 输入类型。

关键字

log.level

日志事件的原始日志级别。如果事件的来源提供日志级别或文本严重性，则这是放入 log.level 中的内容。如果您的来源未指定，您可以将事件传输的严重性放在这里（例如 Syslog 严重性）。一些示例包括 warn、err、i、informational。

关键字

message

对于日志事件，message 字段包含日志消息，经过优化可在日志查看器中查看。对于没有原始消息字段的结构化日志，可以连接其他字段以形成事件的人工可读摘要。如果存在多条消息，则可以将它们合并为一条消息。

仅匹配文本

process.args

进程参数数组，从可执行文件的绝对路径开始。可能会过滤以保护敏感信息。

关键字

process.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析非常有用。更多参数可能表示可疑活动。

long

process.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。可能会过滤某些参数以保护敏感信息。

wildcard

process.command_line.text

process.command_line 的多字段。

仅匹配文本

process.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可以使用的一些示例是进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构建全局唯一标识符是一种常用做法，可缓解 PID 重用，并随着时间的推移跨多个受监控主机识别特定进程。

关键字

process.executable

进程可执行文件的绝对路径。

关键字

process.executable.text

process.executable 的多字段。

仅匹配文本

process.name

进程名称。有时称为程序名称或类似名称。

关键字

process.name.text

process.name 的多字段。

仅匹配文本

process.pid

进程 ID。

long

process.title

进程标题。proctitle，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

关键字

process.title.text

process.title 的多字段。

仅匹配文本

related.hash

您的事件中看到的所有哈希值。填充此字段，然后使用它搜索哈希值可以帮助您在不确定哈希算法是什么（因此要搜索哪个键名）的情况下。

关键字

related.hosts

您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。

关键字

related.ip

您的事件中看到的所有 IP。

ip

related.user

事件中看到的所有用户名或其他用户标识符。

关键字

source.user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

关键字

source.user.id

用户的唯一标识符。

关键字

source.user.name

用户的简称或登录名。

关键字

source.user.name.text

source.user.name 的多字段。

仅匹配文本

tags

用于标记每个事件的关键字列表。

关键字

user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

关键字

user.id

用户的唯一标识符。

关键字

user.name

用户的简称或登录名。

关键字

user.name.text

user.name 的多字段。

仅匹配文本

winlog.activity_id

一个全局唯一标识符，用于标识当前活动。使用此标识符发布的事件是同一活动的一部分。

关键字

winlog.api

用于读取记录的事件日志 API 类型。可能的值为 Windows 事件日志 API 的“wineventlog”或事件日志记录 API 的“eventlogging”。事件日志记录 API 专为 Windows Server 2003 或 Windows 2000 操作系统设计。在 Windows Vista 中，事件日志记录基础结构经过重新设计。在 Windows Vista 或更高版本的操作系统上，使用 Windows 事件日志 API。Winlogbeat 会自动检测使用哪个 API 来读取事件日志。

关键字

winlog.channel

从中读取此记录的通道的名称。此值是配置中 event_logs 集合中的名称之一。

关键字

winlog.computer_name

生成记录的计算机的名称。使用 Windows 事件转发时，此名称可能与 agent.hostname 不同。

关键字

winlog.event_data

事件特定数据。此字段与 user_data 互斥。如果您在 Windows Vista 之前的版本上捕获事件数据，则 event_data 中的参数将命名为 param1、param2 等，因为事件日志参数在早期版本的 Windows 中是未命名的。

对象

winlog.event_data.AuthenticationPackageName

关键字

winlog.event_data.Binary

关键字

winlog.event_data.BitlockerUserInputTime

关键字

winlog.event_data.BootMode

关键字

winlog.event_data.BootType

关键字

winlog.event_data.BuildVersion

关键字

winlog.event_data.Company

关键字

winlog.event_data.CorruptionActionState

关键字

winlog.event_data.CreationUtcTime

关键字

winlog.event_data.Description

关键字

winlog.event_data.Detail

关键字

winlog.event_data.DeviceName

关键字

winlog.event_data.DeviceNameLength

关键字

winlog.event_data.DeviceTime

关键字

winlog.event_data.DeviceVersionMajor

关键字

winlog.event_data.DeviceVersionMinor

关键字

winlog.event_data.DriveName

关键字

winlog.event_data.DriverName

关键字

winlog.event_data.DriverNameLength

关键字

winlog.event_data.DwordVal

关键字

winlog.event_data.EntryCount

关键字

winlog.event_data.ExtraInfo

关键字

winlog.event_data.FailureName

关键字

winlog.event_data.FailureNameLength

关键字

winlog.event_data.FileVersion

关键字

winlog.event_data.FinalStatus

关键字

winlog.event_data.Group

关键字

winlog.event_data.IdleImplementation

关键字

winlog.event_data.IdleStateCount

关键字

winlog.event_data.ImpersonationLevel

关键字

winlog.event_data.IntegrityLevel

关键字

winlog.event_data.IpAddress

关键字

winlog.event_data.IpPort

关键字

winlog.event_data.KeyLength

关键字

winlog.event_data.LastBootGood

关键字

winlog.event_data.LastShutdownGood

关键字

winlog.event_data.LmPackageName

关键字

winlog.event_data.LogonGuid

关键字

winlog.event_data.LogonId

关键字

winlog.event_data.LogonProcessName

关键字

winlog.event_data.LogonType

关键字

winlog.event_data.MajorVersion

关键字

winlog.event_data.MaximumPerformancePercent

关键字

winlog.event_data.MemberName

关键字

winlog.event_data.MemberSid

关键字

winlog.event_data.MinimumPerformancePercent

关键字

winlog.event_data.MinimumThrottlePercent

关键字

winlog.event_data.MinorVersion

关键字

winlog.event_data.NewProcessId

关键字

winlog.event_data.NewProcessName

关键字

winlog.event_data.NewSchemeGuid

关键字

winlog.event_data.NewTime

关键字

winlog.event_data.NominalFrequency

关键字

winlog.event_data.Number

关键字

winlog.event_data.OldSchemeGuid

关键字

winlog.event_data.OldTime

关键字

winlog.event_data.OriginalFileName

关键字

winlog.event_data.Path

关键字

winlog.event_data.PerformanceImplementation

关键字

winlog.event_data.PreviousCreationUtcTime

关键字

winlog.event_data.PreviousTime

关键字

winlog.event_data.PrivilegeList

关键字

winlog.event_data.ProcessId

关键字

winlog.event_data.ProcessName

关键字

winlog.event_data.ProcessPath

关键字

winlog.event_data.ProcessPid

关键字

winlog.event_data.Product

关键字

winlog.event_data.PuaCount

关键字

winlog.event_data.PuaPolicyId

关键字

winlog.event_data.QfeVersion

关键字

winlog.event_data.Reason

关键字

winlog.event_data.SchemaVersion

关键字

winlog.event_data.ScriptBlockText

关键字

winlog.event_data.ServiceName

关键字

winlog.event_data.ServiceVersion

关键字

winlog.event_data.ShutdownActionType

关键字

winlog.event_data.ShutdownEventCode

关键字

winlog.event_data.ShutdownReason

关键字

winlog.event_data.Signature

关键字

winlog.event_data.SignatureStatus

关键字

winlog.event_data.Signed

关键字

winlog.event_data.StartTime

关键字

winlog.event_data.State

关键字

winlog.event_data.Status

关键字

winlog.event_data.StopTime

关键字

winlog.event_data.SubjectDomainName

关键字

winlog.event_data.SubjectLogonId

关键字

winlog.event_data.SubjectUserName

关键字

winlog.event_data.SubjectUserSid

关键字

winlog.event_data.TSId

关键字

winlog.event_data.TargetDomainName

关键字

winlog.event_data.TargetInfo

关键字

winlog.event_data.TargetLogonGuid

关键字

winlog.event_data.TargetLogonId

关键字

winlog.event_data.TargetServerName

关键字

winlog.event_data.TargetUserName

关键字

winlog.event_data.TargetUserSid

关键字

winlog.event_data.TerminalSessionId

关键字

winlog.event_data.TokenElevationType

关键字

winlog.event_data.TransmittedServices

关键字

winlog.event_data.UserSid

关键字

winlog.event_data.Version

关键字

winlog.event_data.Workstation

关键字

winlog.event_data.param1

关键字

winlog.event_data.param2

关键字

winlog.event_data.param3

关键字

winlog.event_data.param4

关键字

winlog.event_data.param5

关键字

winlog.event_data.param6

关键字

winlog.event_data.param7

关键字

winlog.event_data.param8

关键字

winlog.event_id

事件标识符。该值特定于事件的来源。

关键字

winlog.keywords

关键字用于对事件进行分类。

关键字

winlog.level

分配给事件的级别，例如信息、警告或严重。

关键字

winlog.opcode

事件中定义的操作码。任务和操作码通常用于标识应用程序中记录事件的位置。

关键字

winlog.process.pid

客户端服务器运行时进程的 process_id。

long

winlog.process.thread.id

long

winlog.provider_guid

全局唯一标识符，用于标识记录事件的提供程序。

关键字

winlog.provider_name

事件日志记录的来源（记录日志的应用程序或服务）。

关键字

winlog.record_id

事件日志记录的记录 ID。写入事件日志的第一条记录的记录号为 1，其他记录按顺序编号。如果记录号达到最大值（对于事件日志 API 为 2³²，对于 Windows 事件日志 API 为 2⁶⁴），则下一个记录号将为 0。

关键字

winlog.related_activity_id

全局唯一标识符，用于标识控制转移到的活动。然后，相关事件将此标识符作为其 activity_id 标识符。

关键字

winlog.task

事件中定义的任务。任务和操作码通常用于标识应用程序中记录事件的位置。事件日志 API（在 Windows Vista 之前的操作系统上）使用的类别将写入此字段。

关键字

winlog.time_created

创建事件的时间。

日期

winlog.user.domain

与此事件关联的帐户所属的域。

关键字

winlog.user.identifier

与此事件关联的帐户的 Windows 安全标识符 (SID)。如果 Winlogbeat 无法将 SID 解析为名称，则将从事件中省略 user.name、user.domain 和 user.type 字段。如果您发现 Winlogbeat 未解析 SID，请查看日志以查找问题线索。

关键字

winlog.user.name

与此事件关联的用户的名称。

关键字

winlog.user.type

与此事件关联的帐户类型。

关键字

winlog.user_data

事件特定数据。此字段与 event_data 互斥。

对象

winlog.user_data.FileHash

关键字

winlog.user_data.FileHashLength

long

winlog.user_data.FilePath

关键字

winlog.user_data.FilePathLength

long

winlog.user_data.Fqbn

关键字

winlog.user_data.FqbnLength

long

winlog.user_data.FullFilePath

关键字

winlog.user_data.FullFilePathLength

long

winlog.user_data.PolicyName

关键字

winlog.user_data.PolicyNameLength

long

winlog.user_data.RuleId

关键字

winlog.user_data.RuleName

关键字

winlog.user_data.RuleNameLength

long

winlog.user_data.RuleSddl

关键字

winlog.user_data.RuleSddlLength

long

winlog.user_data.TargetLogonId

关键字

winlog.user_data.TargetProcessId

long

winlog.user_data.TargetUser

关键字

winlog.user_data.xml_name

关键字

winlog.version

事件定义的版本号。

long

@timestamp

事件发生的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

日期

cloud.account.id

云帐户或组织 ID，用于在多租户环境中标识不同的实体。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机、资源或服务所在的可用区。

关键字

cloud.image.id

云实例的镜像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

关键字

cloud.provider

云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机、资源或服务所在的区域。

关键字

container.id

唯一的容器 ID。

关键字

container.image.name

构建容器所依据的镜像的名称。

关键字

container.labels

镜像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

该字段可以包含任何有意义的用于表示数据来源的内容。示例包括 nginx.access、prometheus、endpoint 等。对于其他方面都符合但未设置数据集的数据流，我们使用值“generic”作为数据集值。event.dataset 应具有与 data_stream.dataset 相同的值。除了上面提到的 Elasticsearch 数据流命名标准之外，dataset 值还有其他限制：*不得包含 - *长度不得超过 100 个字符

常量关键字

data_stream.namespace

用户定义的命名空间。命名空间对于允许对数据进行分组非常有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在提供了这种最佳实践作为默认设置。许多用户将使用 default 填充此字段。如果没有使用值，则会回退到 default。除了上面提到的 Elasticsearch 索引命名标准之外，namespace 值还有其他限制：*不得包含 - *长度不得超过 100 个字符

常量关键字

data_stream.type

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。

常量关键字

dataset.name

数据集名称。

常量关键字

dataset.namespace

数据集命名空间。

常量关键字

dataset.type

数据集类型。

常量关键字

destination.user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

关键字

destination.user.id

用户的唯一标识符。

关键字

destination.user.name

用户的简称或登录名。

关键字

destination.user.name.text

destination.user.name 的多字段。

仅匹配文本

ecs.version

此事件符合的 ECS 版本。ecs.version 是必填字段，并且必须存在于所有事件中。当跨多个索引进行查询时（这些索引可能符合略有不同的 ECS 版本），此字段允许集成调整为事件的模式版本。

关键字

error.code

描述错误的错误代码。

关键字

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例为 group-add、process-started、file-created。该值通常由实现者定义。

关键字

event.category

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的第二级。event.category 表示 ECS 类别的“大桶”。例如，筛选 event.category:process 将产生与进程活动相关的所有事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。

关键字

event.code

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确识别消息，而不管消息语言或随时间调整的措辞如何。一个例子是 Windows 事件 ID。

关键字

event.created

event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。此差异可用于计算源生成事件的时间与您的代理首次处理事件的时间之间的延迟。这可用于监视您的代理或管道是否能够跟上您的事件源。如果两个时间戳相同，则应使用 @timestamp。

日期

event.dataset

数据集的名称。如果某个事件源发布多种类型的日志或事件（例如，访问日志、错误日志），则使用数据集来指定事件的来源。建议（但不是必须）数据集名称以模块名称开头，后跟一个点，然后是数据集名称。

常量关键字

event.ingested

事件到达中心数据存储时的时间戳。这与 @timestamp 不同，后者是事件最初发生的时间。它也与 event.created 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳的顺序应如下所示：@timestamp < event.created < event.ingested。

日期

event.kind

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的最高级别。event.kind 提供有关事件包含的信息类型的高级信息，而无需具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制，也可能有助于了解数据是否以固定的间隔传入。

关键字

event.module

此数据来自的模块的名称。如果您的监控代理支持使用模块或插件来处理给定来源的事件（例如，Apache 日志），则 event.module 应包含此模块的名称。

常量关键字

event.outcome

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的最低级别。event.outcome 只是表示从产生事件的实体的角度来看，事件是成功还是失败。请注意，当单个事务在多个事件中描述时，每个事件可能会根据其角度填充不同的 event.outcome 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能捕获事件生产者角度的总体成功或失败的值。此外，请注意并非所有事件都会有相关的结果。例如，此字段通常不会为指标事件、event.type:info 的事件或任何结果没有逻辑意义的事件填充。

关键字

event.provider

事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd），也可以是操作系统子系统（内核、Microsoft-Windows-Security-Auditing）。

关键字

event.sequence

事件的序列号。序列号是一些事件源发布的值，用于使事件的确切排序明确，而与时间戳的精度无关。

long

event.type

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的第三级。event.type 表示一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许正确分类属于多种事件类型的某些事件。

关键字

file.directory

文件所在的目录。应包括驱动器盘符（如果适用）。

关键字

file.extension

文件扩展名，不包括前导点。请注意，当文件名有多个扩展名 (example.tar.gz) 时，只应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

关键字

file.hash.sha256

SHA256 哈希值。

关键字

file.name

文件名，包括扩展名，不包含目录。

关键字

file.path

文件的完整路径，包括文件名。应包括驱动器盘符（如果适用）。

关键字

file.path.text

file.path 的多字段。

仅匹配文本

file.pe.file_version

在编译时提供的文件的内部版本。

关键字

file.pe.original_file_name

在编译时提供的文件的内部名称。

关键字

file.pe.product

在编译时提供的文件的内部产品名称。

关键字

file.x509.subject.country

国家/地区 (C) 代码列表

关键字

file.x509.subject.locality

地点名称列表 (L)

关键字

file.x509.subject.organization

主题的组织 (O) 列表。

关键字

file.x509.subject.state_or_province

州或省名称列表 (ST、S 或 P)

关键字

host.architecture

操作系统架构。

关键字

host.containerized

主机是否为容器。

boolean

host.domain

主机所属的域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的 hostname。它通常包含主机上的 hostname 命令返回的内容。

关键字

host.id

唯一的主机 ID。由于主机名并非始终唯一，因此请使用在您的环境中具有意义的值。例如：当前 beat.name 的用法。

关键字

host.ip

主机 IP 地址。

ip

host.mac

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。

关键字

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号（如果有）。

关键字

host.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

关键字

host.os.kernel

操作系统的内核版本（原始字符串）。

关键字

host.os.name

操作系统名称，不包含版本。

关键字

host.os.name.text

host.os.name 的多字段。

仅匹配文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

关键字

host.os.type

使用 os.type 字段将操作系统分类为广泛的商业系列之一。如果您处理的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。

关键字

host.os.version

操作系统版本（原始字符串）。

关键字

host.type

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果虚拟机，这可以是容器，例如，或您的环境中其他有意义的信息。

关键字

input.type

Filebeat 输入类型。

关键字

log.level

日志事件的原始日志级别。如果事件的来源提供日志级别或文本严重性，则这是放入 log.level 中的内容。如果您的来源未指定，您可以将事件传输的严重性放在这里（例如 Syslog 严重性）。一些示例包括 warn、err、i、informational。

关键字

message

对于日志事件，message 字段包含日志消息，经过优化可在日志查看器中查看。对于没有原始消息字段的结构化日志，可以连接其他字段以形成事件的人工可读摘要。如果存在多条消息，则可以将它们合并为一条消息。

仅匹配文本

process.args

进程参数数组，从可执行文件的绝对路径开始。可能会过滤以保护敏感信息。

关键字

process.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析非常有用。更多参数可能表示可疑活动。

long

process.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。可能会过滤某些参数以保护敏感信息。

wildcard

process.command_line.text

process.command_line 的多字段。

仅匹配文本

process.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可以使用的一些示例是进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构建全局唯一标识符是一种常用做法，可缓解 PID 重用，并随着时间的推移跨多个受监控主机识别特定进程。

关键字

process.executable

进程可执行文件的绝对路径。

关键字

process.executable.text

process.executable 的多字段。

仅匹配文本

process.name

进程名称。有时称为程序名称或类似名称。

关键字

process.name.text

process.name 的多字段。

仅匹配文本

process.pid

进程 ID。

long

process.title

进程标题。proctitle，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

关键字

process.title.text

process.title 的多字段。

仅匹配文本

related.hash

您的事件中看到的所有哈希值。填充此字段，然后使用它搜索哈希值可以帮助您在不确定哈希算法是什么（因此要搜索哪个键名）的情况下。

关键字

related.hosts

您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。

关键字

related.ip

您的事件中看到的所有 IP。

ip

related.user

事件中看到的所有用户名或其他用户标识符。

关键字

source.user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

关键字

source.user.id

用户的唯一标识符。

关键字

source.user.name

用户的简称或登录名。

关键字

source.user.name.text

source.user.name 的多字段。

仅匹配文本

tags

用于标记每个事件的关键字列表。

关键字

user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

关键字

user.id

用户的唯一标识符。

关键字

user.name

用户的简称或登录名。

关键字

user.name.text

user.name 的多字段。

仅匹配文本

winlog.activity_id

一个全局唯一标识符，用于标识当前活动。使用此标识符发布的事件是同一活动的一部分。

关键字

winlog.api

用于读取记录的事件日志 API 类型。可能的值为 Windows 事件日志 API 的“wineventlog”或事件日志记录 API 的“eventlogging”。事件日志记录 API 专为 Windows Server 2003 或 Windows 2000 操作系统设计。在 Windows Vista 中，事件日志记录基础结构经过重新设计。在 Windows Vista 或更高版本的操作系统上，使用 Windows 事件日志 API。Winlogbeat 会自动检测使用哪个 API 来读取事件日志。

关键字

winlog.channel

从中读取此记录的通道的名称。此值是配置中 event_logs 集合中的名称之一。

关键字

winlog.computer_name

生成记录的计算机的名称。使用 Windows 事件转发时，此名称可能与 agent.hostname 不同。

关键字

winlog.event_data

事件特定数据。此字段与 user_data 互斥。如果您在 Windows Vista 之前的版本上捕获事件数据，则 event_data 中的参数将命名为 param1、param2 等，因为事件日志参数在早期版本的 Windows 中是未命名的。

对象

winlog.event_data.AuthenticationPackageName

关键字

winlog.event_data.Binary

关键字

winlog.event_data.BitlockerUserInputTime

关键字

winlog.event_data.BootMode

关键字

winlog.event_data.BootType

关键字

winlog.event_data.BuildVersion

关键字

winlog.event_data.Company

关键字

winlog.event_data.CorruptionActionState

关键字

winlog.event_data.CreationUtcTime

关键字

winlog.event_data.Description

关键字

winlog.event_data.Detail

关键字

winlog.event_data.DeviceName

关键字

winlog.event_data.DeviceNameLength

关键字

winlog.event_data.DeviceTime

关键字

winlog.event_data.DeviceVersionMajor

关键字

winlog.event_data.DeviceVersionMinor

关键字

winlog.event_data.DriveName

关键字

winlog.event_data.DriverName

关键字

winlog.event_data.DriverNameLength

关键字

winlog.event_data.DwordVal

关键字

winlog.event_data.EntryCount

关键字

winlog.event_data.ExtraInfo

关键字

winlog.event_data.FailureName

关键字

winlog.event_data.FailureNameLength

关键字

winlog.event_data.FileVersion

关键字

winlog.event_data.FinalStatus

关键字

winlog.event_data.Group

关键字

winlog.event_data.IdleImplementation

关键字

winlog.event_data.IdleStateCount

关键字

winlog.event_data.ImpersonationLevel

关键字

winlog.event_data.IntegrityLevel

关键字

winlog.event_data.IpAddress

关键字

winlog.event_data.IpPort

关键字

winlog.event_data.KeyLength

关键字

winlog.event_data.LastBootGood

关键字

winlog.event_data.LastShutdownGood

关键字

winlog.event_data.LmPackageName

关键字

winlog.event_data.LogonGuid

关键字

winlog.event_data.LogonId

关键字

winlog.event_data.LogonProcessName

关键字

winlog.event_data.LogonType

关键字

winlog.event_data.MajorVersion

关键字

winlog.event_data.MaximumPerformancePercent

关键字

winlog.event_data.MemberName

关键字

winlog.event_data.MemberSid

关键字

winlog.event_data.MinimumPerformancePercent

关键字

winlog.event_data.MinimumThrottlePercent

关键字

winlog.event_data.MinorVersion

关键字

winlog.event_data.NewProcessId

关键字

winlog.event_data.NewProcessName

关键字

winlog.event_data.NewSchemeGuid

关键字

winlog.event_data.NewTime

关键字

winlog.event_data.NominalFrequency

关键字

winlog.event_data.Number

关键字

winlog.event_data.OldSchemeGuid

关键字

winlog.event_data.OldTime

关键字

winlog.event_data.OriginalFileName

关键字

winlog.event_data.Path

关键字

winlog.event_data.PerformanceImplementation

关键字

winlog.event_data.PreviousCreationUtcTime

关键字

winlog.event_data.PreviousTime

关键字

winlog.event_data.PrivilegeList

关键字

winlog.event_data.ProcessId

关键字

winlog.event_data.ProcessName

关键字

winlog.event_data.ProcessPath

关键字

winlog.event_data.ProcessPid

关键字

winlog.event_data.Product

关键字

winlog.event_data.PuaCount

关键字

winlog.event_data.PuaPolicyId

关键字

winlog.event_data.QfeVersion

关键字

winlog.event_data.Reason

关键字

winlog.event_data.SchemaVersion

关键字

winlog.event_data.ScriptBlockText

关键字

winlog.event_data.ServiceName

关键字

winlog.event_data.ServiceVersion

关键字

winlog.event_data.ShutdownActionType

关键字

winlog.event_data.ShutdownEventCode

关键字

winlog.event_data.ShutdownReason

关键字

winlog.event_data.Signature

关键字

winlog.event_data.SignatureStatus

关键字

winlog.event_data.Signed

关键字

winlog.event_data.StartTime

关键字

winlog.event_data.State

关键字

winlog.event_data.Status

关键字

winlog.event_data.StopTime

关键字

winlog.event_data.SubjectDomainName

关键字

winlog.event_data.SubjectLogonId

关键字

winlog.event_data.SubjectUserName

关键字

winlog.event_data.SubjectUserSid

关键字

winlog.event_data.TSId

关键字

winlog.event_data.TargetDomainName

关键字

winlog.event_data.TargetInfo

关键字

winlog.event_data.TargetLogonGuid

关键字

winlog.event_data.TargetLogonId

关键字

winlog.event_data.TargetServerName

关键字

winlog.event_data.TargetUserName

关键字

winlog.event_data.TargetUserSid

关键字

winlog.event_data.TerminalSessionId

关键字

winlog.event_data.TokenElevationType

关键字

winlog.event_data.TransmittedServices

关键字

winlog.event_data.UserSid

关键字

winlog.event_data.Version

关键字

winlog.event_data.Workstation

关键字

winlog.event_data.param1

关键字

winlog.event_data.param2

关键字

winlog.event_data.param3

关键字

winlog.event_data.param4

关键字

winlog.event_data.param5

关键字

winlog.event_data.param6

关键字

winlog.event_data.param7

关键字

winlog.event_data.param8

关键字

winlog.event_id

事件标识符。该值特定于事件的来源。

关键字

winlog.keywords

关键字用于对事件进行分类。

关键字

winlog.level

分配给事件的级别，例如信息、警告或严重。

关键字

winlog.opcode

事件中定义的操作码。任务和操作码通常用于标识应用程序中记录事件的位置。

关键字

winlog.process.pid

客户端服务器运行时进程的 process_id。

long

winlog.process.thread.id

long

winlog.provider_guid

全局唯一标识符，用于标识记录事件的提供程序。

关键字

winlog.provider_name

事件日志记录的来源（记录日志的应用程序或服务）。

关键字

winlog.record_id

事件日志记录的记录 ID。写入事件日志的第一条记录的记录号为 1，其他记录按顺序编号。如果记录号达到最大值（对于事件日志 API 为 2³²，对于 Windows 事件日志 API 为 2⁶⁴），则下一个记录号将为 0。

关键字

winlog.related_activity_id

全局唯一标识符，用于标识控制转移到的活动。然后，相关事件将此标识符作为其 activity_id 标识符。

关键字

winlog.task

事件中定义的任务。任务和操作码通常用于标识应用程序中记录事件的位置。事件日志 API（在 Windows Vista 之前的操作系统上）使用的类别将写入此字段。

关键字

winlog.time_created

创建事件的时间。

日期

winlog.user.domain

与此事件关联的帐户所属的域。

关键字

winlog.user.identifier

与此事件关联的帐户的 Windows 安全标识符 (SID)。如果 Winlogbeat 无法将 SID 解析为名称，则将从事件中省略 user.name、user.domain 和 user.type 字段。如果您发现 Winlogbeat 未解析 SID，请查看日志以查找问题线索。

关键字

winlog.user.name

与此事件关联的用户的名称。

关键字

winlog.user.type

与此事件关联的帐户类型。

关键字

winlog.user_data

事件特定数据。此字段与 event_data 互斥。

对象

winlog.user_data.FileHash

关键字

winlog.user_data.FileHashLength

long

winlog.user_data.FilePath

关键字

winlog.user_data.FilePathLength

long

winlog.user_data.Fqbn

关键字

winlog.user_data.FqbnLength

long

winlog.user_data.FullFilePath

关键字

winlog.user_data.FullFilePathLength

long

winlog.user_data.PolicyName

关键字

winlog.user_data.PolicyNameLength

long

winlog.user_data.RuleId

关键字

winlog.user_data.RuleName

关键字

winlog.user_data.RuleNameLength

long

winlog.user_data.RuleSddl

关键字

winlog.user_data.RuleSddlLength

long

winlog.user_data.TargetLogonId

关键字

winlog.user_data.TargetProcessId

long

winlog.user_data.TargetUser

关键字

winlog.user_data.xml_name

关键字

winlog.version

事件定义的版本号。

long

@timestamp

事件发生的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

日期

cloud.account.id

云帐户或组织 ID，用于在多租户环境中标识不同的实体。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机、资源或服务所在的可用区。

关键字

cloud.image.id

云实例的镜像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

关键字

cloud.provider

云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机、资源或服务所在的区域。

关键字

container.id

唯一的容器 ID。

关键字

container.image.name

构建容器所依据的镜像的名称。

关键字

container.labels

镜像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

该字段可以包含任何有意义的用于表示数据来源的内容。示例包括 nginx.access、prometheus、endpoint 等。对于其他方面都符合但未设置数据集的数据流，我们使用值“generic”作为数据集值。event.dataset 应具有与 data_stream.dataset 相同的值。除了上面提到的 Elasticsearch 数据流命名标准之外，dataset 值还有其他限制：*不得包含 - *长度不得超过 100 个字符

常量关键字

data_stream.namespace

用户定义的命名空间。命名空间对于允许对数据进行分组非常有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在提供了这种最佳实践作为默认设置。许多用户将使用 default 填充此字段。如果没有使用值，则会回退到 default。除了上面提到的 Elasticsearch 索引命名标准之外，namespace 值还有其他限制：*不得包含 - *长度不得超过 100 个字符

常量关键字

data_stream.type

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。

常量关键字

dataset.name

数据集名称。

常量关键字

dataset.namespace

数据集命名空间。

常量关键字

dataset.type

数据集类型。

常量关键字

destination.user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

关键字

destination.user.id

用户的唯一标识符。

关键字

destination.user.name

用户的简称或登录名。

关键字

destination.user.name.text

destination.user.name 的多字段。

仅匹配文本

ecs.version

此事件符合的 ECS 版本。ecs.version 是必填字段，并且必须存在于所有事件中。当跨多个索引进行查询时（这些索引可能符合略有不同的 ECS 版本），此字段允许集成调整为事件的模式版本。

关键字

error.code

描述错误的错误代码。

关键字

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例为 group-add、process-started、file-created。该值通常由实现者定义。

关键字

event.category

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的第二级。event.category 表示 ECS 类别的“大桶”。例如，筛选 event.category:process 将产生与进程活动相关的所有事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。

关键字

event.code

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确识别消息，而不管消息语言或随时间调整的措辞如何。一个例子是 Windows 事件 ID。

关键字

event.created

event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。此差异可用于计算源生成事件的时间与您的代理首次处理事件的时间之间的延迟。这可用于监视您的代理或管道是否能够跟上您的事件源。如果两个时间戳相同，则应使用 @timestamp。

日期

event.dataset

数据集的名称。如果某个事件源发布多种类型的日志或事件（例如，访问日志、错误日志），则使用数据集来指定事件的来源。建议（但不是必须）数据集名称以模块名称开头，后跟一个点，然后是数据集名称。

常量关键字

event.ingested

事件到达中心数据存储时的时间戳。这与 @timestamp 不同，后者是事件最初发生的时间。它也与 event.created 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳的顺序应如下所示：@timestamp < event.created < event.ingested。

日期

event.kind

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的最高级别。event.kind 提供有关事件包含的信息类型的高级信息，而无需具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制，也可能有助于了解数据是否以固定的间隔传入。

关键字

event.module

此数据来自的模块的名称。如果您的监控代理支持使用模块或插件来处理给定来源的事件（例如，Apache 日志），则 event.module 应包含此模块的名称。

常量关键字

event.outcome

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的最低级别。event.outcome 只是表示从产生事件的实体的角度来看，事件是成功还是失败。请注意，当单个事务在多个事件中描述时，每个事件可能会根据其角度填充不同的 event.outcome 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能捕获事件生产者角度的总体成功或失败的值。此外，请注意并非所有事件都会有相关的结果。例如，此字段通常不会为指标事件、event.type:info 的事件或任何结果没有逻辑意义的事件填充。

关键字

event.provider

事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd），也可以是操作系统子系统（内核、Microsoft-Windows-Security-Auditing）。

关键字

event.sequence

事件的序列号。序列号是一些事件源发布的值，用于使事件的确切排序明确，而与时间戳的精度无关。

long

event.type

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的第三级。event.type 表示一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许正确分类属于多种事件类型的某些事件。

关键字

file.directory

文件所在的目录。应包括驱动器盘符（如果适用）。

关键字

file.extension

文件扩展名，不包括前导点。请注意，当文件名有多个扩展名 (example.tar.gz) 时，只应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

关键字

file.hash.sha256

SHA256 哈希值。

关键字

file.name

文件名，包括扩展名，不包含目录。

关键字

file.path

文件的完整路径，包括文件名。应包括驱动器盘符（如果适用）。

关键字

file.path.text

file.path 的多字段。

仅匹配文本

file.pe.file_version

在编译时提供的文件的内部版本。

关键字

file.pe.original_file_name

在编译时提供的文件的内部名称。

关键字

file.pe.product

在编译时提供的文件的内部产品名称。

关键字

file.x509.subject.common_name

主题的常用名称 (CN) 列表。

关键字

file.x509.subject.country

国家/地区 (C) 代码列表

关键字

file.x509.subject.locality

地点名称列表 (L)

关键字

file.x509.subject.organization

主题的组织 (O) 列表。

关键字

file.x509.subject.state_or_province

州或省名称列表 (ST、S 或 P)

关键字

host.architecture

操作系统架构。

关键字

host.containerized

主机是否为容器。

boolean

host.domain

主机所属的域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的 hostname。它通常包含主机上的 hostname 命令返回的内容。

关键字

host.id

唯一的主机 ID。由于主机名并非始终唯一，因此请使用在您的环境中具有意义的值。例如：当前 beat.name 的用法。

关键字

host.ip

主机 IP 地址。

ip

host.mac

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。

关键字

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号（如果有）。

关键字

host.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

关键字

host.os.kernel

操作系统的内核版本（原始字符串）。

关键字

host.os.name

操作系统名称，不包含版本。

关键字

host.os.name.text

host.os.name 的多字段。

仅匹配文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

关键字

host.os.type

使用 os.type 字段将操作系统分类为广泛的商业系列之一。如果您处理的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。

关键字

host.os.version

操作系统版本（原始字符串）。

关键字

host.type

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果虚拟机，这可以是容器，例如，或您的环境中其他有意义的信息。

关键字

input.type

Filebeat 输入类型。

关键字

log.level

日志事件的原始日志级别。如果事件的来源提供日志级别或文本严重性，则这是放入 log.level 中的内容。如果您的来源未指定，您可以将事件传输的严重性放在这里（例如 Syslog 严重性）。一些示例包括 warn、err、i、informational。

关键字

message

对于日志事件，message 字段包含日志消息，经过优化可在日志查看器中查看。对于没有原始消息字段的结构化日志，可以连接其他字段以形成事件的人工可读摘要。如果存在多条消息，则可以将它们合并为一条消息。

仅匹配文本

process.args

进程参数数组，从可执行文件的绝对路径开始。可能会过滤以保护敏感信息。

关键字

process.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析非常有用。更多参数可能表示可疑活动。

long

process.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。可能会过滤某些参数以保护敏感信息。

wildcard

process.command_line.text

process.command_line 的多字段。

仅匹配文本

process.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可以使用的一些示例是进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构建全局唯一标识符是一种常用做法，可缓解 PID 重用，并随着时间的推移跨多个受监控主机识别特定进程。

关键字

process.executable

进程可执行文件的绝对路径。

关键字

process.executable.text

process.executable 的多字段。

仅匹配文本

process.name

进程名称。有时称为程序名称或类似名称。

关键字

process.name.text

process.name 的多字段。

仅匹配文本

process.pid

进程 ID。

long

process.title

进程标题。proctitle，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

关键字

process.title.text

process.title 的多字段。

仅匹配文本

related.hash

您的事件中看到的所有哈希值。填充此字段，然后使用它搜索哈希值可以帮助您在不确定哈希算法是什么（因此要搜索哪个键名）的情况下。

关键字

related.hosts

您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。

关键字

related.ip

您的事件中看到的所有 IP。

ip

related.user

事件中看到的所有用户名或其他用户标识符。

关键字

source.user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

关键字

source.user.id

用户的唯一标识符。

关键字

source.user.name

用户的简称或登录名。

关键字

source.user.name.text

source.user.name 的多字段。

仅匹配文本

tags

用于标记每个事件的关键字列表。

关键字

user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

关键字

user.id

用户的唯一标识符。

关键字

user.name

用户的简称或登录名。

关键字

user.name.text

user.name 的多字段。

仅匹配文本

winlog.activity_id

一个全局唯一标识符，用于标识当前活动。使用此标识符发布的事件是同一活动的一部分。

关键字

winlog.api

用于读取记录的事件日志 API 类型。可能的值为 Windows 事件日志 API 的“wineventlog”或事件日志记录 API 的“eventlogging”。事件日志记录 API 专为 Windows Server 2003 或 Windows 2000 操作系统设计。在 Windows Vista 中，事件日志记录基础结构经过重新设计。在 Windows Vista 或更高版本的操作系统上，使用 Windows 事件日志 API。Winlogbeat 会自动检测使用哪个 API 来读取事件日志。

关键字

winlog.channel

从中读取此记录的通道的名称。此值是配置中 event_logs 集合中的名称之一。

关键字

winlog.computer_name

生成记录的计算机的名称。使用 Windows 事件转发时，此名称可能与 agent.hostname 不同。

关键字

winlog.event_data

事件特定数据。此字段与 user_data 互斥。如果您在 Windows Vista 之前的版本上捕获事件数据，则 event_data 中的参数将命名为 param1、param2 等，因为事件日志参数在早期版本的 Windows 中是未命名的。

对象

winlog.event_data.AuthenticationPackageName

关键字

winlog.event_data.Binary

关键字

winlog.event_data.BitlockerUserInputTime

关键字

winlog.event_data.BootMode

关键字

winlog.event_data.BootType

关键字

winlog.event_data.BuildVersion

关键字

winlog.event_data.Company

关键字

winlog.event_data.CorruptionActionState

关键字

winlog.event_data.CreationUtcTime

关键字

winlog.event_data.Description

关键字

winlog.event_data.Detail

关键字

winlog.event_data.DeviceName

关键字

winlog.event_data.DeviceNameLength

关键字

winlog.event_data.DeviceTime

关键字

winlog.event_data.DeviceVersionMajor

关键字

winlog.event_data.DeviceVersionMinor

关键字

winlog.event_data.DriveName

关键字

winlog.event_data.DriverName

关键字

winlog.event_data.DriverNameLength

关键字

winlog.event_data.DwordVal

关键字

winlog.event_data.EntryCount

关键字

winlog.event_data.ExtraInfo

关键字

winlog.event_data.FailureName

关键字

winlog.event_data.FailureNameLength

关键字

winlog.event_data.FileVersion

关键字

winlog.event_data.FinalStatus

关键字

winlog.event_data.Group

关键字

winlog.event_data.IdleImplementation

关键字

winlog.event_data.IdleStateCount

关键字

winlog.event_data.ImpersonationLevel

关键字

winlog.event_data.IntegrityLevel

关键字

winlog.event_data.IpAddress

关键字

winlog.event_data.IpPort

关键字

winlog.event_data.KeyLength

关键字

winlog.event_data.LastBootGood

关键字

winlog.event_data.LastShutdownGood

关键字

winlog.event_data.LmPackageName

关键字

winlog.event_data.LogonGuid

关键字

winlog.event_data.LogonId

关键字

winlog.event_data.LogonProcessName

关键字

winlog.event_data.LogonType

关键字

winlog.event_data.MajorVersion

关键字

winlog.event_data.MaximumPerformancePercent

关键字

winlog.event_data.MemberName

关键字

winlog.event_data.MemberSid

关键字

winlog.event_data.MinimumPerformancePercent

关键字

winlog.event_data.MinimumThrottlePercent

关键字

winlog.event_data.MinorVersion

关键字

winlog.event_data.NewProcessId

关键字

winlog.event_data.NewProcessName

关键字

winlog.event_data.NewSchemeGuid

关键字

winlog.event_data.NewTime

关键字

winlog.event_data.NominalFrequency

关键字

winlog.event_data.Number

关键字

winlog.event_data.OldSchemeGuid

关键字

winlog.event_data.OldTime

关键字

winlog.event_data.OriginalFileName

关键字

winlog.event_data.Path

关键字

winlog.event_data.PerformanceImplementation

关键字

winlog.event_data.PreviousCreationUtcTime

关键字

winlog.event_data.PreviousTime

关键字

winlog.event_data.PrivilegeList

关键字

winlog.event_data.ProcessId

关键字

winlog.event_data.ProcessName

关键字

winlog.event_data.ProcessPath

关键字

winlog.event_data.ProcessPid

关键字

winlog.event_data.Product

关键字

winlog.event_data.PuaCount

关键字

winlog.event_data.PuaPolicyId

关键字

winlog.event_data.QfeVersion

关键字

winlog.event_data.Reason

关键字

winlog.event_data.SchemaVersion

关键字

winlog.event_data.ScriptBlockText

关键字

winlog.event_data.ServiceName

关键字

winlog.event_data.ServiceVersion

关键字

winlog.event_data.ShutdownActionType

关键字

winlog.event_data.ShutdownEventCode

关键字

winlog.event_data.ShutdownReason

关键字

winlog.event_data.Signature

关键字

winlog.event_data.SignatureStatus

关键字

winlog.event_data.Signed

关键字

winlog.event_data.StartTime

关键字

winlog.event_data.State

关键字

winlog.event_data.Status

关键字

winlog.event_data.StopTime

关键字

winlog.event_data.SubjectDomainName

关键字

winlog.event_data.SubjectLogonId

关键字

winlog.event_data.SubjectUserName

关键字

winlog.event_data.SubjectUserSid

关键字

winlog.event_data.TSId

关键字

winlog.event_data.TargetDomainName

关键字

winlog.event_data.TargetInfo

关键字

winlog.event_data.TargetLogonGuid

关键字

winlog.event_data.TargetLogonId

关键字

winlog.event_data.TargetServerName

关键字

winlog.event_data.TargetUserName

关键字

winlog.event_data.TargetUserSid

关键字

winlog.event_data.TerminalSessionId

关键字

winlog.event_data.TokenElevationType

关键字

winlog.event_data.TransmittedServices

关键字

winlog.event_data.UserSid

关键字

winlog.event_data.Version

关键字

winlog.event_data.Workstation

关键字

winlog.event_data.param1

关键字

winlog.event_data.param2

关键字

winlog.event_data.param3

关键字

winlog.event_data.param4

关键字

winlog.event_data.param5

关键字

winlog.event_data.param6

关键字

winlog.event_data.param7

关键字

winlog.event_data.param8

关键字

winlog.event_id

事件标识符。该值特定于事件的来源。

关键字

winlog.keywords

关键字用于对事件进行分类。

关键字

winlog.level

分配给事件的级别，例如信息、警告或严重。

关键字

winlog.opcode

事件中定义的操作码。任务和操作码通常用于标识应用程序中记录事件的位置。

关键字

winlog.process.pid

客户端服务器运行时进程的 process_id。

long

winlog.process.thread.id

long

winlog.provider_guid

全局唯一标识符，用于标识记录事件的提供程序。

关键字

winlog.provider_name

事件日志记录的来源（记录日志的应用程序或服务）。

关键字

winlog.record_id

事件日志记录的记录 ID。写入事件日志的第一条记录的记录号为 1，其他记录按顺序编号。如果记录号达到最大值（对于事件日志 API 为 2³²，对于 Windows 事件日志 API 为 2⁶⁴），则下一个记录号将为 0。

关键字

winlog.related_activity_id

全局唯一标识符，用于标识控制转移到的活动。然后，相关事件将此标识符作为其 activity_id 标识符。

关键字

winlog.task

事件中定义的任务。任务和操作码通常用于标识应用程序中记录事件的位置。事件日志 API（在 Windows Vista 之前的操作系统上）使用的类别将写入此字段。

关键字

winlog.time_created

创建事件的时间。

日期

winlog.user.domain

与此事件关联的帐户所属的域。

关键字

winlog.user.identifier

与此事件关联的帐户的 Windows 安全标识符 (SID)。如果 Winlogbeat 无法将 SID 解析为名称，则将从事件中省略 user.name、user.domain 和 user.type 字段。如果您发现 Winlogbeat 未解析 SID，请查看日志以查找问题线索。

关键字

winlog.user.name

与此事件关联的用户的名称。

关键字

winlog.user.type

与此事件关联的帐户类型。

关键字

winlog.user_data

事件特定数据。此字段与 event_data 互斥。

对象

winlog.user_data.FileHash

关键字

winlog.user_data.FileHashLength

long

winlog.user_data.FilePath

关键字

winlog.user_data.FilePathLength

long

winlog.user_data.Fqbn

关键字

winlog.user_data.FqbnLength

long

winlog.user_data.FullFilePath

关键字

winlog.user_data.FullFilePathLength

long

winlog.user_data.Package

关键字

winlog.user_data.PackageLength

关键字

winlog.user_data.PolicyName

关键字

winlog.user_data.PolicyNameLength

long

winlog.user_data.RuleId

关键字

winlog.user_data.RuleName

关键字

winlog.user_data.RuleNameLength

long

winlog.user_data.RuleSddl

关键字

winlog.user_data.RuleSddlLength

long

winlog.user_data.TargetLogonId

关键字

winlog.user_data.TargetProcessId

long

winlog.user_data.TargetUser

关键字

winlog.user_data.xml_name

关键字

winlog.version

事件定义的版本号。

long

@timestamp

事件发生的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

日期

cloud.account.id

云帐户或组织 ID，用于在多租户环境中标识不同的实体。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机、资源或服务所在的可用区。

关键字

cloud.image.id

云实例的镜像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

关键字

cloud.provider

云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机、资源或服务所在的区域。

关键字

container.id

唯一的容器 ID。

关键字

container.image.name

构建容器所依据的镜像的名称。

关键字

container.labels

镜像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

该字段可以包含任何有意义的用于表示数据来源的内容。示例包括 nginx.access、prometheus、endpoint 等。对于其他方面都符合但未设置数据集的数据流，我们使用值“generic”作为数据集值。event.dataset 应具有与 data_stream.dataset 相同的值。除了上面提到的 Elasticsearch 数据流命名标准之外，dataset 值还有其他限制：*不得包含 - *长度不得超过 100 个字符

常量关键字

data_stream.namespace

用户定义的命名空间。命名空间对于允许对数据进行分组非常有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在提供了这种最佳实践作为默认设置。许多用户将使用 default 填充此字段。如果没有使用值，则会回退到 default。除了上面提到的 Elasticsearch 索引命名标准之外，namespace 值还有其他限制：*不得包含 - *长度不得超过 100 个字符

常量关键字

data_stream.type

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。

常量关键字

dataset.name

数据集名称。

常量关键字

dataset.namespace

数据集命名空间。

常量关键字

dataset.type

数据集类型。

常量关键字

destination.user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

关键字

destination.user.id

用户的唯一标识符。

关键字

destination.user.name

用户的简称或登录名。

关键字

destination.user.name.text

destination.user.name 的多字段。

仅匹配文本

ecs.version

此事件符合的 ECS 版本。ecs.version 是必填字段，并且必须存在于所有事件中。当跨多个索引进行查询时（这些索引可能符合略有不同的 ECS 版本），此字段允许集成调整为事件的模式版本。

关键字

error.code

描述错误的错误代码。

关键字

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例为 group-add、process-started、file-created。该值通常由实现者定义。

关键字

event.category

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的第二级。event.category 表示 ECS 类别的“大桶”。例如，筛选 event.category:process 将产生与进程活动相关的所有事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。

关键字

event.code

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确识别消息，而不管消息语言或随时间调整的措辞如何。一个例子是 Windows 事件 ID。

关键字

event.created

event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。此差异可用于计算源生成事件的时间与您的代理首次处理事件的时间之间的延迟。这可用于监视您的代理或管道是否能够跟上您的事件源。如果两个时间戳相同，则应使用 @timestamp。

日期

event.dataset

数据集的名称。如果某个事件源发布多种类型的日志或事件（例如，访问日志、错误日志），则使用数据集来指定事件的来源。建议（但不是必须）数据集名称以模块名称开头，后跟一个点，然后是数据集名称。

常量关键字

event.ingested

事件到达中心数据存储时的时间戳。这与 @timestamp 不同，后者是事件最初发生的时间。它也与 event.created 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳的顺序应如下所示：@timestamp < event.created < event.ingested。

日期

event.kind

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的最高级别。event.kind 提供有关事件包含的信息类型的高级信息，而无需具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制，也可能有助于了解数据是否以固定的间隔传入。

关键字

event.module

此数据来自的模块的名称。如果您的监控代理支持使用模块或插件来处理给定来源的事件（例如，Apache 日志），则 event.module 应包含此模块的名称。

常量关键字

event.outcome

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的最低级别。event.outcome 只是表示从产生事件的实体的角度来看，事件是成功还是失败。请注意，当单个事务在多个事件中描述时，每个事件可能会根据其角度填充不同的 event.outcome 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能捕获事件生产者角度的总体成功或失败的值。此外，请注意并非所有事件都会有相关的结果。例如，此字段通常不会为指标事件、event.type:info 的事件或任何结果没有逻辑意义的事件填充。

关键字

event.provider

事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd），也可以是操作系统子系统（内核、Microsoft-Windows-Security-Auditing）。

关键字

event.sequence

事件的序列号。序列号是一些事件源发布的值，用于使事件的确切排序明确，而与时间戳的精度无关。

long

event.type

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的第三级。event.type 表示一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许正确分类属于多种事件类型的某些事件。

关键字

file.directory

文件所在的目录。应包括驱动器盘符（如果适用）。

关键字

file.extension

文件扩展名，不包括前导点。请注意，当文件名有多个扩展名 (example.tar.gz) 时，只应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

关键字

file.hash.sha256

SHA256 哈希值。

关键字

file.name

文件名，包括扩展名，不包含目录。

关键字

file.path

文件的完整路径，包括文件名。应包括驱动器盘符（如果适用）。

关键字

file.path.text

file.path 的多字段。

仅匹配文本

file.pe.file_version

在编译时提供的文件的内部版本。

关键字

file.pe.original_file_name

在编译时提供的文件的内部名称。

关键字

file.pe.product

在编译时提供的文件的内部产品名称。

关键字

file.x509.subject.common_name

主题的常用名称 (CN) 列表。

关键字

file.x509.subject.country

国家/地区 (C) 代码列表

关键字

file.x509.subject.locality

地点名称列表 (L)

关键字

file.x509.subject.organization

主题的组织 (O) 列表。

关键字

file.x509.subject.state_or_province

州或省名称列表 (ST、S 或 P)

关键字

host.architecture

操作系统架构。

关键字

host.containerized

主机是否为容器。

boolean

host.domain

主机所属的域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的 hostname。它通常包含主机上的 hostname 命令返回的内容。

关键字

host.id

唯一的主机 ID。由于主机名并非始终唯一，因此请使用在您的环境中具有意义的值。例如：当前 beat.name 的用法。

关键字

host.ip

主机 IP 地址。

ip

host.mac

主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）由两个[大写]十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。

关键字

host.os.build

操作系统构建信息。

关键字

host.os.codename

操作系统代号（如果有）。

关键字

host.os.family

操作系统系列（例如 redhat、debian、freebsd、windows）。

关键字

host.os.kernel

操作系统的内核版本（原始字符串）。

关键字

host.os.name

操作系统名称，不包含版本。

关键字

host.os.name.text

host.os.name 的多字段。

仅匹配文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

关键字

host.os.type

使用 os.type 字段将操作系统分类为广泛的商业系列之一。如果您处理的操作系统未列为预期值，则不应填充该字段。请通过向 ECS 提出问题来告知我们，以建议添加。

关键字

host.os.version

操作系统版本（原始字符串）。

关键字

host.type

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果虚拟机，这可以是容器，例如，或您的环境中其他有意义的信息。

关键字

input.type

Filebeat 输入类型。

关键字

log.level

日志事件的原始日志级别。如果事件的来源提供日志级别或文本严重性，则这是放入 log.level 中的内容。如果您的来源未指定，您可以将事件传输的严重性放在这里（例如 Syslog 严重性）。一些示例包括 warn、err、i、informational。

关键字

message

对于日志事件，message 字段包含日志消息，经过优化可在日志查看器中查看。对于没有原始消息字段的结构化日志，可以连接其他字段以形成事件的人工可读摘要。如果存在多条消息，则可以将它们合并为一条消息。

仅匹配文本

process.args

进程参数数组，从可执行文件的绝对路径开始。可能会过滤以保护敏感信息。

关键字

process.args_count

process.args 数组的长度。此字段对于查询或对启动进程时提供的参数数量执行存储桶分析非常有用。更多参数可能表示可疑活动。

long

process.command_line

启动进程的完整命令行，包括可执行文件的绝对路径和所有参数。可能会过滤某些参数以保护敏感信息。

wildcard

process.command_line.text

process.command_line 的多字段。

仅匹配文本

process.entity_id

进程的唯一标识符。此标识符的实现由数据源指定，但此处可以使用的一些示例是进程生成的 UUID、Sysmon 进程 GUID 或进程某些唯一标识组件的哈希值。构建全局唯一标识符是一种常用做法，可缓解 PID 重用，并随着时间的推移跨多个受监控主机识别特定进程。

关键字

process.executable

进程可执行文件的绝对路径。

关键字

process.executable.text

process.executable 的多字段。

仅匹配文本

process.name

进程名称。有时称为程序名称或类似名称。

关键字

process.name.text

process.name 的多字段。

仅匹配文本

process.pid

进程 ID。

long

process.title

进程标题。proctitle，有时与进程名称相同。也可能不同：例如，浏览器将其标题设置为当前打开的网页。

关键字

process.title.text

process.title 的多字段。

仅匹配文本

related.hash

您的事件中看到的所有哈希值。填充此字段，然后使用它搜索哈希值可以帮助您在不确定哈希算法是什么（因此要搜索哪个键名）的情况下。

关键字

related.hosts

您的事件中看到的所有主机名或其他主机标识符。示例标识符包括 FQDN、域名、工作站名称或别名。

关键字

related.ip

您的事件中看到的所有 IP。

ip

related.user

事件中看到的所有用户名或其他用户标识符。

关键字

source.user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

关键字

source.user.id

用户的唯一标识符。

关键字

source.user.name

用户的简称或登录名。

关键字

source.user.name.text

source.user.name 的多字段。

仅匹配文本

tags

用于标记每个事件的关键字列表。

关键字

user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

关键字

user.id

用户的唯一标识符。

关键字

user.name

用户的简称或登录名。

关键字

user.name.text

user.name 的多字段。

仅匹配文本

winlog.activity_id

一个全局唯一标识符，用于标识当前活动。使用此标识符发布的事件是同一活动的一部分。

关键字

winlog.api

用于读取记录的事件日志 API 类型。可能的值为 Windows 事件日志 API 的“wineventlog”或事件日志记录 API 的“eventlogging”。事件日志记录 API 专为 Windows Server 2003 或 Windows 2000 操作系统设计。在 Windows Vista 中，事件日志记录基础结构经过重新设计。在 Windows Vista 或更高版本的操作系统上，使用 Windows 事件日志 API。Winlogbeat 会自动检测使用哪个 API 来读取事件日志。

关键字

winlog.channel

从中读取此记录的通道的名称。此值是配置中 event_logs 集合中的名称之一。

关键字

winlog.computer_name

生成记录的计算机的名称。使用 Windows 事件转发时，此名称可能与 agent.hostname 不同。

关键字

winlog.event_data

事件特定数据。此字段与 user_data 互斥。如果您在 Windows Vista 之前的版本上捕获事件数据，则 event_data 中的参数将命名为 param1、param2 等，因为事件日志参数在早期版本的 Windows 中是未命名的。

对象

winlog.event_data.AuthenticationPackageName

关键字

winlog.event_data.Binary

关键字

winlog.event_data.BitlockerUserInputTime

关键字

winlog.event_data.BootMode

关键字

winlog.event_data.BootType

关键字

winlog.event_data.BuildVersion

关键字

winlog.event_data.Company

关键字

winlog.event_data.CorruptionActionState

关键字

winlog.event_data.CreationUtcTime

关键字

winlog.event_data.Description

关键字

winlog.event_data.Detail

关键字

winlog.event_data.DeviceName

关键字

winlog.event_data.DeviceNameLength

关键字

winlog.event_data.DeviceTime

关键字

winlog.event_data.DeviceVersionMajor

关键字

winlog.event_data.DeviceVersionMinor

关键字

winlog.event_data.DriveName

关键字

winlog.event_data.DriverName

关键字

winlog.event_data.DriverNameLength

关键字

winlog.event_data.DwordVal

关键字

winlog.event_data.EntryCount

关键字

winlog.event_data.ExtraInfo

关键字

winlog.event_data.FailureName

关键字

winlog.event_data.FailureNameLength

关键字

winlog.event_data.FileVersion

关键字

winlog.event_data.FinalStatus

关键字

winlog.event_data.Group

关键字

winlog.event_data.IdleImplementation

关键字

winlog.event_data.IdleStateCount

关键字

winlog.event_data.ImpersonationLevel

关键字

winlog.event_data.IntegrityLevel

关键字

winlog.event_data.IpAddress

关键字

winlog.event_data.IpPort

关键字

winlog.event_data.KeyLength

关键字

winlog.event_data.LastBootGood

关键字

winlog.event_data.LastShutdownGood

关键字

winlog.event_data.LmPackageName

关键字

winlog.event_data.LogonGuid

关键字

winlog.event_data.LogonId

关键字

winlog.event_data.LogonProcessName

关键字

winlog.event_data.LogonType

关键字

winlog.event_data.MajorVersion

关键字

winlog.event_data.MaximumPerformancePercent

关键字

winlog.event_data.MemberName

关键字

winlog.event_data.MemberSid

关键字

winlog.event_data.MinimumPerformancePercent

关键字

winlog.event_data.MinimumThrottlePercent

关键字

winlog.event_data.MinorVersion

关键字

winlog.event_data.NewProcessId

关键字

winlog.event_data.NewProcessName

关键字

winlog.event_data.NewSchemeGuid

关键字

winlog.event_data.NewTime

关键字

winlog.event_data.NominalFrequency

关键字

winlog.event_data.Number

关键字

winlog.event_data.OldSchemeGuid

关键字

winlog.event_data.OldTime

关键字

winlog.event_data.OriginalFileName

关键字

winlog.event_data.Path

关键字

winlog.event_data.PerformanceImplementation

关键字

winlog.event_data.PreviousCreationUtcTime

关键字

winlog.event_data.PreviousTime

关键字

winlog.event_data.PrivilegeList

关键字

winlog.event_data.ProcessId

关键字

winlog.event_data.ProcessName

关键字

winlog.event_data.ProcessPath

关键字

winlog.event_data.ProcessPid

关键字

winlog.event_data.Product

关键字

winlog.event_data.PuaCount

关键字

winlog.event_data.PuaPolicyId

关键字

winlog.event_data.QfeVersion

关键字

winlog.event_data.Reason

关键字

winlog.event_data.SchemaVersion

关键字

winlog.event_data.ScriptBlockText

关键字

winlog.event_data.ServiceName

关键字

winlog.event_data.ServiceVersion

关键字

winlog.event_data.ShutdownActionType

关键字

winlog.event_data.ShutdownEventCode

关键字

winlog.event_data.ShutdownReason

关键字

winlog.event_data.Signature

关键字

winlog.event_data.SignatureStatus

关键字

winlog.event_data.Signed

关键字

winlog.event_data.StartTime

关键字

winlog.event_data.State

关键字

winlog.event_data.Status

关键字

winlog.event_data.StopTime

关键字

winlog.event_data.SubjectDomainName

关键字

winlog.event_data.SubjectLogonId

关键字

winlog.event_data.SubjectUserName

关键字

winlog.event_data.SubjectUserSid

关键字

winlog.event_data.TSId

关键字

winlog.event_data.TargetDomainName

关键字

winlog.event_data.TargetInfo

关键字

winlog.event_data.TargetLogonGuid

关键字

winlog.event_data.TargetLogonId

关键字

winlog.event_data.TargetServerName

关键字

winlog.event_data.TargetUserName

关键字

winlog.event_data.TargetUserSid

关键字

winlog.event_data.TerminalSessionId

关键字

winlog.event_data.TokenElevationType

关键字

winlog.event_data.TransmittedServices

关键字

winlog.event_data.UserSid

关键字

winlog.event_data.Version

关键字

winlog.event_data.Workstation

关键字

winlog.event_data.param1

关键字

winlog.event_data.param2

关键字

winlog.event_data.param3

关键字

winlog.event_data.param4

关键字

winlog.event_data.param5

关键字

winlog.event_data.param6

关键字

winlog.event_data.param7

关键字

winlog.event_data.param8

关键字

winlog.event_id

事件标识符。该值特定于事件的来源。

关键字

winlog.keywords

关键字用于对事件进行分类。

关键字

winlog.level

分配给事件的级别，例如信息、警告或严重。

关键字

winlog.opcode

事件中定义的操作码。任务和操作码通常用于标识应用程序中记录事件的位置。

关键字

winlog.process.pid

客户端服务器运行时进程的 process_id。

long

winlog.process.thread.id

long

winlog.provider_guid

全局唯一标识符，用于标识记录事件的提供程序。

关键字

winlog.provider_name

事件日志记录的来源（记录日志的应用程序或服务）。

关键字

winlog.record_id

事件日志记录的记录 ID。写入事件日志的第一条记录的记录号为 1，其他记录按顺序编号。如果记录号达到最大值（对于事件日志 API 为 2³²，对于 Windows 事件日志 API 为 2⁶⁴），则下一个记录号将为 0。

关键字

winlog.related_activity_id

全局唯一标识符，用于标识控制转移到的活动。然后，相关事件将此标识符作为其 activity_id 标识符。

关键字

winlog.task

事件中定义的任务。任务和操作码通常用于标识应用程序中记录事件的位置。事件日志 API（在 Windows Vista 之前的操作系统上）使用的类别将写入此字段。

关键字

winlog.time_created

创建事件的时间。

日期

winlog.user.domain

与此事件关联的帐户所属的域。

关键字

winlog.user.identifier

与此事件关联的帐户的 Windows 安全标识符 (SID)。如果 Winlogbeat 无法将 SID 解析为名称，则将从事件中省略 user.name、user.domain 和 user.type 字段。如果您发现 Winlogbeat 未解析 SID，请查看日志以查找问题线索。

关键字

winlog.user.name

与此事件关联的用户的名称。

关键字

winlog.user.type

与此事件关联的帐户类型。

关键字

winlog.user_data

事件特定数据。此字段与 event_data 互斥。

对象

winlog.user_data.FileHash

关键字

winlog.user_data.FileHashLength

long

winlog.user_data.FilePath

关键字

winlog.user_data.FilePathLength

long

winlog.user_data.Fqbn

关键字

winlog.user_data.FqbnLength

long

winlog.user_data.FullFilePath

关键字

winlog.user_data.FullFilePathLength

long

winlog.user_data.Package

关键字

winlog.user_data.PackageLength

关键字

winlog.user_data.PolicyName

关键字

winlog.user_data.PolicyNameLength

long

winlog.user_data.RuleId

关键字

winlog.user_data.RuleName

关键字

winlog.user_data.RuleNameLength

long

winlog.user_data.RuleSddl

关键字

winlog.user_data.RuleSddlLength

long

winlog.user_data.TargetLogonId

关键字

winlog.user_data.TargetProcessId

long

winlog.user_data.TargetUser

关键字

winlog.user_data.xml_name

关键字

winlog.version

事件定义的版本号。

long

@timestamp

事件发生的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。

日期

cloud.account.id

云帐户或组织 ID，用于在多租户环境中标识不同的实体。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机、资源或服务所在的可用区。

关键字

cloud.image.id

云实例的镜像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。

关键字

cloud.provider

云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机、资源或服务所在的区域。

关键字

container.id

唯一的容器 ID。

关键字

container.image.name

构建容器所依据的镜像的名称。

关键字

container.labels

镜像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

该字段可以包含任何有意义的用于表示数据来源的内容。示例包括 nginx.access、prometheus、endpoint 等。对于其他方面都符合但未设置数据集的数据流，我们使用值“generic”作为数据集值。event.dataset 应具有与 data_stream.dataset 相同的值。除了上面提到的 Elasticsearch 数据流命名标准之外，dataset 值还有其他限制：*不得包含 - *长度不得超过 100 个字符

常量关键字

data_stream.namespace

用户定义的命名空间。命名空间对于允许对数据进行分组非常有用。许多用户已经以这种方式组织他们的索引，而数据流命名方案现在提供了这种最佳实践作为默认设置。许多用户将使用 default 填充此字段。如果没有使用值，则会回退到 default。除了上面提到的 Elasticsearch 索引命名标准之外，namespace 值还有其他限制：*不得包含 - *长度不得超过 100 个字符

常量关键字

data_stream.type

数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。

常量关键字

dataset.name

数据集名称。

常量关键字

dataset.namespace

数据集命名空间。

常量关键字

dataset.type

数据集类型。

常量关键字

destination.user.domain

用户所属的目录的名称。例如，LDAP 或 Active Directory 域名。

关键字

destination.user.id

用户的唯一标识符。

关键字

destination.user.name

用户的简称或登录名。

关键字

destination.user.name.text

destination.user.name 的多字段。

仅匹配文本

ecs.version

此事件符合的 ECS 版本。ecs.version 是必填字段，并且必须存在于所有事件中。当跨多个索引进行查询时（这些索引可能符合略有不同的 ECS 版本），此字段允许集成调整为事件的模式版本。

关键字

error.code

描述错误的错误代码。

关键字

event.action

事件捕获的操作。这描述了事件中的信息。它比 event.category 更具体。示例为 group-add、process-started、file-created。该值通常由实现者定义。

关键字

event.category

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的第二级。event.category 表示 ECS 类别的“大桶”。例如，筛选 event.category:process 将产生与进程活动相关的所有事件。此字段与用作子类别的 event.type 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。

关键字

event.code

此事件的标识代码（如果存在）。某些事件源使用事件代码来明确识别消息，而不管消息语言或随时间调整的措辞如何。一个例子是 Windows 事件 ID。

关键字

event.created

event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同，因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。此差异可用于计算源生成事件的时间与您的代理首次处理事件的时间之间的延迟。这可用于监视您的代理或管道是否能够跟上您的事件源。如果两个时间戳相同，则应使用 @timestamp。

日期

event.dataset

数据集的名称。如果某个事件源发布多种类型的日志或事件（例如，访问日志、错误日志），则使用数据集来指定事件的来源。建议（但不是必须）数据集名称以模块名称开头，后跟一个点，然后是数据集名称。

常量关键字

event.ingested

事件到达中心数据存储时的时间戳。这与 @timestamp 不同，后者是事件最初发生的时间。它也与 event.created 不同，后者旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳的顺序应如下所示：@timestamp < event.created < event.ingested。

日期

event.kind

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的最高级别。event.kind 提供有关事件包含的信息类型的高级信息，而无需具体说明事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制，也可能有助于了解数据是否以固定的间隔传入。

关键字

event.module

此数据来自的模块的名称。如果您的监控代理支持使用模块或插件来处理给定来源的事件（例如，Apache 日志），则 event.module 应包含此模块的名称。

常量关键字

event.outcome

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的最低级别。event.outcome 只是表示从产生事件的实体的角度来看，事件是成功还是失败。请注意，当单个事务在多个事件中描述时，每个事件可能会根据其角度填充不同的 event.outcome 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能捕获事件生产者角度的总体成功或失败的值。此外，请注意并非所有事件都会有相关的结果。例如，此字段通常不会为指标事件、event.type:info 的事件或任何结果没有逻辑意义的事件填充。

关键字

event.provider

事件的来源。诸如 Syslog 或 Windows 事件日志之类的事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd），也可以是操作系统子系统（内核、Microsoft-Windows-Security-Auditing）。

关键字

event.sequence

事件的序列号。序列号是一些事件源发布的值，用于使事件的确切排序明确，而与时间戳的精度无关。

long

event.type

这是四个 ECS 分类字段之一，指示 ECS 类别层次结构的第三级。event.type 表示一个分类“子桶”，当与 event.category 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许正确分类属于多种事件类型的某些事件。

关键字

file.directory

文件所在的目录。应包括驱动器盘符（如果适用）。

关键字

file.extension

文件扩展名，不包括前导点。请注意，当文件名有多个扩展名 (example.tar.gz) 时，只应捕获最后一个扩展名（“gz”，而不是“tar.gz”）。

关键字

file.name

文件名，包括扩展名，不包含目录。

关键字

file.path

文件的完整路径，包括文件名。应包括驱动器盘符（如果适用）。

关键字

file.path.text

file.path 的多字段。

仅匹配文本

host.architecture

操作系统架构。