Zeek 集成
编辑Zeek 集成
编辑这是一个用于 Zeek 的集成,之前名为 Bro。Zeek 是一种被动的开源网络流量分析器。此集成会提取 Zeek 生成的关于其分析的网络流量的日志。
Zeek 日志必须以 JSON 格式输出。通常通过将 json-logs 策略附加到您的 local.zeek 文件中来实现。将此行添加到您的 local.zeek 中。
@load policy/tuning/json-logs.zeek
兼容性
编辑此模块是针对 Zeek 2.6.1 开发的,但预计可与其他版本的 Zeek 配合使用。
Zeek 需要类 Unix 平台,目前支持 Linux、FreeBSD 和 Mac OS X。
日志
编辑capture_loss
编辑capture_loss 数据集收集 Zeek 的 capture_loss.log 文件,该文件包含丢包率数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.capture_loss.acks |
在之前的测量间隔中看到的 ACK 总数。 |
integer |
zeek.capture_loss.gaps |
在之前的测量间隔中错过的 ACK 数量。 |
integer |
zeek.capture_loss.peer |
如果多个 Bro 实例登录到同一主机,则此值会使用其各自的名称来区分每个对等方。 |
keyword |
zeek.capture_loss.percent_lost |
看到的数据未被确认的 ACK 百分比。 |
double |
zeek.capture_loss.ts_delta |
此测量与上次测量之间的时间延迟。 |
integer |
zeek.session_id |
会话的唯一标识符 |
keyword |
connection
编辑connection 数据集收集 Zeek 的 conn.log 文件,该文件包含 TCP/UDP/ICMP 连接数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.bytes |
从目标发送到源的字节数。 |
long |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.mac |
目标的 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
keyword |
destination.packets |
从目标发送到源的数据包。 |
long |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.duration |
事件的持续时间,以纳秒为单位。如果知道 |
long |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.bytes |
在两个方向上传输的总字节数。如果已知 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.direction |
网络流量的方向。当从基于主机的监视上下文中映射事件时,请从主机的角度使用值“ingress”(入口)或“egress”(出口)填充此字段。当从基于网络或外围的监视上下文中映射事件时,请从网络外围的角度使用值“inbound”(入站)、“outbound”(出站)、“internal”(内部)或“external”(外部)填充此字段。请注意,“internal” 不会跨越外围边界,而是指外围内两台主机之间的通信。另请注意,“external” 是指外围外的两台主机之间的流量。例如,这对于 ISP 或 VPN 服务提供商可能很有用。 |
keyword |
network.packets |
在两个方向上传输的总数据包数。如果已知 |
long |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.bytes |
从源发送到目标的字节数。 |
long |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
keyword |
source.packets |
从源发送到目标的数据包。 |
long |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.connection.history |
指示会话历史记录的标志。 |
keyword |
zeek.connection.icmp.code |
ICMP 消息代码。 |
integer |
zeek.connection.icmp.type |
ICMP 消息类型。 |
integer |
zeek.connection.inner_vlan |
VLAN 标识符。 |
integer |
zeek.connection.local_orig |
指示会话是否在本地发起。 |
boolean |
zeek.connection.local_resp |
指示会话是否在本地响应。 |
boolean |
zeek.connection.missed_bytes |
会话的丢失字节数。 |
long |
zeek.connection.state |
指示会话状态的代码。 |
keyword |
zeek.connection.state_message |
会话的状态。 |
keyword |
zeek.connection.vlan |
VLAN 标识符。 |
integer |
zeek.session_id |
会话的唯一标识符 |
keyword |
dce_rpc
编辑dce_rpc 数据集收集 Zeek dce_rpc.log 文件,其中包含分布式计算环境/RPC 数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.bytes |
从目标发送到源的字节数。 |
long |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这将描述事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.bytes |
从源发送到目标的字节数。 |
long |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.dce_rpc.endpoint |
从 uuid 查找的终结点名称。 |
keyword |
zeek.dce_rpc.named_pipe |
远程管道名称。 |
keyword |
zeek.dce_rpc.operation |
调用中看到的操作。 |
keyword |
zeek.dce_rpc.rtt |
从请求到响应的往返时间。如果未看到请求或响应,则此值将为空。 |
integer |
zeek.session_id |
会话的唯一标识符 |
keyword |
dhcp
编辑dhcp 数据集收集 Zeek dhcp.log 文件,其中包含 DHCP 租用数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
client.address |
一些事件客户端地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.name |
操作员为其网络部分指定的名称。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
server.address |
一些事件服务器地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.dhcp.address.assigned |
服务器分配的 IP 地址。 |
ip |
zeek.dhcp.address.client |
客户端的 IP 地址。如果事务只是客户端发送 INFORM 消息,则不会交换租用信息,因此了解谁发送了消息会有所帮助。在此字段中获取地址需要客户端至少使用非广播地址发起一条 DHCP 消息。 |
ip |
zeek.dhcp.address.mac |
客户端的硬件地址。 |
keyword |
zeek.dhcp.address.requested |
客户端请求的 IP 地址。 |
ip |
zeek.dhcp.address.server |
DHCP 服务器的 IP 地址。 |
ip |
zeek.dhcp.client_fqdn |
客户端在客户端 FQDN 选项 81 中给出的 FQDN。 |
keyword |
zeek.dhcp.domain |
服务器在选项 15 中给出的域。 |
keyword |
zeek.dhcp.duration |
DHCP 会话的持续时间,表示从第一条消息到最后一条消息的时间,以秒为单位。 |
double |
zeek.dhcp.hostname |
客户端在主机名选项 12 中给出的名称。 |
keyword |
zeek.dhcp.id.circuit |
(如果加载了 policy/protocols/dhcp/sub-opts.bro,则存在)由终止交换或永久电路的 DHCP 中继代理添加。它对收到 DHCP 客户端到服务器数据包的电路的代理本地标识符进行编码。通常,它应表示路由器或交换机接口编号。 |
keyword |
zeek.dhcp.id.remote_agent |
(如果加载了 policy/protocols/dhcp/sub-opts.bro,则存在)由中继代理添加的全局唯一标识符,用于标识电路的远程主机端。 |
keyword |
zeek.dhcp.id.subscriber |
(如果加载了 policy/protocols/dhcp/sub-opts.bro,则存在)订阅者 ID 是独立于物理网络配置的值,以便客户的 DHCP 配置可以正确地提供给他们,无论他们实际连接到哪里。 |
keyword |
zeek.dhcp.lease_time |
IP 地址租用间隔,以秒为单位。 |
integer |
zeek.dhcp.msg.client |
通常伴随 DHCP_DECLINE 的消息,因此客户端可以告知服务器它拒绝地址的原因。 |
keyword |
zeek.dhcp.msg.origin |
(如果加载了 policy/protocols/dhcp/msg-orig.bro,则存在)来自 msg.types 字段的每条消息的来源地址。 |
ip |
zeek.dhcp.msg.server |
通常伴随 DHCP_NAK 的消息,以告知客户端它拒绝请求的原因。 |
keyword |
zeek.dhcp.msg.types |
在此交换中看到的 DHCP 消息类型列表。 |
keyword |
zeek.dhcp.software.client |
(如果加载了 policy/protocols/dhcp/software.bro,则存在)客户端在 vendor_class 选项中报告的软件。 |
keyword |
zeek.dhcp.software.server |
(如果加载了 policy/protocols/dhcp/software.bro,则存在)客户端在 vendor_class 选项中报告的软件。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
dnp3
编辑dnp3 数据集收集 Zeek dnp3.log 文件,其中包含 DNP3 请求和回复。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.bytes |
从目标发送到源的字节数。 |
long |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这将描述事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.bytes |
从源发送到目标的字节数。 |
long |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.dnp3.function.reply |
回复中函数消息的名称。 |
keyword |
zeek.dnp3.function.request |
请求中函数消息的名称。 |
keyword |
zeek.dnp3.id |
响应的内部指示编号。 |
integer |
zeek.session_id |
会话的唯一标识符 |
keyword |
dns
编辑dns 数据集收集 Zeek dns.log 文件,其中包含 DNS 活动。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
dns.answers |
一个数组,其中包含服务器返回的每个应答部分的 object。这些 object 中应存在的主要键由 ECS 定义。包含更多信息的记录可能包含比 ECS 定义的更多的键。并非所有 DNS 数据源都提供有关 DNS 应答的所有详细信息。至少,应答 object 必须包含 |
group |
dns.answers.class |
此资源记录中包含的 DNS 数据的类。 |
keyword |
dns.answers.data |
描述资源的 data。此 data 的含义取决于资源记录的类型和类。 |
keyword |
dns.answers.name |
此资源记录所属的域名。如果要解析 CNAME 链,则每个应答的 |
keyword |
dns.answers.ttl |
此资源记录在被丢弃之前可以缓存的时间间隔(以秒为单位)。零值表示 data 不应缓存。 |
long |
dns.answers.type |
此资源记录中包含的数据类型。 |
keyword |
dns.header_flags |
由两个字母组成的 DNS 头部标志数组。 |
keyword |
dns.id |
生成查询的程序分配的 DNS 数据包标识符。该标识符会被复制到响应中。 |
keyword |
dns.question.class |
正在查询的记录的类别。 |
keyword |
dns.question.name |
正在查询的名称。如果名称字段包含不可打印字符(低于 32 或高于 126),则这些字符应表示为转义的十进制整数 (\DDD)。反斜杠和引号应被转义。制表符、回车符和换行符应分别转换为 \t、\r 和 \n。 |
keyword |
dns.question.registered_domain |
已注册的最高级域名,不包含子域名。例如,“foo.example.com”的已注册域名是“example.com”。此值可以通过公共后缀列表 (http://publicsuffix.org) 精确确定。尝试仅取最后两个标签来近似此值,对于像“co.uk”这样的 TLD 来说效果不佳。 |
keyword |
dns.question.subdomain |
子域名是 registered_domain 下的所有标签。如果域名有多个级别的子域名,例如“sub2.sub1.example.com”,则子域名字段应包含“sub2.sub1”,不带尾随句点。 |
keyword |
dns.question.top_level_domain |
有效顶级域名 (eTLD),也称为域名后缀,是域名中的最后一部分。例如,example.com 的顶级域名是“com”。此值可以通过公共后缀列表 (http://publicsuffix.org) 精确确定。尝试仅取最后一个标签来近似此值,对于像“co.uk”这样的有效 TLD 来说效果不佳。 |
keyword |
dns.question.type |
正在查询的记录类型。 |
keyword |
dns.resolved_ip |
包含在 |
ip |
dns.response_code |
DNS 响应代码。 |
keyword |
dns.type |
捕获的 DNS 事件类型,查询或应答。如果您的 DNS 事件来源仅提供 DNS 查询,则您应仅创建 |
keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.duration |
事件的持续时间,以纳秒为单位。如果知道 |
long |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于证明日志的完整性,或者在需要完整的日志消息(在将其拆分为多个部分之前)时,例如用于重新索引。此字段未编制索引,并且禁用了 doc_values。它不能被搜索,但可以从 |
keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.dns.AA |
响应消息的授权应答位指定响应名称服务器是问题部分中域名的权威。 |
boolean |
zeek.dns.RA |
响应消息中的递归可用位指示名称服务器支持递归查询。 |
boolean |
zeek.dns.RD |
请求消息中的递归期望位指示客户端希望为此查询提供递归服务。 |
boolean |
zeek.dns.TC |
截断位指定消息已被截断。 |
boolean |
zeek.dns.TTLs |
answers 字段描述的相关 RR 的缓存间隔。 |
double |
zeek.dns.answers |
查询应答中的资源描述集。 |
keyword |
zeek.dns.qclass |
指定查询类别的 QCLASS 值。 |
long |
zeek.dns.qclass_name |
查询类别的描述性名称。 |
keyword |
zeek.dns.qtype |
指定查询类型的 QTYPE 值。 |
long |
zeek.dns.qtype_name |
查询类型的描述性名称。 |
keyword |
zeek.dns.query |
作为 DNS 查询主题的域名。 |
keyword |
zeek.dns.rcode |
DNS 响应消息中的响应代码值。 |
long |
zeek.dns.rcode_name |
响应代码值的描述性名称。 |
keyword |
zeek.dns.rejected |
指示 DNS 查询是否被服务器拒绝。 |
boolean |
zeek.dns.rtt |
查询和响应的往返时间。 |
double |
zeek.dns.saw_query |
是否已看到完整的 DNS 查询。 |
boolean |
zeek.dns.saw_reply |
是否已看到完整的 DNS 回复。 |
boolean |
zeek.dns.total_answers |
回复中资源记录的总数。 |
integer |
zeek.dns.total_replies |
回复消息中资源记录的总数。 |
integer |
zeek.dns.trans_id |
DNS 事务标识符。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
dpd
编辑dpd 数据集收集 Zeek dpd.log,其中包含动态协议检测失败。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.dpd.analyzer |
生成违规的分析器。 |
keyword |
zeek.dpd.failure_reason |
分析失败的文本原因。 |
keyword |
zeek.dpd.packet_segment |
(如果加载了 policy/frameworks/dpd/packet-segment-logging.bro,则存在)最有可能导致协议违规的有效负载的一部分。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
files
编辑files 数据集收集 Zeek files.log 文件,其中包含文件分析结果。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
client.ip |
客户端的 IP 地址(IPv4 或 IPv6)。 |
ip |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
file.hash.md5 |
MD5 哈希。 |
keyword |
file.hash.sha1 |
SHA1 哈希。 |
keyword |
file.hash.sha256 |
SHA256 哈希。 |
keyword |
file.mime_type |
MIME 类型应尽可能使用 IANA[https://www.iana.org/assignments/media-types/media-types.xhtml[IANA 官方类型]来标识文件或字节流的格式。当适用多个类型时,应使用最具体的类型。 |
keyword |
file.name |
文件名,包括扩展名,不包含目录。 |
keyword |
file.size |
文件大小,以字节为单位。仅在 |
long |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
related.hash |
事件中看到的所有哈希。填充此字段,然后使用它搜索哈希,可以在不确定哈希算法是什么(以及因此搜索哪个键名称)的情况下提供帮助。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
server.ip |
服务器的 IP 地址(IPv4 或 IPv6)。 |
ip |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.files.analyzers |
文件分析期间完成的一组分析类型。 |
keyword |
zeek.files.depth |
一个值,表示此文件相对于其源的深度。在 SMTP 中,它是消息中 MIME 附件的深度。在 HTTP 中,它是 TCP 连接中请求的深度。 |
long |
zeek.files.duration |
分析文件所用的持续时间。而不是会话的持续时间。 |
double |
zeek.files.entropy |
文件内容的信息密度。 |
double |
zeek.files.extracted |
提取的文件的本地文件名。 |
keyword |
zeek.files.extracted_cutoff |
指示正在提取的文件是否被截断,因此没有完全提取。 |
boolean |
zeek.files.extracted_size |
提取到磁盘的字节数。 |
long |
zeek.files.filename |
文件名(如果可用)。 |
keyword |
zeek.files.fuid |
文件唯一标识符。 |
keyword |
zeek.files.is_orig |
如果此文件的源是网络连接,则此字段指示该文件是由连接的发起者还是响应者发送的。 |
boolean |
zeek.files.local_orig |
如果此文件的源是网络连接,则此字段指示数据是否来自本地网络。 |
boolean |
zeek.files.md5 |
文件内容的 MD5 摘要。 |
keyword |
zeek.files.mime_type |
文件的 MIME 类型。 |
keyword |
zeek.files.missing_bytes |
在分析过程中完全丢失的文件流中的字节数。 |
long |
zeek.files.overflow_bytes |
文件流中未传递到流文件分析器的字节数。这可能是重叠的字节或无法重新组装的字节。 |
long |
zeek.files.parent_fuid |
与容器文件关联的标识符,该文件作为文件分析的一部分从中提取。 |
keyword |
zeek.files.rx_host |
接收该文件的主机。 |
ip |
zeek.files.seen_bytes |
提供给文件分析引擎的文件字节数。 |
long |
zeek.files.session_ids |
具有此文件的会话。 |
keyword |
zeek.files.sha1 |
文件内容的 SHA1 摘要。 |
keyword |
zeek.files.sha256 |
文件内容的 SHA256 摘要。 |
keyword |
zeek.files.source |
文件数据来源的标识。例如,它可能是传输文件的网络协议,或者是读取的本地文件路径,或其他输入源。 |
keyword |
zeek.files.timedout |
文件分析是否至少超时一次。 |
boolean |
zeek.files.total_bytes |
组成完整文件的总字节数。 |
long |
zeek.files.tx_host |
传输该文件的主机。 |
ip |
zeek.session_id |
会话的唯一标识符 |
keyword |
ftp
编辑ftp 数据集收集 Zeek ftp.log 文件,其中包含 FTP 活动。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这将描述事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
file.mime_type |
MIME 类型应尽可能使用 IANA[https://www.iana.org/assignments/media-types/media-types.xhtml[IANA 官方类型]来标识文件或字节流的格式。当适用多个类型时,应使用最具体的类型。 |
keyword |
file.size |
文件大小,以字节为单位。仅在 |
long |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
事件中看到的所有用户名或其他用户标识符。 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
user.name |
用户的简称或登录名。 |
keyword |
user.name.text |
|
match_only_text |
zeek.ftp.arg |
命令的参数(如果给定)。 |
keyword |
zeek.ftp.capture_password |
确定是否捕获此请求的密码。 |
boolean |
zeek.ftp.cmdarg.arg |
命令的参数(如果给定)。 |
keyword |
zeek.ftp.cmdarg.cmd |
命令。 |
keyword |
zeek.ftp.cmdarg.seq |
用于跟踪已执行命令数的计数器。 |
integer |
zeek.ftp.command |
客户端给出的命令。 |
keyword |
zeek.ftp.cwd |
此会话所在的当前工作目录。通过将默认值设置为 .,我们可以表示,除非发现更具体的内容,否则可以使用现有但未知的目录。 |
keyword |
zeek.ftp.data_channel.originating_host |
将启动数据连接的主机。 |
ip |
zeek.ftp.data_channel.passive |
是否为控制通道切换了 PASV 模式。 |
boolean |
zeek.ftp.data_channel.response_host |
将接受数据连接的主机。 |
ip |
zeek.ftp.data_channel.response_port |
接收器正在侦听数据连接的端口。 |
integer |
zeek.ftp.file.fuid |
(如果加载了 base/protocols/ftp/files.bro,则存在)文件唯一 ID。 |
keyword |
zeek.ftp.file.mime_type |
嗅探到的文件 MIME 类型。 |
keyword |
zeek.ftp.file.size |
如果命令指示文件传输,则文件的大小。 |
long |
zeek.ftp.last_auth_requested |
如果加载了 base/protocols/ftp/gridftp.bro,则存在。上次使用的身份验证/安全机制。 |
keyword |
zeek.ftp.passive |
指示会话是处于主动模式还是被动模式。 |
boolean |
zeek.ftp.password |
如果捕获到当前 FTP 会话的密码,则会显示在此处。 |
keyword |
zeek.ftp.pending_commands |
此处跟踪已发送但尚未收到响应的命令队列。 |
integer |
zeek.ftp.reply.code |
服务器响应命令的回复代码。 |
integer |
zeek.ftp.reply.msg |
服务器响应命令的回复消息。 |
keyword |
zeek.ftp.user |
当前 FTP 会话的用户名。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
http
编辑http 数据集收集 Zeek 的 http.log 文件,其中包含 HTTP 请求和回复。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这将描述事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
http.request.body.bytes |
请求正文的大小(以字节为单位)。 |
long |
http.request.method |
HTTP 请求方法。该值应保留原始事件中的大小写。例如, |
keyword |
http.request.referrer |
此 HTTP 请求的引用页。 |
keyword |
http.response.body.bytes |
响应正文的大小(以字节为单位)。 |
long |
http.response.status_code |
HTTP 响应状态代码。 |
long |
http.version |
HTTP 版本。 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
事件中看到的所有用户名或其他用户标识符。 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
url.domain |
URL 的域名,例如“https://elastic.ac.cn[www.elastic.co]”。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 |
keyword |
url.original |
事件源中看到的未经修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。 |
wildcard |
url.original.text |
|
match_only_text |
url.password |
请求的密码。 |
keyword |
url.path |
请求的路径,例如“/search”。 |
wildcard |
url.port |
请求的端口,例如 443。 |
long |
url.scheme |
请求的方案,例如“https”。注意: |
keyword |
url.username |
请求的用户名。 |
keyword |
user.name |
用户的简称或登录名。 |
keyword |
user.name.text |
|
match_only_text |
user_agent.device.name |
设备的名称。 |
keyword |
user_agent.name |
用户代理的名称。 |
keyword |
user_agent.original |
未解析的 user_agent 字符串。 |
keyword |
user_agent.original.text |
|
match_only_text |
user_agent.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
user_agent.os.full |
操作系统名称,包括版本或代码名称。 |
keyword |
user_agent.os.full.text |
|
match_only_text |
user_agent.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
user_agent.os.name |
操作系统名称,不带版本。 |
keyword |
user_agent.os.name.text |
|
match_only_text |
user_agent.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
user_agent.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
user_agent.version |
用户代理的版本。 |
keyword |
zeek.http.captured_password |
确定是否捕获此请求的密码。 |
boolean |
zeek.http.client_header_names |
客户端发送的 HTTP 标头名称的向量。此处不包含标头值,仅包含标头名称。 |
keyword |
zeek.http.host |
如果与从 Zeek URI 中提取的域名不同,则为 Zeek 主机。 |
keyword |
zeek.http.info_code |
服务器返回的最后看到的 1xx 信息性回复代码。 |
integer |
zeek.http.info_msg |
服务器返回的最后看到的 1xx 信息性回复消息。 |
keyword |
zeek.http.orig_filenames |
来自发起者的文件名有序向量。 |
keyword |
zeek.http.orig_fuids |
来自发起者的文件唯一 ID 有序向量。 |
keyword |
zeek.http.orig_mime_depth |
HTTP 请求消息正文中当前 MIME 实体数。 |
integer |
zeek.http.orig_mime_types |
来自发起者的 mime 类型有序向量。 |
keyword |
zeek.http.password |
如果对请求执行基本身份验证,则为密码。 |
keyword |
zeek.http.proxied |
所有可能指示 HTTP 请求是否被代理的标头。 |
keyword |
zeek.http.range_request |
指示此请求是否可以假定响应中的 206 部分内容。 |
boolean |
zeek.http.resp_filenames |
来自响应者的文件名有序向量。 |
keyword |
zeek.http.resp_fuids |
来自响应者的文件唯一 ID 有序向量。 |
keyword |
zeek.http.resp_mime_depth |
HTTP 响应消息正文中当前 MIME 实体数。 |
integer |
zeek.http.resp_mime_types |
来自响应者的 mime 类型有序向量。 |
keyword |
zeek.http.server_header_names |
服务器发送的 HTTP 标头名称的向量。此处不包含标头值,仅包含标头名称。 |
keyword |
zeek.http.status_msg |
服务器返回的状态消息。 |
keyword |
zeek.http.tags |
一组指标,指示已发现并与特定请求/响应对相关的各种属性。 |
keyword |
zeek.http.trans_depth |
表示此请求/响应事务的连接管道深度。 |
integer |
zeek.session_id |
会话的唯一标识符 |
keyword |
intel
编辑intel 数据集收集 Zeek 的 intel.log 文件,其中包含情报数据匹配项。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于证明日志的完整性,或者在需要完整的日志消息(在将其拆分为多个部分之前)时,例如用于重新索引。此字段未编制索引,并且禁用了 doc_values。它不能被搜索,但可以从 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
threat.enrichments |
与事件相关的指标对象列表,以及该关联/丰富化的上下文。 |
nested |
threat.indicator.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
threat.indicator.as.organization.name |
组织名称。 |
keyword |
threat.indicator.as.organization.name.text |
|
match_only_text |
threat.indicator.email.address |
将威胁指示器标识为电子邮件地址(无论方向如何)。 |
keyword |
threat.indicator.file.name |
文件名,包括扩展名,不包含目录。 |
keyword |
threat.indicator.geo.city_name |
城市名称。 |
keyword |
threat.indicator.geo.continent_name |
洲名称。 |
keyword |
threat.indicator.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
threat.indicator.geo.country_name |
国家/地区名称。 |
keyword |
threat.indicator.geo.location |
经度和纬度。 |
geo_point |
threat.indicator.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
threat.indicator.geo.region_name |
区域名称。 |
keyword |
threat.indicator.geo.timezone |
位置的时区,例如 IANA 时区名称。 |
keyword |
threat.indicator.ip |
将威胁指示器标识为 IP 地址(无论方向如何)。 |
ip |
threat.indicator.type |
STIX 2.0 中网络可观测项表示的指示器类型。 |
keyword |
threat.indicator.url.domain |
URL 的域名,例如“https://elastic.ac.cn[www.elastic.co]”。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 |
keyword |
threat.indicator.url.extension |
该字段包含来自原始请求 URL 的文件扩展名,不包括前导点。仅当文件扩展名存在时,才会设置文件扩展名,因为并非每个 URL 都有文件扩展名。不得包含前导句点。例如,该值必须是“png”,而不是“.png”。请注意,当文件名有多个扩展名(例如 example.tar.gz)时,仅应捕获最后一个扩展名(“gz”,而不是“tar.gz”)。 |
keyword |
threat.indicator.url.fragment |
在 |
keyword |
threat.indicator.url.full |
如果完整 URL 对您的用例很重要,则应将其存储在 |
wildcard |
threat.indicator.url.full.text |
|
match_only_text |
threat.indicator.url.original |
事件源中看到的未经修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。 |
wildcard |
threat.indicator.url.original.text |
|
match_only_text |
threat.indicator.url.password |
请求的密码。 |
keyword |
threat.indicator.url.path |
请求的路径,例如“/search”。 |
wildcard |
threat.indicator.url.port |
请求的端口,例如 443。 |
long |
threat.indicator.url.query |
查询字段描述请求的查询字符串,例如“q=elasticsearch”。 |
keyword |
threat.indicator.url.registered_domain |
剥离了子域的最高注册 URL 域名。例如,“foo.example.com”的注册域是“example.com”。可以使用公共后缀列表之类的列表 (http://publicsuffix.org) 来精确确定此值。尝试通过简单地取最后两个标签来近似它对于“co.uk”之类的 TLD 将无法很好地工作。 |
keyword |
threat.indicator.url.scheme |
请求的方案,例如“https”。注意: |
keyword |
threat.indicator.url.subdomain |
完全限定域名中的子域部分包括除注册域下的主机名之外的所有名称。在部分限定域中,或者如果无法确定全名的限定级别,则子域包含注册域下的所有名称。例如,“http://www.east.mydomain.co.uk[www.east.mydomain.co.uk]”的子域部分为“east”。如果域具有多个级别的子域,例如“sub2.sub1.example.com”,则子域字段应包含“sub2.sub1”,且不包含尾随句点。 |
keyword |
threat.indicator.url.top_level_domain |
有效顶级域名 (eTLD),也称为域名后缀,是域名中的最后一部分。例如,example.com 的顶级域名是“com”。此值可以通过公共后缀列表 (http://publicsuffix.org) 精确确定。尝试仅取最后一个标签来近似此值,对于像“co.uk”这样的有效 TLD 来说效果不佳。 |
keyword |
threat.indicator.url.username |
请求的用户名。 |
keyword |
zeek.intel.file_desc |
通常可以描述文件以提供更多上下文。如果提供了 $f 字段,则将自动填充此字段。 |
keyword |
zeek.intel.file_mime_type |
如果情报命中与文件相关,则为 mime 类型。如果提供了 $f 字段,则将自动填充此字段。 |
keyword |
zeek.intel.fuid |
如果此情报命中与某个文件关联,则为该文件的 uid。 |
keyword |
zeek.intel.matched |
事件表示从看到的数据中情报数据中的匹配项。 |
keyword |
zeek.intel.seen.conn |
如果数据是在连接中发现的,则连接记录应放在此处,以提供数据的上下文。 |
keyword |
zeek.intel.seen.f.* |
如果数据是在文件中发现的,则文件记录应放在此处,以提供数据的上下文。 |
object |
zeek.intel.seen.fuid |
如果数据是在文件中发现的,则文件 uid 应放在此处,以提供数据的上下文。如果提供了文件记录 f,则将自动填充此字段。 |
keyword |
zeek.intel.seen.host |
如果指示器类型为 Intel::ADDR,则此字段将存在。 |
keyword |
zeek.intel.seen.indicator |
情报指示器。 |
keyword |
zeek.intel.seen.indicator_type |
指示器表示的数据类型。 |
keyword |
zeek.intel.seen.node |
发现匹配项的节点的名称。 |
keyword |
zeek.intel.seen.uid |
如果数据是在连接中发现的,则连接 uid 应放在此处,以提供数据的上下文。如果提供了 conn 字段,则将自动填充此字段。 |
keyword |
zeek.intel.seen.where |
发现数据的位置。 |
keyword |
zeek.intel.sources |
为此匹配项提供数据的源。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
irc
编辑irc 数据集收集 Zeek 的 irc.log 文件,其中包含 IRC 命令和响应。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这将描述事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
file.mime_type |
MIME 类型应尽可能使用 IANA[https://www.iana.org/assignments/media-types/media-types.xhtml[IANA 官方类型]来标识文件或字节流的格式。当适用多个类型时,应使用最具体的类型。 |
keyword |
file.name |
文件名,包括扩展名,不包含目录。 |
keyword |
file.size |
文件大小,以字节为单位。仅在 |
long |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
事件中看到的所有用户名或其他用户标识符。 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
user.name |
用户的简称或登录名。 |
keyword |
user.name.text |
|
match_only_text |
zeek.irc.addl |
命令的任何其他数据。 |
keyword |
zeek.irc.command |
客户端给出的命令。 |
keyword |
zeek.irc.dcc.file.name |
如果加载了 base/protocols/irc/dcc-send.bro,则存在。请求的 DCC 文件名。 |
keyword |
zeek.irc.dcc.file.size |
如果加载了 base/protocols/irc/dcc-send.bro,则存在。发件人指示的 DCC 传输大小。 |
long |
zeek.irc.dcc.mime_type |
如果加载了 base/protocols/irc/dcc-send.bro,则存在。该文件的嗅探 mime 类型。 |
keyword |
zeek.irc.fuid |
如果加载了 base/protocols/irc/files.bro,则存在。文件唯一 ID。 |
keyword |
zeek.irc.nick |
为连接提供的昵称。 |
keyword |
zeek.irc.user |
为连接提供的用户名。 |
keyword |
zeek.irc.value |
客户端提供的命令值。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
kerberos
编辑kerberos 数据集收集 Zeek 的 kerberos.log 文件,其中包含 kerberos 数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
client.address |
一些事件客户端地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这将描述事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
事件中看到的所有用户名或其他用户标识符。 |
keyword |
server.address |
一些事件服务器地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
tls.client.x509.subject.common_name |
主题的公用名 (CN) 列表。 |
keyword |
tls.client.x509.subject.country |
国家/地区 (C) 代码列表 |
keyword |
tls.client.x509.subject.locality |
地点名称 (L) 列表 |
keyword |
tls.client.x509.subject.organization |
主题的组织 (O) 列表。 |
keyword |
tls.client.x509.subject.organizational_unit |
主题的组织单位 (OU) 列表。 |
keyword |
tls.client.x509.subject.state_or_province |
州或省份名称 (ST、S 或 P) 列表 |
keyword |
tls.server.x509.subject.common_name |
主题的公用名 (CN) 列表。 |
keyword |
tls.server.x509.subject.country |
国家/地区 (C) 代码列表 |
keyword |
tls.server.x509.subject.locality |
地点名称 (L) 列表 |
keyword |
tls.server.x509.subject.organization |
主题的组织 (O) 列表。 |
keyword |
tls.server.x509.subject.organizational_unit |
主题的组织单位 (OU) 列表。 |
keyword |
tls.server.x509.subject.state_or_province |
州或省份名称 (ST、S 或 P) 列表 |
keyword |
user.domain |
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。 |
keyword |
user.name |
用户的简称或登录名。 |
keyword |
user.name.text |
|
match_only_text |
zeek.kerberos.cert.client.fuid |
客户端证书的文件唯一 ID。 |
keyword |
zeek.kerberos.cert.client.subject |
客户端证书的主题。 |
keyword |
zeek.kerberos.cert.client.value |
客户端证书。 |
keyword |
zeek.kerberos.cert.server.fuid |
服务器证书的文件唯一 ID。 |
keyword |
zeek.kerberos.cert.server.subject |
服务器证书的主题。 |
keyword |
zeek.kerberos.cert.server.value |
服务器证书。 |
keyword |
zeek.kerberos.cipher |
票证加密类型。 |
keyword |
zeek.kerberos.client |
客户端名称。 |
keyword |
zeek.kerberos.error.code |
错误代码。 |
integer |
zeek.kerberos.error.msg |
错误消息。 |
keyword |
zeek.kerberos.forwardable |
请求了可转发的票证。 |
boolean |
zeek.kerberos.renewable |
请求了可续订的票证。 |
boolean |
zeek.kerberos.request_type |
请求类型 - 身份验证服务 (AS) 或票证授予服务 (TGS)。 |
keyword |
zeek.kerberos.service |
服务名称。 |
keyword |
zeek.kerberos.success |
请求结果。 |
boolean |
zeek.kerberos.ticket.auth |
用于授权请求/事务的票证的哈希值。 |
keyword |
zeek.kerberos.ticket.new |
KDC 返回的票证的哈希值。 |
keyword |
zeek.kerberos.valid.days |
票证有效的总天数。 |
integer |
zeek.kerberos.valid.from |
票证的有效起始时间。 |
date |
zeek.kerberos.valid.until |
票证的有效截止时间。 |
date |
zeek.session_id |
会话的唯一标识符 |
keyword |
known_certs
编辑known_certs 数据集捕获本地网络上看到的 SSL/TLS 证书的相关信息。有关更多详细信息,请参阅文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.geo.city_name |
城市名称。 |
keyword |
host.geo.continent_name |
洲名称。 |
keyword |
host.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
host.geo.country_name |
国家/地区名称。 |
keyword |
host.geo.location |
经度和纬度。 |
geo_point |
host.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
host.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
host.geo.region_name |
区域名称。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.type |
在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
server.geo.city_name |
城市名称。 |
keyword |
server.geo.continent_name |
洲名称。 |
keyword |
server.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
server.geo.country_name |
国家/地区名称。 |
keyword |
server.geo.location |
经度和纬度。 |
geo_point |
server.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
server.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
server.geo.region_name |
区域名称。 |
keyword |
server.ip |
服务器的 IP 地址(IPv4 或 IPv6)。 |
ip |
server.port |
服务器的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
tls.server.issuer |
服务器提供的 x.509 证书的颁发者的主题。 |
keyword |
tls.server.subject |
服务器提供的 x.509 证书的主题。 |
keyword |
tls.server.x509.issuer.common_name |
颁发证书机构的通用名称 (CN) 列表。 |
keyword |
tls.server.x509.issuer.distinguished_name |
颁发证书机构的专有名称 (DN)。 |
keyword |
tls.server.x509.serial_number |
证书颁发机构颁发的唯一序列号。为保持一致性,如果此值为字母数字,则应在格式化时去除冒号并使用大写字符。 |
keyword |
tls.server.x509.subject.common_name |
主题的公用名 (CN) 列表。 |
keyword |
tls.server.x509.subject.distinguished_name |
证书主体实体的专有名称 (DN)。 |
keyword |
known_hosts
编辑known_hosts 数据集仅在 Zeek 在本地网络上观察到新系统时记录时间戳和 IP 地址。有关更多详细信息,请参阅文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.geo.city_name |
城市名称。 |
keyword |
host.geo.continent_name |
洲名称。 |
keyword |
host.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
host.geo.country_name |
国家/地区名称。 |
keyword |
host.geo.location |
经度和纬度。 |
geo_point |
host.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
host.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
host.geo.region_name |
区域名称。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.type |
在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
tags |
用于标记每个事件的关键字列表。 |
keyword |
known_services
编辑known_services 数据集在 Zeek 观察到系统在本地网络上提供新服务时记录时间戳、IP、端口号、协议和服务(如果可用)。有关更多详细信息,请参阅文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.geo.city_name |
城市名称。 |
keyword |
host.geo.continent_name |
洲名称。 |
keyword |
host.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
host.geo.country_name |
国家/地区名称。 |
keyword |
host.geo.location |
经度和纬度。 |
geo_point |
host.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
host.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
host.geo.region_name |
区域名称。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.application |
当从网络连接详细信息(源/目标 IP、端口、证书或线路格式)中识别出特定的应用程序或服务时,此字段捕获该应用程序或服务的名称。例如,原始事件标识网络连接来自 |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
network.type |
在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
server.geo.city_name |
城市名称。 |
keyword |
server.geo.continent_name |
洲名称。 |
keyword |
server.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
server.geo.country_name |
国家/地区名称。 |
keyword |
server.geo.location |
经度和纬度。 |
geo_point |
server.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
server.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
server.geo.region_name |
区域名称。 |
keyword |
server.ip |
服务器的 IP 地址(IPv4 或 IPv6)。 |
ip |
server.port |
服务器的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
modbus
编辑modbus 数据集收集 Zeek modbus.log 文件,其中包含 Modbus 命令和响应。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这将描述事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.modbus.exception |
如果响应失败,则显示异常。 |
keyword |
zeek.modbus.function |
发送的功能消息的名称。 |
keyword |
zeek.modbus.track_address |
如果加载了 policy/protocols/modbus/track-memmap.bro,则存在此项。Modbus 跟踪地址。 |
integer |
zeek.session_id |
会话的唯一标识符 |
keyword |
mysql
编辑mysql 数据集收集 Zeek mysql.log 文件,其中包含 MySQL 数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这将描述事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.mysql.arg |
向命令发出的参数。 |
keyword |
zeek.mysql.cmd |
发出的命令。 |
keyword |
zeek.mysql.response |
如果有,则显示服务器消息。 |
keyword |
zeek.mysql.rows |
如果有,则显示受影响的行数。 |
integer |
zeek.mysql.success |
命令是否成功。 |
boolean |
zeek.session_id |
会话的唯一标识符 |
keyword |
notice
编辑notice 数据集收集 Zeek notice.log 文件,其中包含 Zeek 通知。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
file.mime_type |
MIME 类型应尽可能使用 IANA[https://www.iana.org/assignments/media-types/media-types.xhtml[IANA 官方类型]来标识文件或字节流的格式。当适用多个类型时,应使用最具体的类型。 |
keyword |
file.size |
文件大小,以字节为单位。仅在 |
long |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
rule.description |
生成事件的规则的描述。 |
keyword |
rule.name |
生成事件的规则或签名的名称。 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.notice.actions |
已应用于此通知的操作。 |
keyword |
zeek.notice.connection_id |
相关连接会话的标识符。 |
keyword |
zeek.notice.dropped |
指示是否已删除源 IP 地址并拒绝网络访问。 |
boolean |
zeek.notice.email_body_sections |
通过在此元素中添加文本块,其他脚本可以扩展正在通过电子邮件发送的通知。 |
text |
zeek.notice.email_delay_tokens |
向此集合添加字符串令牌将导致内置的电子邮件功能延迟发送电子邮件,直到删除令牌或电子邮件延迟指定的时间长度。 |
keyword |
zeek.notice.ffile.total_bytes |
组成完整文件的总字节数。 |
long |
zeek.notice.file.id |
与此通知相关的单个文件的标识符。 |
keyword |
zeek.notice.file.is_orig |
如果此文件的源是网络连接,则此字段指示该文件是由连接的发起者还是响应者发送的。 |
boolean |
zeek.notice.file.mime_type |
如果通知与文件相关,则显示 MIME 类型。 |
keyword |
zeek.notice.file.missing_bytes |
在分析过程中完全丢失的文件流中的字节数。 |
long |
zeek.notice.file.overflow_bytes |
文件流中未传递到流文件分析器的字节数。这可能是重叠的字节或无法重新组装的字节。 |
long |
zeek.notice.file.parent_id |
与从中提取此文件的容器文件关联的标识符。 |
keyword |
zeek.notice.file.seen_bytes |
提供给文件分析引擎的文件字节数。 |
long |
zeek.notice.file.source |
文件数据来源的标识。例如,它可能是传输文件的网络协议,或者是读取的本地文件路径,或其他输入源。 |
keyword |
zeek.notice.fuid |
如果此通知与文件相关,则显示文件唯一 ID。 |
keyword |
zeek.notice.icmp_id |
相关 ICMP 会话的标识符。 |
keyword |
zeek.notice.identifier |
当生成通知以进行重复数据删除时,会提供此字段。 |
keyword |
zeek.notice.msg |
通知的人工可读消息。 |
keyword |
zeek.notice.n |
关联计数或状态代码。 |
long |
zeek.notice.note |
通知的类型。 |
keyword |
zeek.notice.peer_descr |
引发此通知的对等方的文本描述。 |
text |
zeek.notice.peer_name |
引发此通知的远程对等方的名称。 |
keyword |
zeek.notice.sub |
人工可读的子消息。 |
keyword |
zeek.notice.suppress_for |
此字段指示应抑制此唯一通知的时间长度。 |
double |
zeek.session_id |
会话的唯一标识符 |
keyword |
ntp
编辑ntp 数据集收集 Zeek ntp.log 文件,其中包含 NTP 数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.bytes |
从目标发送到源的字节数。 |
long |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.mac |
目标的 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
keyword |
destination.packets |
从目标发送到源的数据包。 |
long |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.duration |
事件的持续时间,以纳秒为单位。如果知道 |
long |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.bytes |
在两个方向上传输的总字节数。如果已知 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.direction |
网络流量的方向。当从基于主机的监视上下文中映射事件时,请从主机的角度使用值“ingress”(入口)或“egress”(出口)填充此字段。当从基于网络或外围的监视上下文中映射事件时,请从网络外围的角度使用值“inbound”(入站)、“outbound”(出站)、“internal”(内部)或“external”(外部)填充此字段。请注意,“internal” 不会跨越外围边界,而是指外围内两台主机之间的通信。另请注意,“external” 是指外围外的两台主机之间的流量。例如,这对于 ISP 或 VPN 服务提供商可能很有用。 |
keyword |
network.packets |
在两个方向上传输的总数据包数。如果已知 |
long |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
network.type |
在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.bytes |
从源发送到目标的字节数。 |
long |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
keyword |
source.packets |
从源发送到目标的数据包。 |
long |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.ntp.mode |
正在使用的 NTP 模式。 |
integer |
zeek.ntp.num_exts |
扩展字段的数量(当前未解析)。 |
integer |
zeek.ntp.org_time |
请求离开 NTP 服务器时客户端的时间。 |
date |
zeek.ntp.poll |
连续消息之间的最大间隔(以秒为单位)。 |
double |
zeek.ntp.precision |
系统时钟的精度(以秒为单位)。 |
double |
zeek.ntp.rec_time |
NTP 客户端请求到达服务器时的时间。 |
date |
zeek.ntp.ref_id |
对于层 0,用于调试的 4 个字符的字符串。对于层 1,IANA 分配给参考时钟的 ID。对于层 1 以上,使用 IPv4 时,参考时钟的 IP 地址。请注意,NTP 协议最初并未指定足够大的字段来表示 IPv6 地址,因此它们使用参考时钟 IPv6 地址的 MD5 哈希值的前四个字节(即,此处的 IPv4 地址不一定是 IPv4)。 |
keyword |
zeek.ntp.ref_time |
上次设置或校正系统时钟的时间。 |
date |
zeek.ntp.root_delay |
到参考时钟的总往返延迟(以秒为单位)。 |
double |
zeek.ntp.root_disp |
到参考时钟的总分散量(以秒为单位)。 |
double |
zeek.ntp.stratum |
层(主服务器、辅助服务器等)。 |
integer |
zeek.ntp.version |
NTP 版本号(1、2、3、4)。 |
integer |
zeek.ntp.xmt_time |
响应离开服务器发送给 NTP 客户端时的时间。 |
date |
zeek.session_id |
会话的唯一标识符 |
keyword |
ntlm
编辑ntlm 数据集收集 Zeek ntlm.log 文件,其中包含 NT LAN 管理器 (NTLM) 数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
file.path |
文件的完整路径,包括文件名。它应该包括驱动器号(如果适用)。 |
keyword |
file.path.text |
|
match_only_text |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
事件中看到的所有用户名或其他用户标识符。 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
user.domain |
用户所属目录的名称。例如,LDAP 或 Active Directory 域名。 |
keyword |
user.name |
用户的简称或登录名。 |
keyword |
user.name.text |
|
match_only_text |
zeek.ntlm.domain |
客户端给定的域名。 |
keyword |
zeek.ntlm.hostname |
客户端给定的主机名。 |
keyword |
zeek.ntlm.server.name.dns |
服务器在 CHALLENGE 中给定的 DNS 名称。 |
keyword |
zeek.ntlm.server.name.netbios |
服务器在 CHALLENGE 中给定的 NetBIOS 名称。 |
keyword |
zeek.ntlm.server.name.tree |
服务器在 CHALLENGE 中给定的树名称。 |
keyword |
zeek.ntlm.success |
指示身份验证是否成功。 |
boolean |
zeek.ntlm.username |
客户端给定的用户名。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
ocsp
编辑ocsp 数据集收集 Zeek ocsp.log 文件,其中包含在线证书状态协议 (OCSP) 数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
file.path |
文件的完整路径,包括文件名。它应该包括驱动器号(如果适用)。 |
keyword |
file.path.text |
|
match_only_text |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.hash |
事件中看到的所有哈希。填充此字段,然后使用它搜索哈希,可以在不确定哈希算法是什么(以及因此搜索哪个键名称)的情况下提供帮助。 |
keyword |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.ocsp.file_id |
OCSP 答复的文件 ID。 |
keyword |
zeek.ocsp.hash.algorithm |
用于生成 issuerNameHash 和 issuerKeyHash 的哈希算法。 |
keyword |
zeek.ocsp.hash.issuer.key |
颁发者公钥的哈希值。 |
keyword |
zeek.ocsp.hash.issuer.name |
颁发者的专有名称的哈希值。 |
keyword |
zeek.ocsp.revoke.date |
证书被吊销的时间。 |
date |
zeek.ocsp.revoke.reason |
吊销证书的原因。 |
keyword |
zeek.ocsp.serial_number |
受影响证书的序列号。 |
keyword |
zeek.ocsp.status |
受影响证书的状态。 |
keyword |
zeek.ocsp.update.next |
有关证书状态的新信息可用的最晚时间。 |
date |
zeek.ocsp.update.this |
已知显示的此状态正确的时间。 |
date |
zeek.session_id |
会话的唯一标识符 |
keyword |
pe
编辑pe 数据集收集 Zeek pe.log 文件,其中包含可移植的可执行文件数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.pe.client |
客户端的版本字符串。 |
keyword |
zeek.pe.compile_time |
创建文件的时间。 |
date |
zeek.pe.has_cert_table |
文件是否具有属性证书表? |
boolean |
zeek.pe.has_debug_data |
文件是否具有调试表? |
boolean |
zeek.pe.has_export_table |
文件是否具有导出表? |
boolean |
zeek.pe.has_import_table |
文件是否具有导入表? |
boolean |
zeek.pe.id |
此可移植可执行文件的文件 ID。 |
keyword |
zeek.pe.is_64bit |
该文件是 64 位可执行文件吗? |
boolean |
zeek.pe.is_exe |
该文件是可执行文件,还是只是目标文件? |
boolean |
zeek.pe.machine |
该文件编译的目标机器。 |
keyword |
zeek.pe.os |
所需的操作系统。 |
keyword |
zeek.pe.section_names |
节的名称,按顺序排列。 |
keyword |
zeek.pe.subsystem |
运行此文件所需的子系统。 |
keyword |
zeek.pe.uses_aslr |
该文件是否支持地址空间布局随机化 (ASLR)? |
boolean |
zeek.pe.uses_code_integrity |
该文件是否强制执行代码完整性检查? |
boolean |
zeek.pe.uses_dep |
该文件是否支持数据执行保护 (DEP)? |
boolean |
zeek.pe.uses_seh |
该文件是否使用结构化异常处理 (SEH)? |
boolean |
zeek.session_id |
会话的唯一标识符 |
keyword |
radius
编辑radius 数据集收集 Zeek radius.log 文件,其中包含 RADIUS 身份验证尝试。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
事件中看到的所有用户名或其他用户标识符。 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
user.name |
用户的简称或登录名。 |
keyword |
user.name.text |
|
match_only_text |
zeek.radius.connect_info |
连接信息,如果存在。 |
keyword |
zeek.radius.framed_addr |
如果存在,则为网络接入服务器分配的地址。这只是 RADIUS 服务器的提示,网络接入服务器不一定必须遵守该地址。 |
ip |
zeek.radius.logged |
是否已记录并且可以忽略。 |
boolean |
zeek.radius.mac |
MAC 地址,如果存在。 |
keyword |
zeek.radius.remote_ip |
远程 IP 地址,如果存在。这是从 Tunnel-Client-Endpoint 属性中收集的。 |
ip |
zeek.radius.reply_msg |
服务器质询的回复消息。这通常会显示给正在进行身份验证的用户。 |
keyword |
zeek.radius.result |
身份验证成功或失败。 |
keyword |
zeek.radius.ttl |
首次请求与“Access-Accept”消息或错误之间的持续时间。如果该字段为空,则表示未看到请求或响应。 |
integer |
zeek.radius.username |
用户名,如果存在。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
rdp
编辑rdp 数据集收集 Zeek rdp.log 文件,其中包含 RDP 数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
tls.established |
布尔标志,指示 TLS 协商是否成功并转换为加密隧道。 |
boolean |
zeek.rdp.cert.count |
看到的证书数量。X.509 可以传输整个证书链。 |
integer |
zeek.rdp.cert.permanent |
指示提供的证书或证书链是永久的还是临时的。 |
boolean |
zeek.rdp.cert.type |
如果连接正在使用本机 RDP 加密进行加密,则这是正在使用的证书的类型。 |
keyword |
zeek.rdp.client.build |
客户端计算机使用的 RDP 客户端版本。 |
keyword |
zeek.rdp.client.client_name |
客户端计算机的名称。 |
keyword |
zeek.rdp.client.product_id |
客户端计算机的产品 ID。 |
keyword |
zeek.rdp.cookie |
客户端计算机使用的 Cookie 值。这通常是用户名。 |
keyword |
zeek.rdp.desktop.color_depth |
客户端在高色彩深度字段中请求的色彩深度。 |
keyword |
zeek.rdp.desktop.height |
客户端计算机的桌面高度。 |
integer |
zeek.rdp.desktop.width |
客户端计算机的桌面宽度。 |
integer |
zeek.rdp.done |
跟踪 RDP 连接的日志记录状态。 |
boolean |
zeek.rdp.encryption.level |
连接的加密级别。 |
keyword |
zeek.rdp.encryption.method |
连接的加密方法。 |
keyword |
zeek.rdp.keyboard_layout |
客户端计算机的键盘布局(语言)。 |
keyword |
zeek.rdp.result |
连接的状态结果。它是 RDP 协商失败消息和 GCC 服务器创建响应消息的混合。 |
keyword |
zeek.rdp.security_protocol |
服务器选择的安全协议。 |
keyword |
zeek.rdp.ssl |
(如果加载了 policy/protocols/rdp/indicate_ssl.bro,则存在)如果通过 SSL 看到连接,则标记该连接。 |
boolean |
zeek.session_id |
会话的唯一标识符 |
keyword |
rfb
编辑rfb 数据集收集 Zeek rfb.log 文件,其中包含远程帧缓冲 (RFB) 数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.rfb.auth.method |
使用的身份验证方法的标识符。 |
keyword |
zeek.rfb.auth.success |
身份验证是否成功。 |
boolean |
zeek.rfb.desktop_name |
正在共享的屏幕的名称。 |
keyword |
zeek.rfb.height |
正在共享的屏幕的高度。 |
integer |
zeek.rfb.share_flag |
客户端具有独占会话还是共享会话。 |
boolean |
zeek.rfb.version.client.major |
客户端的主要版本。 |
keyword |
zeek.rfb.version.client.minor |
客户端的次要版本。 |
keyword |
zeek.rfb.version.server.major |
服务器的主要版本。 |
keyword |
zeek.rfb.version.server.minor |
服务器的次要版本。 |
keyword |
zeek.rfb.width |
正在共享的屏幕的宽度。 |
integer |
zeek.session_id |
会话的唯一标识符 |
keyword |
signature
编辑signature 数据集收集 Zeek signature.log 文件,其中包含 Zeek 签名匹配项。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.bytes |
从目标发送到源的字节数。 |
long |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.mac |
目标的 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
keyword |
destination.packets |
从目标发送到源的数据包。 |
long |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.duration |
事件的持续时间,以纳秒为单位。如果知道 |
long |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.bytes |
在两个方向上传输的总字节数。如果已知 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.direction |
网络流量的方向。当从基于主机的监视上下文中映射事件时,请从主机的角度使用值“ingress”(入口)或“egress”(出口)填充此字段。当从基于网络或外围的监视上下文中映射事件时,请从网络外围的角度使用值“inbound”(入站)、“outbound”(出站)、“internal”(内部)或“external”(外部)填充此字段。请注意,“internal” 不会跨越外围边界,而是指外围内两台主机之间的通信。另请注意,“external” 是指外围外的两台主机之间的流量。例如,这对于 ISP 或 VPN 服务提供商可能很有用。 |
keyword |
network.packets |
在两个方向上传输的总数据包数。如果已知 |
long |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
network.type |
在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
rule.description |
生成事件的规则的描述。 |
keyword |
rule.id |
在代理、观察者或其他使用该规则检测此事件的实体的范围内唯一的规则 ID。 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.bytes |
从源发送到目标的字节数。 |
long |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.mac |
源的 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)用两个 [大写] 十六进制数字表示,给出该八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
keyword |
source.packets |
从源发送到目标的数据包。 |
long |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.signature.event_msg |
对签名匹配事件的更具描述性的消息。 |
keyword |
zeek.signature.host_count |
主机的数量,来自摘要计数。 |
integer |
zeek.signature.note |
与签名事件关联的通知。 |
keyword |
zeek.signature.sig_count |
sigs 的数量,通常来自摘要计数。 |
integer |
zeek.signature.sig_id |
匹配的签名的名称。 |
keyword |
zeek.signature.sub_msg |
提取的有效负载数据或额外消息。 |
keyword |
sip
编辑sip 数据集收集 Zeek sip.log 文件,其中包含 SIP 数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这将描述事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
url.full |
如果完整 URL 对您的用例很重要,则应将其存储在 |
wildcard |
url.full.text |
|
match_only_text |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.sip.call_id |
来自客户端的 Call-ID: 标头的内容。 |
keyword |
zeek.sip.content_type |
来自服务器的 Content-Type: 标头的内容。 |
keyword |
zeek.sip.date |
来自客户端的 Date: 标头的内容。 |
keyword |
zeek.sip.reply_to |
Reply-To: 标头的内容。 |
keyword |
zeek.sip.request.body_length |
来自客户端的 Content-Length: 标头的内容。 |
long |
zeek.sip.request.from |
请求的 From: 标头的内容。注意:通常附加到发送方的 tag= 值会被剥离,并且不会被记录。 |
keyword |
zeek.sip.request.path |
客户端消息传输路径,从标头中提取。 |
keyword |
zeek.sip.request.to |
To: 标头的内容。 |
keyword |
zeek.sip.response.body_length |
来自服务器的 Content-Length: 标头的内容。 |
long |
zeek.sip.response.from |
响应的 From: 标头的内容。注意:通常附加到发送方的 tag= 值会被剥离,并且不会被记录。 |
keyword |
zeek.sip.response.path |
服务器消息传输路径,从标头中提取。 |
keyword |
zeek.sip.response.to |
响应的 To: 标头的内容。 |
keyword |
zeek.sip.sequence.method |
SIP 请求中使用的动词(INVITE、REGISTER 等)。 |
keyword |
zeek.sip.sequence.number |
来自客户端的 CSeq: 标头的内容。 |
keyword |
zeek.sip.status.code |
服务器返回的状态代码。 |
integer |
zeek.sip.status.msg |
服务器返回的状态消息。 |
keyword |
zeek.sip.subject |
来自客户端的 Subject: 标头的内容。 |
keyword |
zeek.sip.transaction_depth |
表示此请求/响应事务的连接管道深度。 |
integer |
zeek.sip.uri |
请求中使用的 URI。 |
keyword |
zeek.sip.user_agent |
来自客户端的 User-Agent: 标头的内容。 |
keyword |
zeek.sip.warning |
Warning: 标头的内容。 |
keyword |
smb_cmd
编辑smb_cmd 数据集收集 Zeek smb_cmd.log 文件,其中包含 SMB 命令。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这将描述事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
事件中看到的所有用户名或其他用户标识符。 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
user.name |
用户的简称或登录名。 |
keyword |
user.name.text |
|
match_only_text |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.smb_cmd.argument |
客户端发送的命令参数(如果有)。 |
keyword |
zeek.smb_cmd.command |
客户端发送的命令。 |
keyword |
zeek.smb_cmd.file.action |
此日志记录代表的操作。 |
keyword |
zeek.smb_cmd.file.host.rx |
接收主机地址。 |
ip |
zeek.smb_cmd.file.host.tx |
发送主机地址。 |
ip |
zeek.smb_cmd.file.name |
如果看到了文件名。 |
keyword |
zeek.smb_cmd.file.uid |
被引用文件的 UID。 |
keyword |
zeek.smb_cmd.rtt |
从请求到响应的往返时间。 |
double |
zeek.smb_cmd.smb1_offered_dialects |
如果加载了 base/protocols/smb/smb1-main.bro,则存在。客户端提供的方言。 |
keyword |
zeek.smb_cmd.smb2_offered_dialects |
如果加载了 base/protocols/smb/smb2-main.bro,则存在。客户端提供的方言。 |
integer |
zeek.smb_cmd.status |
服务器对客户端命令的回复。 |
keyword |
zeek.smb_cmd.sub_command |
客户端发送的子命令(如果有)。 |
keyword |
zeek.smb_cmd.tree |
如果这与树相关,则这是用于当前命令的树。 |
keyword |
zeek.smb_cmd.tree_service |
树的类型(磁盘共享、打印机共享、命名管道等)。 |
keyword |
zeek.smb_cmd.username |
经过身份验证的用户名(如果可用)。 |
keyword |
zeek.smb_cmd.version |
命令的 SMB 版本。 |
keyword |
smb_files
编辑smb_files 数据集收集 Zeek smb_files.log 文件,其中包含 SMB 文件数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这将描述事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
file.accessed |
上次访问文件的时间。请注意,并非所有文件系统都会跟踪访问时间。 |
date |
file.created |
文件创建时间。请注意,并非所有文件系统都会存储创建时间。 |
date |
file.ctime |
上次更改文件属性或元数据的时间。请注意,对文件内容的更改将更新 |
date |
file.mtime |
上次修改文件内容的时间。 |
date |
file.name |
文件名,包括扩展名,不包含目录。 |
keyword |
file.path |
文件的完整路径,包括文件名。它应该包括驱动器号(如果适用)。 |
keyword |
file.path.text |
|
match_only_text |
file.size |
文件大小,以字节为单位。仅在 |
long |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
事件中看到的所有用户名或其他用户标识符。 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.smb_files.action |
此日志记录代表的操作。 |
keyword |
zeek.smb_files.fid |
引用此文件的 ID。 |
integer |
zeek.smb_files.name |
如果看到了文件名。 |
keyword |
zeek.smb_files.path |
从此文件传输到或从其传输的树中提取的路径。 |
keyword |
zeek.smb_files.previous_name |
如果看到了重命名操作,这将是文件之前的名称。 |
keyword |
zeek.smb_files.size |
文件大小(以字节为单位)。 |
long |
zeek.smb_files.times.accessed |
文件的访问时间。 |
date |
zeek.smb_files.times.changed |
文件的更改时间。 |
date |
zeek.smb_files.times.created |
文件的创建时间。 |
date |
zeek.smb_files.times.modified |
文件的修改时间。 |
date |
zeek.smb_files.uuid |
如果为 DCE/RPC,则引用此文件的 UUID。 |
keyword |
smb_mapping
编辑smb_mapping 数据集收集 Zeek smb_mapping.log 文件,其中包含 SMB 树。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
file.path |
文件的完整路径,包括文件名。它应该包括驱动器号(如果适用)。 |
keyword |
file.path.text |
|
match_only_text |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.smb_mapping.native_file_system |
树的文件系统。 |
keyword |
zeek.smb_mapping.path |
树路径的名称。 |
keyword |
zeek.smb_mapping.service |
树的资源类型(磁盘共享、打印机共享、命名管道等)。 |
keyword |
zeek.smb_mapping.share_type |
如果这是 SMB2,将包含共享类型。对于 SMB1,共享类型将被推断并包含在内。 |
keyword |
smtp
编辑smtp 数据集收集 Zeek 的 smtp.log 文件,其中包含 SMTP 事务。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
tls.established |
布尔标志,指示 TLS 协商是否成功并转换为加密隧道。 |
boolean |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.smtp.cc |
抄送 (CC) 标头的内容。 |
keyword |
zeek.smtp.date |
日期 (Date) 标头的内容。 |
date |
zeek.smtp.first_received |
第一个接收 (Received) 标头的内容。 |
keyword |
zeek.smtp.from |
发件人 (From) 标头的内容。 |
keyword |
zeek.smtp.fuids |
(如果加载了 base/protocols/smtp/files.bro)一个有序的文件唯一 ID 向量,表示消息中看到的附件。 |
keyword |
zeek.smtp.has_client_activity |
指示是否已看到客户端活动,但尚未记录。 |
boolean |
zeek.smtp.helo |
Helo 标头的内容。 |
keyword |
zeek.smtp.in_reply_to |
回复 (In-Reply-To) 标头的内容。 |
keyword |
zeek.smtp.is_webmail |
指示消息是否通过 Webmail 界面发送。 |
boolean |
zeek.smtp.last_reply |
服务器发送给客户端的最后一条消息。 |
keyword |
zeek.smtp.mail_from |
在 MAIL FROM 标头中找到的电子邮件地址。 |
keyword |
zeek.smtp.msg_id |
消息 ID (MsgID) 标头的内容。 |
keyword |
zeek.smtp.path |
消息传输路径,从标头中提取。 |
ip |
zeek.smtp.process_received_from |
指示是否仍应处理“Received: from”标头。 |
boolean |
zeek.smtp.rcpt_to |
在 RCPT TO 标头中找到的电子邮件地址。 |
keyword |
zeek.smtp.reply_to |
回复地址 (ReplyTo) 标头的内容。 |
keyword |
zeek.smtp.second_received |
第二个接收 (Received) 标头的内容。 |
keyword |
zeek.smtp.subject |
主题 (Subject) 标头的内容。 |
keyword |
zeek.smtp.tls |
指示连接已切换为使用 TLS。 |
boolean |
zeek.smtp.to |
收件人 (To) 标头的内容。 |
keyword |
zeek.smtp.transaction_depth |
一个计数,表示在单个连接中传输多个消息时,此消息事务的深度。 |
integer |
zeek.smtp.user_agent |
来自客户端的 User-Agent 标头的值。 |
keyword |
zeek.smtp.x_originating_ip |
X-Originating-IP 标头的内容。 |
keyword |
snmp
编辑snmp 数据集收集 Zeek 的 snmp.log 文件,其中包含 SNMP 消息。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.snmp.community |
与会话关联的第一个 SNMP 数据包的团体字符串。这用作 SNMP(v1 和 v2c)管理/安全框架的一部分。请参阅 RFC 1157 或 RFC 1901。 |
keyword |
zeek.snmp.display_string |
SNMP 响应器端点的系统描述。 |
keyword |
zeek.snmp.duration |
从属于 SNMP 会话的第一个数据包到看到的最新数据包之间的时间量。 |
double |
zeek.snmp.get.bulk_requests |
会话中看到的 GetBulkRequest PDU 中的变量绑定数量。 |
integer |
zeek.snmp.get.requests |
会话中看到的 GetRequest/GetNextRequest PDU 中的变量绑定数量。 |
integer |
zeek.snmp.get.responses |
会话中看到的 GetResponse/Response PDU 中的变量绑定数量。 |
integer |
zeek.snmp.set.requests |
会话中看到的 SetRequest PDU 中的变量绑定数量。 |
integer |
zeek.snmp.up_since |
SNMP 响应器端点声明的自启动以来的时间。 |
date |
zeek.snmp.version |
正在使用的 SNMP 版本。 |
keyword |
socks
编辑socks 数据集收集 Zeek 的 socks.log 文件,其中包含 SOCKS 代理请求。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
related.user |
事件中看到的所有用户名或其他用户标识符。 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
user.name |
用户的简称或登录名。 |
keyword |
user.name.text |
|
match_only_text |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.socks.bound.host |
服务器绑定地址。可以是地址、名称或两者兼有。 |
keyword |
zeek.socks.bound.port |
服务器绑定端口。 |
integer |
zeek.socks.capture_password |
确定是否捕获此请求的密码。 |
boolean |
zeek.socks.password |
用于请求登录代理的密码。 |
keyword |
zeek.socks.request.host |
客户端请求的 SOCKS 地址。可以是地址、名称或两者兼有。 |
keyword |
zeek.socks.request.port |
客户端请求的端口。 |
integer |
zeek.socks.status |
尝试使用代理的服务器状态。 |
keyword |
zeek.socks.user |
用于请求登录代理的用户名。 |
keyword |
zeek.socks.version |
SOCKS 的协议版本。 |
integer |
software
编辑software 数据集收集有关本地网络上主机操作的应用程序的详细信息。有关更多详细信息,请参阅文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.geo.city_name |
城市名称。 |
keyword |
host.geo.continent_name |
洲名称。 |
keyword |
host.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
host.geo.country_name |
国家/地区名称。 |
keyword |
host.geo.location |
经度和纬度。 |
geo_point |
host.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
host.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
host.geo.region_name |
区域名称。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.type |
在 OSI 模型中,这将是网络层。ipv4、ipv6、ipsec、pim 等。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.software.name |
软件的名称(例如 Apache)。 |
keyword |
zeek.software.type |
检测到的软件类型 |
keyword |
zeek.software.version.additional |
其他版本信息 |
keyword |
zeek.software.version.full |
软件的完整未解析版本。 |
keyword |
zeek.software.version.major |
软件的主要版本。 |
long |
zeek.software.version.minor |
软件的次要版本。 |
long |
zeek.software.version.minor2 |
软件的第二个次要版本。 |
long |
zeek.software.version.minor3 |
软件的第三个次要版本。 |
long |
ssh
编辑ssh 数据集收集 Zeek 的 ssh.log 文件,其中包含 SSH 连接数据。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.ssh.algorithm.cipher |
正在使用的加密算法。 |
keyword |
zeek.ssh.algorithm.compression |
正在使用的压缩算法。 |
keyword |
zeek.ssh.algorithm.host_key |
服务器主机密钥的算法。 |
keyword |
zeek.ssh.algorithm.key_exchange |
正在使用的密钥交换算法。 |
keyword |
zeek.ssh.algorithm.mac |
正在使用的签名 (MAC) 算法。 |
keyword |
zeek.ssh.auth.attempts |
我们观察到的身份验证尝试次数。总是至少有一个,因为某些服务器可能根本不支持身份验证。需要注意的是,并非所有这些都是失败的,因为某些服务器需要双因素身份验证(例如密码和公钥)。 |
integer |
zeek.ssh.auth.success |
身份验证结果。 |
boolean |
zeek.ssh.client |
客户端的版本字符串。 |
keyword |
zeek.ssh.direction |
连接方向。如果客户端是登录到外部主机的本地主机,则这将是 OUTBOUND。对于相反的情况,将设置 INBOUND。 |
keyword |
zeek.ssh.host_key |
服务器的密钥指纹。 |
keyword |
zeek.ssh.server |
服务器的版本字符串。 |
keyword |
zeek.ssh.version |
SSH 主要版本(1 或 2)。 |
integer |
ssl
编辑ssl 数据集收集 Zeek 的 ssl.log 文件,其中包含 SSL/TLS 握手信息。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
client.address |
一些事件客户端地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.hash |
事件中看到的所有哈希。填充此字段,然后使用它搜索哈希,可以在不确定哈希算法是什么(以及因此搜索哪个键名称)的情况下提供帮助。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
server.address |
一些事件服务器地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
tls.cipher |
指示当前连接期间使用的密码的字符串。 |
keyword |
tls.client.issuer |
客户端提供的 x.509 证书颁发者主题的专有名称。 |
keyword |
tls.client.ja3 |
根据客户端执行 SSL/TLS 握手的方式来识别客户端的哈希。 |
keyword |
tls.client.x509.subject.common_name |
主题的公用名 (CN) 列表。 |
keyword |
tls.client.x509.subject.country |
国家/地区 (C) 代码列表 |
keyword |
tls.client.x509.subject.locality |
地点名称 (L) 列表 |
keyword |
tls.client.x509.subject.organization |
主题的组织 (O) 列表。 |
keyword |
tls.client.x509.subject.organizational_unit |
主题的组织单位 (OU) 列表。 |
keyword |
tls.client.x509.subject.state_or_province |
州或省份名称 (ST、S 或 P) 列表 |
keyword |
tls.curve |
指示给定密码的曲线的字符串(如果适用)。 |
keyword |
tls.established |
布尔标志,指示 TLS 协商是否成功并转换为加密隧道。 |
boolean |
tls.resumed |
一个布尔标志,指示此 TLS 连接是否是从现有 TLS 协商恢复的。 |
boolean |
tls.server.hash.sha1 |
使用服务器提供的证书的 DER 编码版本的 SHA1 摘要的证书指纹。为了与其他哈希值保持一致,此值应格式化为大写哈希。 |
keyword |
tls.server.issuer |
服务器提供的 x.509 证书的颁发者的主题。 |
keyword |
tls.server.ja3s |
根据服务器执行 SSL/TLS 握手的方式来识别服务器的哈希。 |
keyword |
tls.server.not_after |
指示服务器证书不再被视为有效的时间戳。 |
date |
tls.server.not_before |
指示服务器证书首次被视为有效的时间戳。 |
date |
tls.server.subject |
服务器提供的 x.509 证书的主题。 |
keyword |
tls.server.x509.issuer.common_name |
颁发证书机构的通用名称 (CN) 列表。 |
keyword |
tls.server.x509.issuer.country |
国家 (C) 代码列表 |
keyword |
tls.server.x509.issuer.distinguished_name |
颁发证书机构的专有名称 (DN)。 |
keyword |
tls.server.x509.issuer.locality |
地点名称 (L) 列表 |
keyword |
tls.server.x509.issuer.organization |
颁发证书机构的组织 (O) 列表。 |
keyword |
tls.server.x509.issuer.organizational_unit |
颁发证书机构的组织单位 (OU) 列表。 |
keyword |
tls.server.x509.issuer.state_or_province |
州或省份名称 (ST、S 或 P) 列表 |
keyword |
tls.server.x509.subject.common_name |
主题的公用名 (CN) 列表。 |
keyword |
tls.server.x509.subject.country |
国家/地区 (C) 代码列表 |
keyword |
tls.server.x509.subject.locality |
地点名称 (L) 列表 |
keyword |
tls.server.x509.subject.organization |
主题的组织 (O) 列表。 |
keyword |
tls.server.x509.subject.organizational_unit |
主题的组织单位 (OU) 列表。 |
keyword |
tls.server.x509.subject.state_or_province |
州或省份名称 (ST、S 或 P) 列表 |
keyword |
tls.version |
从原始字符串解析的版本数字部分。 |
keyword |
tls.version_protocol |
从原始字符串解析的规范化小写协议名称。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.ssl.cipher |
已记录的 SSL/TLS 密码套件。 |
keyword |
zeek.ssl.client.cert_chain |
客户端提供的用于验证其完整签名链的证书链。 |
keyword |
zeek.ssl.client.cert_chain_fuids |
客户端提供的证书的证书文件标识符的有序向量。 |
keyword |
zeek.ssl.client.issuer.common_name |
客户端提供的 X.509 证书的签名者的通用名称。 |
keyword |
zeek.ssl.client.issuer.country |
客户端提供的 X.509 证书的签名者的国家代码。 |
keyword |
zeek.ssl.client.issuer.locality |
客户端提供的 X.509 证书的签名者的所在地。 |
keyword |
zeek.ssl.client.issuer.organization |
客户端提供的 X.509 证书的签名者的组织。 |
keyword |
zeek.ssl.client.issuer.organizational_unit |
客户端提供的 X.509 证书的签名者的组织单位。 |
keyword |
zeek.ssl.client.issuer.state |
客户端提供的 X.509 证书的签名者的州或省名称。 |
keyword |
zeek.ssl.client.subject.common_name |
客户端提供的 X.509 证书的通用名称。 |
keyword |
zeek.ssl.client.subject.country |
客户端提供的 X.509 证书的国家代码。 |
keyword |
zeek.ssl.client.subject.locality |
客户端提供的 X.509 证书的所在地。 |
keyword |
zeek.ssl.client.subject.organization |
客户端提供的 X.509 证书的组织。 |
keyword |
zeek.ssl.client.subject.organizational_unit |
客户端提供的 X.509 证书的组织单位。 |
keyword |
zeek.ssl.client.subject.state |
客户端提供的 X.509 证书的州或省名称。 |
keyword |
zeek.ssl.curve |
使用 ECDH/ECDHE 时记录的椭圆曲线。 |
keyword |
zeek.ssl.established |
一个标志,指示此 ssl 会话是否已成功建立。 |
boolean |
zeek.ssl.last_alert |
连接期间看到的最后一个警报。 |
keyword |
zeek.ssl.next_protocol |
服务器使用应用层下一个协议扩展选择的下一个协议。 |
keyword |
zeek.ssl.resumed |
一个标志,指示会话是否已恢复,重复使用在早期连接中交换的密钥材料。 |
boolean |
zeek.ssl.server.cert_chain |
服务器提供的用于验证其完整签名链的证书链。 |
keyword |
zeek.ssl.server.cert_chain_fuids |
服务器提供的证书的证书文件标识符的有序向量。 |
keyword |
zeek.ssl.server.issuer.common_name |
服务器提供的 X.509 证书的签名者的通用名称。 |
keyword |
zeek.ssl.server.issuer.country |
服务器提供的 X.509 证书的签名者的国家代码。 |
keyword |
zeek.ssl.server.issuer.locality |
服务器提供的 X.509 证书的签名者的所在地。 |
keyword |
zeek.ssl.server.issuer.organization |
服务器提供的 X.509 证书的签名者的组织。 |
keyword |
zeek.ssl.server.issuer.organizational_unit |
服务器提供的 X.509 证书的签名者的组织单位。 |
keyword |
zeek.ssl.server.issuer.state |
服务器提供的 X.509 证书的签名者的州或省名称。 |
keyword |
zeek.ssl.server.name |
服务器名称指示器 SSL/TLS 扩展的值。它指示客户端请求的服务器名称。 |
keyword |
zeek.ssl.server.subject.common_name |
服务器提供的 X.509 证书的通用名称。 |
keyword |
zeek.ssl.server.subject.country |
服务器提供的 X.509 证书的国家代码。 |
keyword |
zeek.ssl.server.subject.locality |
服务器提供的 X.509 证书的所在地。 |
keyword |
zeek.ssl.server.subject.organization |
服务器提供的 X.509 证书的组织。 |
keyword |
zeek.ssl.server.subject.organizational_unit |
服务器提供的 X.509 证书的组织单元。 |
keyword |
zeek.ssl.server.subject.state |
服务器提供的 X.509 证书的州或省份名称。 |
keyword |
zeek.ssl.validation.code |
此连接的证书验证结果,以 OpenSSL 验证代码的形式给出。 |
keyword |
zeek.ssl.validation.status |
此连接的证书验证结果。 |
keyword |
zeek.ssl.version |
记录的 SSL/TLS 版本。 |
keyword |
stats
编辑stats 数据集收集 Zeek 的 stats.log 文件,其中包含内存/事件/数据包/延迟统计信息。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.stats.bytes.received |
如果读取实时流量,则自上次统计间隔以来接收的字节数。 |
long |
zeek.stats.connections.icmp.active |
当前内存中的 ICMP 连接数。 |
integer |
zeek.stats.connections.icmp.count |
自上次统计间隔以来看到的 ICMP 连接数。 |
integer |
zeek.stats.connections.tcp.active |
当前内存中的 TCP 连接数。 |
integer |
zeek.stats.connections.tcp.count |
自上次统计间隔以来看到的 TCP 连接数。 |
integer |
zeek.stats.connections.udp.active |
当前内存中的 UDP 连接数。 |
integer |
zeek.stats.connections.udp.count |
自上次统计间隔以来看到的 UDP 连接数。 |
integer |
zeek.stats.dns_requests.active |
当前等待回复的 DNS 请求数。 |
integer |
zeek.stats.dns_requests.count |
自上次统计间隔以来看到的 DNS 请求数。 |
integer |
zeek.stats.events.processed |
自上次统计间隔以来处理的事件数。 |
integer |
zeek.stats.events.queued |
自上次统计间隔以来排队的事件数。 |
integer |
zeek.stats.files.active |
当前正在活动查看的文件数。 |
integer |
zeek.stats.files.count |
自上次统计间隔以来看到的文件数。 |
integer |
zeek.stats.memory |
当前使用的内存量(以 MB 为单位)。 |
integer |
zeek.stats.packets.dropped |
如果读取实时流量,则自上次统计间隔以来丢弃的数据包数。 |
long |
zeek.stats.packets.processed |
自上次统计间隔以来处理的数据包数。 |
long |
zeek.stats.packets.received |
如果读取实时流量,则自上次统计间隔以来在链路上看到的数据包数。 |
long |
zeek.stats.peer |
生成此日志的对等节点。主要用于集群。 |
keyword |
zeek.stats.reassembly_size.file |
重组中文件数据的当前大小。 |
integer |
zeek.stats.reassembly_size.frag |
重组中数据包片段数据的当前大小。 |
integer |
zeek.stats.reassembly_size.tcp |
重组中 TCP 数据的当前大小。 |
integer |
zeek.stats.reassembly_size.unknown |
重组中未知数据的当前大小(目前仅为 PIA 缓冲区)。 |
integer |
zeek.stats.timers.active |
当前计划的计时器数。 |
integer |
zeek.stats.timers.count |
自上次统计间隔以来计划的计时器数。 |
integer |
zeek.stats.timestamp_lag |
如果读取实时流量,则墙上时钟和数据包时间戳之间的延迟。 |
integer |
syslog
编辑syslog 数据集收集 Zeek 的 syslog.log 文件,其中包含 syslog 消息。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
log.syslog.facility.name |
如果可用,则日志事件的基于文本的 Syslog 工具。 |
keyword |
log.syslog.severity.name |
如果可用,则日志事件的 Syslog 数字严重性。如果通过 Syslog 发布事件的事件源提供了不同的严重性值(例如,防火墙、IDS),则您的源的文本严重性应转到 |
keyword |
message |
对于日志事件,message 字段包含日志消息,针对在日志查看器中查看进行了优化。对于没有原始 message 字段的结构化日志,可以将其他字段连接起来,以形成事件的易于理解的摘要。如果存在多条消息,可以将它们合并为一条消息。 |
match_only_text |
network.community_id |
源和目标 IP 及端口的哈希值,以及通信中使用的协议。这是一种与工具无关的用于识别流的标准。有关详细信息,请访问 https://github.com/corelight/community-id-spec。 |
keyword |
network.protocol |
在 OSI 模型中,这将是应用层协议。例如, |
keyword |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.syslog.facility |
消息的 Syslog 工具。 |
keyword |
zeek.syslog.msg |
纯文本消息。 |
keyword |
zeek.syslog.severity |
消息的 Syslog 严重性。 |
keyword |
traceroute
编辑traceroute 数据集收集 Zeek 的 traceroute.log 文件,其中包含 traceroute 检测。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
network.transport |
与 network.iana_number 相同,但改为使用传输层的关键字名称 (udp、tcp、ipv6-icmp 等)。字段值必须标准化为小写以进行查询。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
tunnel
编辑tunnel 数据集收集 Zeek 的 tunnel.log 文件,其中包含隧道协议事件。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.action |
事件捕获的操作。这将描述事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.tunnel.action |
发生的活动类型。 |
keyword |
zeek.tunnel.type |
隧道的类型。 |
keyword |
weird
编辑weird 数据集收集 Zeek 的 weird.log 文件,其中包含意外的网络级活动。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
destination.address |
某些事件目标地址的定义不明确。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
destination.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
destination.as.organization.name |
组织名称。 |
keyword |
destination.as.organization.name.text |
|
match_only_text |
destination.geo.city_name |
城市名称。 |
keyword |
destination.geo.continent_name |
洲名称。 |
keyword |
destination.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
destination.geo.country_name |
国家/地区名称。 |
keyword |
destination.geo.location |
经度和纬度。 |
geo_point |
destination.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
destination.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
destination.geo.region_name |
区域名称。 |
keyword |
destination.ip |
目标 IP 地址 (IPv4 或 IPv6)。 |
ip |
destination.port |
目标的端口。 |
long |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构的第二层。 |
keyword |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
rule.name |
生成事件的规则或签名的名称。 |
keyword |
source.address |
一些事件源地址的定义是模糊的。事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.as.number |
分配给自治系统的唯一编号。自治系统编号 (ASN) 唯一地标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.name |
用户自定义的位置描述,粒度级别由用户决定。可以是他们的数据中心名称、楼层号(如果描述的是本地物理实体)或城市名称。通常不用于自动化地理定位。 |
keyword |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址 (IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.weird.additional_info |
如果存在,则伴随 weird 的其他信息。 |
keyword |
zeek.weird.identifier |
当生成 weird 以用于对 weird 进行重复数据删除时,将提供此字段。对于 weird 的单个实例,标识符字符串应该是唯一的。此字段用于定义何时在概念上 weird 是之前 weird 的重复项。 |
keyword |
zeek.weird.name |
发生的 weird 的名称。 |
keyword |
zeek.weird.notice |
指示此 weird 是否也已转换为通知。 |
boolean |
zeek.weird.peer |
产生此 weird 的对等节点。如果特定的集群节点存在问题,则这在集群部署中很有用,有助于确定哪个节点存在问题。 |
keyword |
x509
编辑x509 数据集收集 Zeek 的 x509.log 文件,其中包含 X.509 证书信息。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
date |
cloud.account.id |
云账户或组织 ID,用于标识多租户环境中的不同实体。示例:AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
cloud.instance.name |
主机机器的实例名称。 |
keyword |
cloud.machine.type |
主机机器的机器类型。 |
keyword |
cloud.project.id |
云项目标识符。示例:Google Cloud 项目 ID、Azure 项目 ID。 |
keyword |
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
keyword |
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
container.id |
唯一的容器 ID。 |
keyword |
container.image.name |
容器构建所基于的镜像名称。 |
keyword |
container.labels |
镜像标签。 |
object |
container.name |
容器名称。 |
keyword |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在将此最佳实践作为默认值提供。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.created |
|
date |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
用于描述事件的唯一 ID。 |
keyword |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
date |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高级别。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三级。 |
keyword |
file.x509.alternative_names |
主题备用名称 (SAN) 列表。名称类型因证书颁发机构和证书类型而异,但通常包含 IP 地址、DNS 名称(和通配符)和电子邮件地址。 |
keyword |
file.x509.issuer.common_name |
颁发证书机构的通用名称 (CN) 列表。 |
keyword |
file.x509.issuer.country |
国家 (C) 代码列表 |
keyword |
file.x509.issuer.distinguished_name |
颁发证书机构的专有名称 (DN)。 |
keyword |
file.x509.issuer.locality |
地点名称 (L) 列表 |
keyword |
file.x509.issuer.organization |
颁发证书机构的组织 (O) 列表。 |
keyword |
file.x509.issuer.organizational_unit |
颁发证书机构的组织单位 (OU) 列表。 |
keyword |
file.x509.issuer.state_or_province |
州或省份名称 (ST、S 或 P) 列表 |
keyword |
file.x509.not_after |
证书不再被视为有效的时间。 |
date |
file.x509.not_before |
首次认为证书有效的时间。 |
date |
file.x509.public_key_algorithm |
用于生成公钥的算法。 |
keyword |
file.x509.public_key_curve |
椭圆曲线公钥算法使用的曲线。这是特定于算法的。 |
keyword |
file.x509.public_key_exponent |
用于派生公钥的指数。这是特定于算法的。 |
long |
file.x509.public_key_size |
公钥空间的大小(以位为单位)。 |
long |
file.x509.serial_number |
证书颁发机构颁发的唯一序列号。为保持一致性,如果此值为字母数字,则应在格式化时去除冒号并使用大写字符。 |
keyword |
file.x509.signature_algorithm |
证书签名算法的标识符。我们建议使用 Go Lang Crypto 库中找到的名称。请参阅 https://github.com/golang/go/blob/go1.14/src/crypto/x509/x509.go#L337-L353。 |
keyword |
file.x509.subject.common_name |
主题的公用名 (CN) 列表。 |
keyword |
file.x509.subject.country |
国家/地区 (C) 代码列表 |
keyword |
file.x509.subject.distinguished_name |
证书主体实体的专有名称 (DN)。 |
keyword |
file.x509.subject.locality |
地点名称 (L) 列表 |
keyword |
file.x509.subject.organization |
主题的组织 (O) 列表。 |
keyword |
file.x509.subject.organizational_unit |
主题的组织单位 (OU) 列表。 |
keyword |
file.x509.subject.state_or_province |
州或省份名称 (ST、S 或 P) 列表 |
keyword |
file.x509.version_number |
x509 格式的版本。 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.containerized |
如果主机是容器。 |
boolean |
host.domain |
主机所属域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供程序的域。 |
keyword |
host.hostname |
主机的hostname。它通常包含主机机器上 |
keyword |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前使用 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)由两个[大写]十六进制数字表示,给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 hostname 在 Unix 系统上返回的内容、完全限定的域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代码名称(如果有)。 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
操作系统内核版本(原始字符串形式)。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.version |
操作系统版本(原始字符串形式)。 |
keyword |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
keyword |
input.type |
Filebeat 输入的类型。 |
keyword |
log.file.path |
此事件来源的日志文件的完整路径,包括文件名。它应包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.flags |
日志文件的标志。 |
keyword |
log.offset |
日志文件中条目的偏移量。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
zeek.session_id |
会话的唯一标识符 |
keyword |
zeek.x509.basic_constraints.certificate_authority |
CA 标志已设置还是未设置。 |
boolean |
zeek.x509.basic_constraints.path_length |
最大路径长度。 |
integer |
zeek.x509.certificate.common_name |
最后一个(最具体的)通用名称。 |
keyword |
zeek.x509.certificate.curve |
如果为 EC 证书,则为曲线。 |
keyword |
zeek.x509.certificate.exponent |
如果为 RSA 证书,则为指数。 |
keyword |
zeek.x509.certificate.issuer.common_name |
证书颁发者字段中提供的通用名称。 |
keyword |
zeek.x509.certificate.issuer.country |
证书颁发者字段中提供的国家/地区。 |
keyword |
zeek.x509.certificate.issuer.locality |
证书颁发者字段中提供的所在地。 |
keyword |
zeek.x509.certificate.issuer.organization |
证书颁发者字段中提供的组织。 |
keyword |
zeek.x509.certificate.issuer.organizational_unit |
证书颁发者字段中提供的组织单元。 |
keyword |
zeek.x509.certificate.issuer.state |
证书颁发者字段中提供的州或省份。 |
keyword |
zeek.x509.certificate.key.algorithm |
密钥算法的名称。 |
keyword |
zeek.x509.certificate.key.length |
密钥长度(以位为单位)。 |
integer |
zeek.x509.certificate.key.type |
如果密钥可以通过 openssl 进行解析(rsa、dsa 或 ec),则为密钥类型。 |
keyword |
zeek.x509.certificate.serial |
序列号。 |
keyword |
zeek.x509.certificate.signature_algorithm |
签名算法的名称。 |
keyword |
zeek.x509.certificate.subject.common_name |
证书主题中提供的通用名称。 |
keyword |
zeek.x509.certificate.subject.country |
证书主题中提供的国家/地区。 |
keyword |
zeek.x509.certificate.subject.locality |
证书主题中提供的所在地。 |
keyword |
zeek.x509.certificate.subject.organization |
证书主题中提供的组织。 |
keyword |
zeek.x509.certificate.subject.organizational_unit |
证书主题中提供的组织单元。 |
keyword |
zeek.x509.certificate.subject.state |
证书主题中提供的州或省份。 |
keyword |
zeek.x509.certificate.valid.from |
在此时间戳之前,证书无效。 |
date |
zeek.x509.certificate.valid.until |
在此时间戳之后,证书无效。 |
date |
zeek.x509.certificate.version |
版本号。 |
integer |
zeek.x509.id |
此证书的文件 ID。 |
keyword |
zeek.x509.log_cert |
如果加载了 policy/protocols/ssl/log-hostcerts-only.bro,则存在。如果设置为 F,则会禁止记录证书。 |
boolean |
zeek.x509.san.dns |
SAN 中的 DNS 条目列表。 |
keyword |
zeek.x509.san.email |
SAN 中的电子邮件条目列表。 |
keyword |
zeek.x509.san.ip |
SAN 中的 IP 条目列表。 |
ip |
zeek.x509.san.other_fields |
如果证书包含其他未识别或已解析的名称字段,则为 True。 |
boolean |
zeek.x509.san.uri |
SAN 中的 URI 条目列表。 |
keyword |
Changelog
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.25.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
2.24.4 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
2.24.3 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
2.24.2 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
2.24.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
2.24.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
2.23.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
2.22.4 |
Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.22.3 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.22.2 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.22.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.22.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.21.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.20.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.19.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.19.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.18.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.17.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.16.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.15.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.14.1 |
Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.14.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.11.2 |
Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.11.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.10.0 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
2.9.0 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
2.8.0 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
2.7.1 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
2.7.0 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
2.6.1 |
增强 (查看拉取请求) |
8.1.0 或更高版本 |
2.6.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
2.5.2 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
2.5.1 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
2.5.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
2.4.1 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
2.4.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
2.3.1 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
2.3.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
2.2.0 |
增强 (查看拉取请求) |
— |
2.1.0 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
2.0.0 |
Bug 修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.9.0 |
增强 (查看拉取请求) Bug 修复 (查看拉取请求) |
— |
1.8.0 |
Bug 修复 (查看拉取请求) |
7.14.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
— |
1.6.1 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.5.4 |
Bug 修复 (查看拉取请求) |
7.14.0 或更高版本 |
1.5.3 |
Bug 修复 (查看拉取请求) |
— |
1.5.2 |
Bug 修复 (查看拉取请求) |
7.14.0 或更高版本 |
1.5.1 |
Bug 修复 (查看拉取请求) |
— |
1.5.0 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.4.3 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.4.2 |
增强 (查看拉取请求) |
— |
1.4.1 |
Bug 修复 (查看拉取请求) |
— |
1.4.0 |
增强 (查看拉取请求) |
— |
1.3.0 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.2.2 |
增强 (查看拉取请求) |
— |
1.2.1 |
增强 (查看拉取请求) |
— |
1.2.0 |
增强 (查看拉取请求) |
— |
1.1.0 |
增强 (查看拉取请求) |
— |
1.0.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
7.14.0 或更高版本 |
0.8.4 |
增强 (查看拉取请求) |
— |
0.8.3 |
错误修复 (查看拉取请求) |
— |
0.8.2 |
增强 (查看拉取请求) |
— |
0.8.1 |
增强 (查看拉取请求) |
— |
0.8.0 |
增强 (查看拉取请求) |
— |
0.7.4 |
增强 (查看拉取请求) |
— |
0.7.3 |
增强 (查看拉取请求) |
— |
0.7.2 |
错误修复 (查看拉取请求) |
— |
0.7.1 |
错误修复 (查看拉取请求) |
— |
0.7.0 |
增强 (查看拉取请求) |
— |
0.6.1 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |