导出的字段参考

编辑

导出的字段参考

编辑

以下字段可以在 osquery 结果中返回。请注意以下关于 osquery 字段的信息:

  • 一些字段列出了多个描述,因为应用的描述取决于查询的表。例如,存储在 osquery.autoupdate 字段中的结果可能表示来自 firefox_addons 表或 windows_security_center 表的响应。
  • 如果一个字段名称与多个 osquery 表相关联,我们已经尽力猜测了数据的 type 应该是什么。如果未知,则数据类型设置为 keyword 对象。

有关 osquery 表的更多信息,请参阅 osquery schema 文档

字段

编辑

UUID - 关键字,文本.文本

  • system_extensions.UUID - 扩展唯一 ID

access - 关键字,文本.文本

  • ntfs_acl_permissions.access - 指示 ACE 所描述的权限的具体权限。

accessed_directories - 关键字,文本.文本

  • prefetch.accessed_directories - 应用程序启动后十秒内访问的目录。

accessed_directories_count - 关键字,数字.长整型

  • prefetch.accessed_directories_count - 访问的目录数。

accessed_files - 关键字,文本.文本

  • prefetch.accessed_files - 应用程序启动后十秒内访问的文件。

accessed_files_count - 关键字,数字.长整型

  • prefetch.accessed_files_count - 访问的文件数。

accessed_time - 关键字,数字.长整型

  • shellbags.accessed_time - 目录访问时间。

account - 关键字,文本.文本

  • keychain_items.account - 可选的项目帐户

account_id - 关键字,文本.文本

  • ec2_instance_metadata.account_id - 拥有此 EC2 实例的 AWS 账户 ID

action - 关键字,文本.文本

  • disk_events.action - 出现或消失
  • file_events.action - 更改操作(更新、删除等)
  • hardware_events.action - 删除、插入、更改属性等
  • ntfs_journal_events.action - 更改操作(写入、删除等)
  • scheduled_tasks.action - 计划任务执行的操作
  • socket_events.action - 套接字操作(绑定、侦听、关闭)
  • windows_firewall_rules.action - 规则或默认设置的操作
  • yara_events.action - 更改操作(更新、删除等)

activated - 关键字,数字.长整型

  • tpm_info.activated - TPM 已激活

active - 关键字,数字.长整型

  • firefox_addons.active - 如果插件处于活动状态则为 1,否则为 0
  • memory_info.active - 处于活动状态的缓冲区或页面缓存内存总量,以字节为单位
  • osquery_events.active - 如果发布者或订阅者处于活动状态则为 1,否则为 0
  • osquery_packs.active - 此包是否处于活动状态(版本、平台和发现查询匹配)yes=1,no=0。
  • osquery_registry.active - 如果此插件处于活动状态则为 1,否则为 0
  • virtual_memory_info.active - 活动页面的总数。

active_disks - 关键字,数字.长整型

  • md_devices.active_disks - 阵列中活动磁盘的数量

active_state - 关键字,文本.文本

  • systemd_units.active_state - 高级单元激活状态,即 SUB 的概括

activity - 关键字,数字.长整型

  • unified_log.activity - 与条目关联的活动 ID

actual - 关键字,数字.长整型

  • fan_speed_sensors.actual - 实际速度

add_reason - 关键字,文本.文本

  • wifi_networks.add_reason - 显示添加此网络的原因,通过菜单栏、命令行或其他方式

added_at - 关键字,数字.长整型

  • wifi_networks.added_at - 添加此网络的时间,以 unix_time 表示

additional_properties - 关键字,文本.文本

  • windows_search.additional_properties - 要包含在属性 JSON 中的逗号分隔的列列表

address - 关键字,文本.文本

  • arp_cache.address - IPv4 地址目标
  • dns_resolvers.address - 解析器 IP/IPv6 地址
  • etc_hosts.address - IP 地址映射
  • interface_addresses.address - 接口的特定地址
  • kernel_modules.address - 内核模块地址
  • listening_ports.address - 绑定的特定地址
  • platform_info.address - 固件映射的相对地址
  • user_events.address - 互联网协议地址或族 ID

address_width - 关键字,文本.文本

  • cpu_info.address_width - CPU 地址总线的宽度。

admindir - 关键字,文本.文本

  • deb_packages.admindir - libdpkg admindir。默认为 /var/lib/dpkg

algorithm - 关键字,文本.文本

  • authorized_keys.algorithm - 密钥类型

alias - 关键字,文本.文本

  • etc_protocols.alias - 协议别名
  • time_machine_destinations.alias - 驱动器的人类可读名称

aliases - 关键字,文本.文本

  • etc_services.aliases - 服务的其他可选的空格分隔名称列表
  • lxd_images.aliases - 图像别名的逗号分隔列表

allow_maximum - 关键字,数字.长整型

  • shared_resources.allow_maximum - 此资源限制的并发用户数。如果为 True,则忽略 MaximumAllowed 属性中的值。

allow_root - 关键字,文本.文本

  • authorizations.allow_root - 标签顶层密钥

allow_signed_enabled - 关键字,数字.长整型

  • alf.allow_signed_enabled - 如果启用允许签名模式则为 1,否则为 0

ambient_brightness_enabled - 关键字,文本.文本

  • connected_displays.ambient_brightness_enabled - 与显示器关联的环境亮度设置。如果启用则为 1,如果禁用或不支持则为 0。

ami_id - 关键字,文本.文本

  • ec2_instance_metadata.ami_id - 用于启动此 EC2 实例的 AMI ID

amperage - 关键字,数字.长整型

  • battery.amperage - 电池的当前输入/输出电流,以 mA 为单位(正值表示充电,负值表示放电)

anonymous - 关键字,数字.长整型

  • virtual_memory_info.anonymous - 匿名页面的总数。

antispyware - 关键字,文本.文本

  • windows_security_center.antispyware - 已弃用(始终为 *Good*)。

antivirus - 关键字,文本.文本

  • windows_security_center.antivirus - 受监控的防病毒解决方案的运行状况(请参阅 windows_security_products)

api_version - 关键字,文本.文本

  • docker_version.api_version - API 版本

app_name - 关键字,文本.文本

  • windows_firewall_rules.app_name - 规则应用的应用程序的友好名称

apparmor - 关键字,文本.文本

  • apparmor_events.apparmor - Apparmor 状态,例如 ALLOWED、DENIED 等。

applescript_enabled - 关键字,文本.文本

  • apps.applescript_enabled - Info 属性 NSAppleScriptEnabled 标签

application - 关键字,文本.文本

  • office_mru.application - 关联的 Office 应用程序

arch - 关键字,文本.文本

  • deb_packages.arch - 包体系结构
  • docker_version.arch - 硬件体系结构
  • os_version.arch - 操作系统体系结构
  • rpm_packages.arch - 支持的体系结构
  • seccomp_events.arch - 有关 CPU 体系结构的信息
  • signature.arch - 如果适用,则为签名代码的体系结构

architecture - 关键字,文本.文本

  • docker_info.architecture - 硬件体系结构
  • ec2_instance_metadata.architecture - 此 EC2 实例的硬件体系结构
  • lxd_images.architecture - 映像的目标体系结构
  • lxd_instances.architecture - 实例体系结构

architectures - 关键字,文本.文本

  • apt_sources.architectures - 存储库体系结构

args - 关键字,文本.文本

  • startup_items.args - 提供给启动可执行文件的参数

arguments - 关键字,文本.文本

  • kernel_info.arguments - 内核参数

array_handle - 关键字,文本.文本

  • memory_devices.array_handle - 设备连接到的内存阵列

assessments_enabled - 关键字,数字.长整型

  • gatekeeper.assessments_enabled - 如果启用 Gatekeeper 则为 1,否则为 0

asset_tag - 关键字,文本.文本

  • memory_devices.asset_tag - 内存设备的制造商特定资产标签

atime - 关键字,数字.长整型

  • device_file.atime - 上次访问时间
  • file.atime - 上次访问时间
  • file_events.atime - 上次访问时间
  • process_events.atime - 文件上次访问时间,以 UNIX 时间表示
  • shared_memory.atime - 附加时间

attach - 关键字,文本.文本

  • apparmor_profiles.attach - 配置文件将附加到的可执行文件。

attached - 关键字,数字.长整型

  • shared_memory.attached - 附加的进程数

attributes - 关键字,文本.文本

audible_alarm - 关键字,文本.文本

  • chassis_info.audible_alarm - 如果为 TRUE,则机箱配有声音警报。

audit_account_logon - 关键字,数字.长整型

  • security_profile_info.audit_account_logon - 确定操作系统是否必须审核此计算机每次验证帐户凭据的时间

audit_account_manage - 关键字,数字.长整型

  • security_profile_info.audit_account_manage - 确定操作系统是否必须审核计算机上每次帐户管理事件

audit_ds_access - 关键字,数字.长整型

  • security_profile_info.audit_ds_access - 确定操作系统是否必须审核用户尝试访问具有其自己系统访问控制列表 (SACL) 的 Active Directory 对象的每个实例

audit_logon_events - 关键字,数字.长整型

  • security_profile_info.audit_logon_events - 确定操作系统是否必须审核用户尝试登录或注销此计算机的每个实例

audit_object_access - 关键字,数字.长整型

  • security_profile_info.audit_object_access - 确定操作系统是否必须审核用户尝试访问具有其自己 SACL 的非 Active Directory 对象的每个实例

audit_policy_change - 关键字,number.long

  • security_profile_info.audit_policy_change - 确定操作系统是否必须审计用户尝试更改用户权限分配策略、审计策略、帐户策略或信任策略的每个实例

audit_privilege_use - 关键字,number.long

  • security_profile_info.audit_privilege_use - 确定操作系统是否必须审计用户尝试行使用户权限的每个实例

audit_process_tracking - 关键字,number.long

  • security_profile_info.audit_process_tracking - 确定操作系统是否必须审计与进程相关的事件

audit_system_events - 关键字,number.long

  • security_profile_info.audit_system_events - 确定操作系统是否必须审计系统更改、系统启动、系统关闭、身份验证组件加载以及安全事件的丢失或超出

auid - 关键字

  • process_events.auid - 进程启动时的审计用户 ID
  • process_file_events.auid - 使用该文件的进程的审计用户 ID
  • seccomp_events.auid - 启动分析进程的用户的审计用户 ID(登录用户 ID)
  • socket_events.auid - 审计用户 ID
  • user_events.auid - 审计用户 ID

authenticate_user - 关键字,text.text

  • authorizations.authenticate_user - 顶级键标签

authentication_package - 关键字,text.text

  • logon_sessions.authentication_package - 用于验证登录会话所有者的身份验证包。

author - 关键字,text.text

  • chocolatey_packages.author - 可选的软件包作者
  • chrome_extensions.author - 可选的扩展作者
  • npm_packages.author - 软件包提供的作者
  • python_packages.author - 可选的软件包作者
  • safari_extensions.author - 可选的扩展作者

authority - 关键字,text.text

  • signature.authority - 证书通用名称

authority_key_id - 关键字,text.text

  • certificates.authority_key_id - AKID(可选包含 SHA1)

authority_key_identifier - 关键字,text.text

  • curl_certificate.authority_key_identifier - 颁发机构密钥标识符

authorizations - 关键字,text.text

  • keychain_acls.authorizations - 以空格分隔的授权属性集

auto_join - 关键字,number.long

  • wifi_networks.auto_join - 如果此网络设置为自动加入,则为 1;否则为 0

auto_login - 关键字,number.long

  • wifi_networks.auto_login - 如果启用自动登录,则为 1;否则为 0

auto_update - 关键字,number.long

  • lxd_images.auto_update - 镜像是否自动更新 (1) 或不自动更新 (0)

autoupdate - 关键字

  • firefox_addons.autoupdate - 如果附加组件应用后台更新,则为 1;否则为 0
  • windows_security_center.autoupdate - Windows 自动更新功能的运行状况

availability - 关键字,text.text

  • cpu_info.availability - CPU 的可用性和状态。

availability_zone - 关键字,text.text

  • ec2_instance_metadata.availability_zone - 启动此实例的可用区

average - 关键字,text.text

  • load_average.average - 指定时间段内的平均负载。

average_memory - 关键字,number.long

  • osquery_schedule.average_memory - 收集结果后剩余分配的常驻内存字节数的平均值

avg_disk_bytes_per_read - 关键字,number.long

  • physical_disk_performance.avg_disk_bytes_per_read - 读取操作期间从磁盘传输的平均字节数

avg_disk_bytes_per_write - 关键字,number.long

  • physical_disk_performance.avg_disk_bytes_per_write - 写入操作期间传输到磁盘的平均字节数

avg_disk_read_queue_length - 关键字,number.long

  • physical_disk_performance.avg_disk_read_queue_length - 在采样间隔期间,为所选磁盘排队的读取请求的平均数

avg_disk_sec_per_read - 关键字,number.long

  • physical_disk_performance.avg_disk_sec_per_read - 从磁盘读取数据操作的平均时间(以秒为单位)

avg_disk_sec_per_write - 关键字,number.long

  • physical_disk_performance.avg_disk_sec_per_write - 将数据写入磁盘操作的平均时间(以秒为单位)

avg_disk_write_queue_length - 关键字,number.long

  • physical_disk_performance.avg_disk_write_queue_length - 在采样间隔期间,为所选磁盘排队的写入请求的平均数

backup_date - 关键字,number.long

  • time_machine_backups.backup_date - 备份日期

bank_locator - 关键字,text.text

  • memory_devices.bank_locator - 标识内存设备所在的物理标记存储区的字符串编号

base64 - 关键字,number.long

  • extended_attributes.base64 - 如果该值为 base64 编码,则为 1;否则为 0

base_image - 关键字,text.text

  • lxd_instances.base_image - 用于启动此实例的镜像 ID

base_uri - 关键字,text.text

  • apt_sources.base_uri - 存储库基本 URI

baseurl - 关键字,text.text

  • yum_sources.baseurl - 存储库基本 URL

basic_constraint - 关键字,text.text

  • curl_certificate.basic_constraint - 基本约束

binary_queue - 关键字,number.long

  • carbon_black_info.binary_queue - 等待发送到 Carbon Black 服务器的二进制文件的大小(以字节为单位)

bitmap_chunk_size - 关键字,text.text

  • md_devices.bitmap_chunk_size - 位图块大小

bitmap_external_file - 关键字,text.text

  • md_devices.bitmap_external_file - 外部引用的位图文件

bitmap_on_mem - 关键字,text.text

  • md_devices.bitmap_on_mem - 如果启用,则在内存位图中分配的页面数

block - 关键字,text.text

  • ssh_configs.block - 主机或匹配块

block_size - 关键字,number.long

  • block_devices.block_size - 块大小(以字节为单位)
  • device_file.block_size - 文件系统的块大小
  • file.block_size - 文件系统的块大小

blocks - 关键字,number.long

  • device_partitions.blocks - 块数
  • mounts.blocks - 已挂载设备使用的块数

blocks_available - 关键字,number.long

  • mounts.blocks_available - 已挂载设备可用块数

blocks_free - 关键字,number.long

  • mounts.blocks_free - 已挂载设备空闲块数

blocks_size - 关键字,number.long

  • device_partitions.blocks_size - 每个块的字节大小
  • mounts.blocks_size - 块大小(以字节为单位)

bluetooth_sharing - 关键字,number.long

  • sharing_preferences.bluetooth_sharing - 如果为任何用户启用了蓝牙共享,则为 1;否则为 0

board_model - 关键字,text.text

  • system_info.board_model - 主板型号

board_serial - 关键字,text.text

  • system_info.board_serial - 主板序列号

board_vendor - 关键字,text.text

  • system_info.board_vendor - 主板供应商

board_version - 关键字,text.text

  • system_info.board_version - 主板版本

boot_partition - 关键字,number.long

  • logical_drives.boot_partition - 如果 Windows 从此驱动器启动,则为 True。

boot_uuid - 关键字,text.text

  • ibridge_info.boot_uuid - iBridge 控制器的启动 UUID

bp_microcode_disabled - 关键字,number.long

  • kva_speculative_info.bp_microcode_disabled - 由于缺少微码更新,分支预测已禁用。

bp_mitigations - 关键字,number.long

  • kva_speculative_info.bp_mitigations - 已启用分支预测缓解措施。

bp_system_pol_disabled - 关键字,number.long

  • kva_speculative_info.bp_system_pol_disabled - 通过系统策略禁用分支预测。

breach_description - 关键字,text.text

  • chassis_info.breach_description - 如果提供,则提供有关检测到的安全漏洞的更详细描述。

bridge_nf_ip6tables - 关键字,number.long

  • docker_info.bridge_nf_ip6tables - 如果启用了桥接 netfilter ip6tables,则为 1;否则为 0

bridge_nf_iptables - 关键字,number.long

  • docker_info.bridge_nf_iptables - 如果启用了桥接 netfilter iptables,则为 1;否则为 0

broadcast - 关键字,text.text

  • interface_addresses.broadcast - 接口的广播地址

browser_type - 关键字,text.text

  • chrome_extension_content_scripts.browser_type - 浏览器类型(有效值:chrome、chromium、opera、yandex、brave)
  • chrome_extensions.browser_type - 浏览器类型(有效值:chrome、chromium、opera、yandex、brave、edge、edge_beta)

bsd_flags - 关键字,text.text

  • file.bsd_flags - BSD 文件标志 (chflags)。可能的值:NODUMP、UF_IMMUTABLE、UF_APPEND、OPAQUE、HIDDEN、ARCHIVED、SF_IMMUTABLE、SF_APPEND

bssid - 关键字,text.text

  • wifi_status.bssid - 当前基本服务集标识符
  • wifi_survey.bssid - 当前基本服务集标识符

btime - 关键字,number.long

  • file.btime - (B)irth 或 (cr)eate 时间
  • process_events.btime - 以 UNIX 时间表示的文件创建时间

buffers - 关键字,number.long

  • memory_info.buffers - 用于文件缓冲区的物理 RAM 量(以字节为单位)

build - 关键字,text.text

  • os_version.build - 可选的特定于版本或变体的字符串

build_distro - 关键字,text.text

  • osquery_info.build_distro - osquery 工具包平台发行版名称(操作系统版本)

build_id - 关键字,text.text

  • sandboxes.build_id - 特定于沙盒的标识符

build_number - 关键字,number.long

  • windows_crashes.build_number - 崩溃计算机的 Windows 版本号

build_platform - 关键字,text.text

  • osquery_info.build_platform - osquery 工具包构建平台

build_time - 关键字,text.text

  • docker_version.build_time - 构建时间
  • portage_packages.build_time - 软件包构建的 Unix 时间

bundle_executable - 关键字,text.text

  • apps.bundle_executable - Info 属性 CFBundleExecutable 标签

bundle_identifier - 关键字,text.text

  • apps.bundle_identifier - Info 属性 CFBundleIdentifier 标签
  • running_apps.bundle_identifier - 应用程序的包标识符

bundle_name - 关键字,文本.text

  • apps.bundle_name - Info 属性 CFBundleName 标签

bundle_package_type - 关键字,文本.text

  • apps.bundle_package_type - Info 属性 CFBundlePackageType 标签

bundle_path - 关键字,文本.text

  • sandboxes.bundle_path - 沙箱使用的应用程序包
  • system_extensions.bundle_path - 系统扩展包路径

bundle_short_version - 关键字,文本.text

  • apps.bundle_short_version - Info 属性 CFBundleShortVersionString 标签

bundle_version - 关键字,文本.text

  • apps.bundle_version - Info 属性 CFBundleVersion 标签
  • safari_extensions.bundle_version - 标识包迭代的版本

busy_state - 关键字,数字.long

  • iokit_devicetree.busy_state - 如果设备处于繁忙状态则为 1,否则为 0
  • iokit_registry.busy_state - 如果节点处于繁忙状态则为 1,否则为 0

bytes - 关键字,数字.long

  • curl.bytes - 响应中的字节数
  • iptables.bytes - 此规则的匹配字节数。

bytes_available - 关键字,数字.long

  • time_machine_destinations.bytes_available - 卷上的可用字节数

bytes_received - 关键字,数字.long

  • lxd_networks.bytes_received - 此网络上接收的字节数

bytes_sent - 关键字,数字.long

  • lxd_networks.bytes_sent - 此网络上发送的字节数

bytes_used - 关键字,数字.long

  • time_machine_destinations.bytes_used - 卷上已使用的字节数

ca - 关键字,数字.long

  • certificates.ca - 如果 CA: true (证书是授权机构) 则为 1,否则为 0

cache_path - 关键字,文本.text

  • quicklook_cache.cache_path - 缓存数据的路径

cached - 关键字,数字.long

  • lxd_images.cached - 图像是否已缓存 (1) 或未缓存 (0)
  • memory_info.cached - 用作缓存的物理 RAM 量,以字节为单位

capability - 关键字,数字.long

  • apparmor_events.capability - 功能编号

capname - 关键字,文本.text

  • apparmor_events.capname - 进程请求的功能

caption - 关键字,文本.text

  • patches.caption - 补丁的简短描述。
  • windows_optional_features.caption - 设置 UI 中功能的功能说明

captive_login_date - 关键字,数字.long

  • wifi_networks.captive_login_date - 此网络以 unix_time 格式登录到强制门户的时间

captive_portal - 关键字,数字.long

  • wifi_networks.captive_portal - 如果此网络具有强制门户,则为 1,否则为 0

carve - 关键字,数字.long

  • carves.carve - 将此值设置为 1 以启动文件刻录

carve_guid - 关键字,文本.text

  • carves.carve_guid - 刻录会话的标识值

category - 关键字,文本.text

  • apps.category - 对 App Store 中的应用程序进行分类的 UTI
  • file_events.category - 配置文件中定义的文件类别
  • ntfs_journal_events.category - 事件的来源类别
  • power_sensors.category - 传感器类别:电流、电压、功率
  • system_extensions.category - 系统扩展类别
  • unified_log.category - 使用的 os_log_t 的类别
  • yara_events.category - 文件的类别

cdhash - 关键字,文本.text

  • es_process_events.cdhash - 进程的代码签名哈希
  • signature.cdhash - 应用程序代码目录的哈希

celsius - 关键字,数字.double

  • temperature_sensors.celsius - 摄氏温度

certificate - 关键字,文本.text

  • lxd_certificates.certificate - 证书内容

cgroup_driver - 关键字,文本.text

  • docker_info.cgroup_driver - 控制组驱动程序

cgroup_namespace - 关键字,文本.text

  • docker_containers.cgroup_namespace - cgroup 命名空间
  • process_namespaces.cgroup_namespace - cgroup 命名空间 inode

cgroup_path - 关键字,文本.text

  • processes.cgroup_path - 进程的控制组的完整层次路径

chain - 关键字,文本.text

  • iptables.chain - 模块内容的大小。

change_type - 关键字,文本.text

  • docker_container_fs_changes.change_type - 更改类型:C:已修改,A:已添加,D:已删除

channel - 关键字

  • wifi_status.channel - 通道号
  • wifi_survey.channel - 通道号
  • windows_eventlog.channel - 事件的来源或通道

channel_band - 关键字,数字.long

  • wifi_status.channel_band - 通道频段
  • wifi_survey.channel_band - 通道频段

channel_width - 关键字,数字.long

  • wifi_status.channel_width - 通道宽度
  • wifi_survey.channel_width - 通道宽度

charged - 关键字,数字.long

  • battery.charged - 如果电池当前已完全充电,则为 1。否则为 0

charging - 关键字,数字.long

  • battery.charging - 如果电池当前正在通过电源充电,则为 1。否则为 0

chassis_types - 关键字,文本.text

  • chassis_info.chassis_types - 以逗号分隔的机箱类型列表,例如台式机或笔记本电脑。

check_array_finish - 关键字,文本.text

  • md_devices.check_array_finish - 检查数组活动的估计持续时间

check_array_progress - 关键字,文本.text

  • md_devices.check_array_progress - 检查数组活动的进度

check_array_speed - 关键字,文本.text

  • md_devices.check_array_speed - 检查数组活动的速度

checksum - 关键字,文本.text

  • disk_events.checksum - 如果可用 (CRC32),则为 UDIF 主校验和

chemistry - 关键字,文本.text

child_pid - 关键字,数字.long

  • es_process_events.child_pid - fork 事件中的子进程的进程 ID

chunk_size - 关键字,数字.long

  • md_devices.chunk_size - 以字节为单位的块大小

cid - 关键字,数字.long

  • bpf_process_events.cid - Cgroup ID
  • bpf_socket_events.cid - Cgroup ID

class - 关键字,文本.text

  • authorizations.class - 标签顶层键
  • drivers.class - 设备/驱动程序类名称
  • iokit_devicetree.class - 最匹配的设备类(最具体的类别)
  • iokit_registry.class - 最匹配的设备类(最具体的类别)
  • usb_devices.class - USB 设备类
  • wmi_cli_event_consumers.class - 类的名称。
  • wmi_event_filters.class - 类的名称。
  • wmi_filter_consumer_binding.class - 类的名称。
  • wmi_script_event_consumers.class - 类的名称。

clear_text_password - 关键字,数字.long

  • security_profile_info.clear_text_password - 确定是否必须使用可逆加密存储密码

client_app_id - 关键字,文本.text

  • windows_update_history.client_app_id - 处理更新的客户端应用程序的标识符

client_site_name - 关键字,文本.text

  • ntdomains.client_site_name - 配置域控制器的站点的名称。

cloud_id - 关键字,文本.text

  • ycloud_instance_metadata.cloud_id - VM 的云标识符

cmdline - 关键字,文本.text

  • bpf_process_events.cmdline - 命令行参数
  • docker_container_processes.cmdline - 完整的 argv
  • es_process_events.cmdline - 命令行参数 (argv)
  • process_etw_events.cmdline - 命令行
  • process_events.cmdline - 命令行参数 (argv)
  • processes.cmdline - 完整的 argv

cmdline_count - 关键字,数字.long

  • es_process_events.cmdline_count - 命令行参数的数量

cmdline_size - 关键字,数字.long

  • process_events.cmdline_size - 命令行参数的实际大小(字节)

code - 关键字,文本.text

  • seccomp_events.code - seccomp 操作

code_integrity_policy_enforcement_status - 关键字,文本.text

  • hvci_status.code_integrity_policy_enforcement_status - 代码完整性策略强制设置的状态。如果遇到错误,则返回 UNKNOWN。

codename - 关键字,文本.text

  • os_version.codename - 操作系统版本代号

codesigning_flags - 关键字,文本.text

  • es_process_events.codesigning_flags - 代码签名标志,与以下选项之一匹配,以逗号分隔的列表形式:NOT_VALID、ADHOC、NOT_RUNTIME、INSTALLER。有关说明,请参阅 XNU 中的 kern/cs_blobs.h。

collect_cross_processes - 关键字,数字.long

  • carbon_black_info.collect_cross_processes - 如果传感器配置为跨进程事件

collect_data_file_writes - 关键字,数字.long

  • carbon_black_info.collect_data_file_writes - 如果传感器配置为收集非二进制文件写入

collect_emet_events - 关键字,数字.长整型

  • carbon_black_info.collect_emet_events - 如果传感器配置为收集 EMET 事件

collect_file_mods - 关键字,数字.长整型

  • carbon_black_info.collect_file_mods - 如果传感器配置为收集文件修改事件

collect_module_info - 关键字,数字.长整型

  • carbon_black_info.collect_module_info - 如果传感器配置为收集二进制文件的元数据

collect_module_loads - 关键字,数字.长整型

  • carbon_black_info.collect_module_loads - 如果传感器配置为捕获模块加载

collect_net_conns - 关键字,数字.长整型

  • carbon_black_info.collect_net_conns - 如果传感器配置为收集网络连接

collect_process_user_context - 关键字,数字.长整型

  • carbon_black_info.collect_process_user_context - 如果传感器配置为收集运行进程的用户

collect_processes - 关键字,数字.长整型

  • carbon_black_info.collect_processes - 如果传感器配置为处理进程事件

collect_reg_mods - 关键字,数字.长整型

  • carbon_black_info.collect_reg_mods - 如果传感器配置为收集注册表修改事件

collect_sensor_operations - 关键字,数字.长整型

  • carbon_black_info.collect_sensor_operations - 未知

collect_store_files - 关键字,数字.长整型

  • carbon_black_info.collect_store_files - 如果传感器配置为将二进制文件发送回 Carbon Black 服务器

collisions - 关键字,数字.长整型

  • interface_details.collisions - 检测到的数据包冲突

color_depth - 关键字,数字.长整型

  • video_info.color_depth - 表示颜色的每个像素的位数。

comm - 关键字,文本.文本

  • apparmor_events.comm - 用于调用分析进程的命令的命令行名称
  • seccomp_events.comm - 用于调用分析进程的命令的命令行名称

command - 关键字,文本.文本

  • crontab.command - 原始命令字符串
  • docker_containers.command - 带参数的命令
  • shell_history.command - 未解析的日期/行/命令历史记录行

command_line - 关键字,文本.文本

  • windows_crashes.command_line - 传递给崩溃进程的命令行字符串

command_line_template - 关键字,文本.文本

  • wmi_cli_event_consumers.command_line_template - 指定要启动的进程的标准字符串模板。此属性可以为 NULL,并且 ExecutablePath 属性用作命令行。

comment - 关键字,文本.文本

  • authorizations.comment - 标签顶层键
  • authorized_keys.comment - 可选注释
  • docker_image_history.comment - 指令注释
  • etc_protocols.comment - 带有协议描述的注释
  • etc_services.comment - 服务的可选注释。
  • groups.comment - 与组关联的备注或注释
  • keychain_items.comment - 可选的钥匙串注释

common_name - 关键字,文本.文本

  • certificates.common_name - 证书通用名称
  • curl_certificate.common_name - 颁发给公司的通用名称

compat - 关键字,数字.长整型

  • seccomp_events.compat - 系统调用是否处于兼容模式

compiler - 关键字,文本.文本

  • apps.compiler - 信息属性 DTCompiler 标签

completed_time - 关键字,数字.长整型

  • cups_jobs.completed_time - 作业完成打印的时间

components - 关键字,文本.文本

  • apt_sources.components - 存储库组件

compressed - 关键字,数字.长整型

  • virtual_memory_info.compressed - VM 压缩器压缩的页面的总数。

compressor - 关键字,数字.长整型

  • virtual_memory_info.compressor - 用于存储压缩 VM 页面的页面数。

computer_name - 关键字,文本.文本

  • system_info.computer_name - 友好的计算机名称(可选)
  • windows_eventlog.computer_name - 生成事件的系统的主机名
  • windows_events.computer_name - 生成事件的系统的主机名

condition - 关键字,文本.文本

  • battery.condition - 以下值之一:“正常”表示电池状况在正常容差范围内,“需要维修”表示电池应由获得许可的 Mac 维修服务检查,“永久故障”表示电池需要更换

config_entrypoint - 关键字,文本.文本

  • docker_containers.config_entrypoint - 容器入口点

config_flag - 关键字,文本.文本

  • sip_config.config_flag - 系统完整性保护配置标志

config_hash - 关键字,文本.文本

  • osquery_info.config_hash - 工作配置状态的哈希值

config_name - 关键字,文本.文本

  • carbon_black_info.config_name - 传感器组

config_valid - 关键字,数字.长整型

  • osquery_info.config_valid - 如果配置已加载且被认为是有效的,则为 1,否则为 0

config_value - 关键字,文本.文本

  • system_controls.config_value - /etc/sysctl.conf 中设置的 MIB 值

configured_clock_speed - 关键字,数字.长整型

  • memory_devices.configured_clock_speed - 内存设备配置的速度,单位为每秒兆传输 (MT/s)

configured_voltage - 关键字,数字.长整型

  • memory_devices.configured_voltage - 设备的配置工作电压,单位为毫伏

connection_id - 关键字,文本.文本

  • interface_details.connection_id - 网络连接在“网络连接控制面板”程序中显示的名称。

connection_status - 关键字,文本.文本

  • interface_details.connection_status - 网络适配器与网络的连接状态。

connection_type - 关键字,文本.文本

  • connected_displays.connection_type - 与显示器关联的连接类型。

consistency_scan_date - 关键字,数字.长整型

  • time_machine_destinations.consistency_scan_date - 一致性扫描日期

consumer - 关键字,文本.文本

  • wmi_filter_consumer_binding.consumer - 对 __EventConsumer 实例的引用,该实例表示逻辑消费者的对象路径,即事件的接收者。

containers - 关键字,数字.长整型

  • docker_info.containers - 容器总数

containers_paused - 关键字,数字.长整型

  • docker_info.containers_paused - 处于暂停状态的容器数

containers_running - 关键字,数字.长整型

  • docker_info.containers_running - 当前正在运行的容器数

containers_stopped - 关键字,数字.长整型

  • docker_info.containers_stopped - 处于停止状态的容器数

content - 关键字,文本.文本

  • disk_events.content - 磁盘事件内容

content_caching - 关键字,数字.长整型

  • sharing_preferences.content_caching - 如果启用内容缓存则为 1,否则为 0

content_type - 关键字,文本.文本

  • package_install_history.content_type - 包 content_type(可选)

conversion_status - 关键字,数字.长整型

  • bitlocker_info.conversion_status - 驱动器的 bitlocker 转换状态。

coprocessor_version - 关键字,文本.文本

  • ibridge_info.coprocessor_version - 制造商和芯片版本

copy - 关键字,数字.长整型

  • virtual_memory_info.copy - 写时复制页面的总数。

copyright - 关键字,文本.文本

  • apps.copyright - 信息属性 NSHumanReadableCopyright 标签
  • safari_extensions.copyright - 包的人工可读版权声明

core - 关键字,数字.长整型

  • cpu_time.core - CPU(核心)的名称

cosine_similarity - 关键字,数字.双精度

  • powershell_events.cosine_similarity - Powershell 脚本与提供的正常字符频率的相似程度

count - 关键字,数字.长整型

  • userassist.count - 应用程序执行的次数。
  • yara.count - YARA 匹配的数量
  • yara_events.count - YARA 匹配的数量

country_code - 关键字,文本.文本

  • wifi_status.country_code - 网络的国家/地区代码 (ISO/IEC 3166-1:1997)
  • wifi_survey.country_code - 网络的国家/地区代码 (ISO/IEC 3166-1:1997)

cpu - 关键字,数字.双精度

  • docker_container_processes.cpu - CPU 使用率,以百分比表示

cpu_brand - 关键字,文本.文本

  • system_info.cpu_brand - CPU 品牌字符串,包含供应商和型号

cpu_cfs_period - 关键字,数字.长整型

  • docker_info.cpu_cfs_period - 如果启用了 CPU 完全公平调度器 (CFS) 周期支持,则为 1。否则为 0

cpu_cfs_quota - 关键字,数字.长整型

  • docker_info.cpu_cfs_quota - 如果启用了 CPU 完全公平调度器 (CFS) 配额支持,则为 1。否则为 0

cpu_kernelmode_usage - 关键字,数字.长整型

  • docker_container_stats.cpu_kernelmode_usage - CPU 内核模式使用率

cpu_logical_cores - 关键字,数字.长整型

  • system_info.cpu_logical_cores - 系统可用的逻辑 CPU 核心数

cpu_microcode - 关键字,文本.文本

  • system_info.cpu_microcode - 微码版本

cpu_physical_cores - 关键字,数字.长整型

  • system_info.cpu_physical_cores - 系统中的物理 CPU 核心数

cpu_pred_cmd_supported - 关键字,数字.长整型

  • kva_speculative_info.cpu_pred_cmd_supported - CPU 微码支持的 PRED_CMD MSR。

cpu_set - 关键字,数字.长整型

  • docker_info.cpu_set - 如果启用了 CPU 集选择支持,则为 1。否则为 0

cpu_shares - 关键词,number.long

  • docker_info.cpu_shares - 如果启用了 CPU 份额权重支持,则为 1。否则为 0

cpu_sockets - 关键词,number.long

  • system_info.cpu_sockets - 系统中处理器插槽的数量

cpu_spec_ctrl_supported - 关键词,number.long

  • kva_speculative_info.cpu_spec_ctrl_supported - CPU 微代码支持的 SPEC_CTRL MSR。

cpu_status - 关键词,number.long

  • cpu_info.cpu_status - CPU 的当前运行状态。

cpu_subtype - 关键词

  • processes.cpu_subtype - 指示条目可能使用的特定处理器。
  • system_info.cpu_subtype - CPU 子类型

cpu_total_usage - 关键词,number.long

  • docker_container_stats.cpu_total_usage - CPU 总使用量

cpu_type - 关键词

  • processes.cpu_type - 指示为安装设计的特定处理器。
  • system_info.cpu_type - CPU 类型

cpu_usermode_usage - 关键词,number.long

  • docker_container_stats.cpu_usermode_usage - CPU 用户模式使用量

cpus - 关键词,number.long

  • docker_info.cpus - CPU 数量

crash_path - 关键词,text.text

  • crashes.crash_path - 日志文件位置
  • windows_crashes.crash_path - 日志文件的路径

crashed_thread - 关键词,number.long

  • crashes.crashed_thread - 崩溃的线程 ID

created - 关键词,text.text

  • authorizations.created - 标签顶层键
  • docker_containers.created - 创建时间,以 UNIX 时间表示
  • docker_image_history.created - 创建时间,以 UNIX 时间表示
  • docker_images.created - 创建时间,以 UNIX 时间表示
  • docker_networks.created - 创建时间,以 UNIX 时间表示
  • keychain_items.created - 项目创建日期

created_at - 关键词,text.text

  • lxd_images.created_at - 镜像创建的 ISO 时间
  • lxd_instances.created_at - 创建的 ISO 时间

created_by - 关键词,text.text

  • docker_image_history.created_by - 由指令创建

created_time - 关键词,number.long

  • shellbags.created_time - 目录创建时间。

creation_time - 关键词

  • account_policy_data.creation_time - 帐户首次创建的时间
  • cups_jobs.creation_time - 发起打印请求的时间

creator - 关键词,text.text

  • firefox_addons.creator - 插件支持的创建者字符串

creator_pid - 关键词,number.long

  • shared_memory.creator_pid - 创建段的进程 ID

creator_uid - 关键词,number.long

  • shared_memory.creator_uid - 创建进程的用户 ID

csname - 关键词,text.text

  • patches.csname - 安装补丁的主机名称。

ctime - 关键词

  • device_file.ctime - 创建时间
  • file.ctime - 上次状态更改时间
  • file_events.ctime - 上次状态更改时间
  • gatekeeper_approved_apps.ctime - 上次更改时间
  • process_events.ctime - UNIX 时间表示的文件上次元数据更改
  • shared_memory.ctime - 更改时间

current_capacity - 关键词,number.long

  • battery.current_capacity - 电池的当前容量(电量),以 mAh 为单位

current_clock_speed - 关键词,number.long

  • cpu_info.current_clock_speed - CPU 的当前频率。

current_directory - 关键词,text.text

  • windows_crashes.current_directory - 崩溃进程的当前工作目录

current_disk_queue_length - 关键词,number.long

  • physical_disk_performance.current_disk_queue_length - 收集性能数据时,磁盘上未完成的请求数量

current_locale - 关键词,text.text

  • chrome_extensions.current_locale - 扩展程序支持的当前语言环境

current_value - 关键词,text.text

  • system_controls.current_value - 设置的值

cwd - 关键词,text.text

  • bpf_process_events.cwd - 当前工作目录
  • es_process_events.cwd - 进程当前工作目录
  • process_events.cwd - 进程当前工作目录
  • process_file_events.cwd - 进程的当前工作目录
  • processes.cwd - 进程当前工作目录

cycle_count - 关键词,number.long

  • battery.cycle_count - 充/放电周期数

data - 关键词,text.text

  • magic.data - 来自 libmagic 的魔术数字数据
  • registry.data - 注册表值的数据内容
  • windows_eventlog.data - 与事件相关联的数据
  • windows_events.data - 与事件相关联的数据

data_width - 关键词,number.long

  • memory_devices.data_width - 此内存设备的数据宽度,以位为单位

database - 关键词,number.long

  • lxd_cluster_members.database - 服务器是否为数据库节点 (1) 或不是 (0)

date - 关键词

  • drivers.date - 驱动程序日期
  • platform_info.date - 自我报告的平台代码更新日期
  • windows_update_history.date - 应用更新的日期和时间

date_created - 关键词,number.long

  • windows_search.date_created - 项目创建时的 Unix 时间戳。

date_modified - 关键词,number.long

  • windows_search.date_modified - 项目上次修改时的 Unix 时间戳

datetime - 关键词,text.text

  • crashes.datetime - 发生崩溃的日期/时间
  • powershell_events.datetime - Powershell 脚本事件发生的系统时间
  • process_etw_events.datetime - DATETIME 格式的事件时间戳
  • syslog_events.datetime - 系统日志已知的时间
  • time.datetime - 当前日期和时间(ISO 格式),以 UTC 表示
  • windows_crashes.datetime - 崩溃的时间戳(日志格式)
  • windows_eventlog.datetime - 事件发生的系统时间
  • windows_events.datetime - 事件发生的系统时间

day - 关键词,number.long

  • time.day - UTC 的当前日期

day_of_month - 关键词,text.text

  • crontab.day_of_month - 作业的月份日期

day_of_week - 关键词,text.text

  • crontab.day_of_week - 作业的星期几

days - 关键词,number.long

  • uptime.days - 正常运行天数

dc_site_name - 关键词,text.text

  • ntdomains.dc_site_name - 域控制器所在站点的名称。

decompressed - 关键词,number.long

  • virtual_memory_info.decompressed - VM 压缩器已解压缩的页面的总数。

default_locale - 关键词,text.text

  • chrome_extensions.default_locale - 扩展程序支持的默认语言环境

default_value - 关键词,text.text

  • osquery_flags.default_value - 标志默认值

denied_mask - 关键词,text.text

  • apparmor_events.denied_mask - 进程被拒绝的权限

denylisted - 关键词,number.long

  • osquery_schedule.denylisted - 如果查询被列入拒绝列表则为 1,否则为 0

dependencies - 关键词,text.text

  • kernel_panics.dependencies - 崩溃模块的回溯中存在的模块依赖项

depth - 关键词,number.long

  • iokit_devicetree.depth - 设备嵌套深度
  • iokit_registry.depth - 节点嵌套深度

description - 关键词,text.text

  • appcompat_shims.description - SDB 的描述。
  • browser_plugins.description - 插件描述文本
  • chassis_info.description - 机箱的扩展描述(如果可用)。
  • chrome_extensions.description - 扩展程序可选描述
  • disk_info.description - OS 对磁盘的描述。
  • drivers.description - 驱动程序描述
  • firefox_addons.description - 插件提供的描述字符串
  • interface_details.description - 对象的简短描述,单行字符串。
  • kernel_keys.description - 密钥描述。
  • keychain_acls.description - ACL 条目中包含的描述
  • keychain_items.description - 可选项目描述
  • logical_drives.description - 驱动器的规范描述,例如逻辑固定磁盘CD-ROM 光盘
  • lxd_images.description - 镜像描述
  • lxd_instances.description - 实例描述
  • npm_packages.description - 包提供的描述
  • osquery_flags.description - 标志描述
  • patches.description - 补丁的更完整描述。
  • safari_extensions.description - 可选的扩展程序描述文本
  • secureboot.description - (Apple Silicon)人类可读的描述:完全安全降低的安全允许的安全
  • services.description - 服务描述
  • shared_resources.description - 对象的文本描述
  • smbios_tables.description - 表条目描述
  • systemd_units.description - 单元描述
  • users.description - 可选的用户描述
  • windows_update_history.description - 更新的描述
  • ycloud_instance_metadata.description - VM 的描述

designed_capacity - 关键词,number.long

  • battery.designed_capacity - 电池的额定容量,以 mAh 为单位

dest_filename - 关键词,text.text

  • es_process_file_events.dest_filename - 事件的目标文件名

dest_path - 关键词,text.text

  • process_file_events.dest_path - 与事件关联的规范路径

destination - 关键词,text.text

  • cups_jobs.destination - 作业发送到的打印机
  • docker_container_mounts.destination - 容器内的目标路径
  • routes.destination - 目标 IP 地址

destination_id - 关键词,text.text

  • time_machine_backups.destination_id - Time Machine 目标 ID
  • time_machine_destinations.destination_id - Time Machine 目标 ID

dev_id_enabled - 关键词,number.long

  • gatekeeper.dev_id_enabled - 如果 Gatekeeper 允许从已识别的开发者处执行,则为 1,否则为 0

developer_id - 关键词,text.text

  • safari_extensions.developer_id - 可选的开发者标识符
  • xprotect_meta.developer_id - 扩展程序的开发者标识(SHA1)

development_region - 关键词,text.text

  • apps.development_region - Info 属性 CFBundleDevelopmentRegion 标签
  • browser_plugins.development_region - 插件语言本地化

device - 关键词,text.text

  • device_file.device - 设备节点的绝对文件路径
  • device_firmware.device - 设备名称
  • device_hash.device - 设备节点的绝对文件路径
  • device_partitions.device - 设备节点的绝对文件路径
  • disk_events.device - 磁盘事件 BSD 名称
  • file.device - 设备 ID(可选)
  • kernel_info.device - 内核设备标识符
  • lxd_instance_devices.device - 设备名称
  • mounts.device - 已挂载设备
  • process_memory_map.device - MA:MI 主/次设备 ID

device_alias - 关键字,文本.文本

  • mounts.device_alias - 已挂载设备别名

device_error_address - 关键字,文本.文本

  • memory_error_info.device_error_address - 相对于故障内存地址起始位置的 32 位物理错误地址(以字节为单位)

device_id - 关键字,文本.文本

  • bitlocker_info.device_id - 加密驱动器的 ID。
  • cpu_info.device_id - CPU 的设备 ID。
  • drivers.device_id - 设备 ID
  • logical_drives.device_id - 驱动器 ID,通常是驱动器名称,例如 C:

device_locator - 关键字,文本.文本

  • memory_devices.device_locator - 标识内存设备所在物理标记插槽或板位置的字符串编号

device_name - 关键字,文本.文本

  • drivers.device_name - 设备名称
  • md_devices.device_name - md 设备名称

device_path - 关键字,文本.文本

  • iokit_devicetree.device_path - 设备树路径

device_type - 关键字,文本.文本

  • lxd_instance_devices.device_type - 设备类型

dhcp_enabled - 关键字,数字.长整型

  • interface_details.dhcp_enabled - 如果为 TRUE,则动态主机配置协议 (DHCP) 服务器会在建立网络连接时自动为计算机系统分配 IP 地址。

dhcp_lease_expires - 关键字,文本.文本

  • interface_details.dhcp_lease_expires - 动态主机配置协议 (DHCP) 服务器分配给计算机的租用 IP 地址的过期日期和时间。

dhcp_lease_obtained - 关键字,文本.文本

  • interface_details.dhcp_lease_obtained - 从动态主机配置协议 (DHCP) 服务器获取分配给计算机的 IP 地址租约的日期和时间。

dhcp_server - 关键字,文本.文本

  • interface_details.dhcp_server - 动态主机配置协议 (DHCP) 服务器的 IP 地址。

direction - 关键字,文本.文本

  • windows_firewall_rules.direction - 应用规则的流量方向

directory - 关键字,文本.文本

  • extended_attributes.directory - 文件目录
  • file.directory - 文件目录
  • hash.directory - 必须提供路径或目录
  • npm_packages.directory - node_modules 所在的目录
  • python_packages.directory - Python 模块所在的目录
  • users.directory - 用户的主目录

disabled - 关键字

  • browser_plugins.disabled - 插件是否已禁用。1 = 已禁用
  • firefox_addons.disabled - 如果插件应用程序禁用则为 1,否则为 0
  • launchd.disabled - 在启动时跳过加载此守护程序或代理
  • wifi_networks.disabled - 如果此网络已禁用则为 1,否则为 0

disc_sharing - 关键字,数字.长整型

  • sharing_preferences.disc_sharing - 如果启用 CD 或 DVD 共享则为 1,否则为 0

disconnected - 关键字,数字.长整型

  • connectivity.disconnected - 如果所有接口都未连接到任何网络,则为 True

discovery_cache_hits - 关键字,数字.长整型

  • osquery_packs.discovery_cache_hits - 自上次重新加载配置以来,发现查询使用缓存值的次数

discovery_executions - 关键字,数字.长整型

  • osquery_packs.discovery_executions - 自上次重新加载配置以来,发现查询的执行次数

disk_bytes_read - 关键字,数字.长整型

  • processes.disk_bytes_read - 从磁盘读取的字节数

disk_bytes_written - 关键字,数字.长整型

  • processes.disk_bytes_written - 写入磁盘的字节数

disk_index - 关键字,数字.长整型

  • disk_info.disk_index - 磁盘的物理驱动器号。

disk_read - 关键字,数字.长整型

  • docker_container_stats.disk_read - 磁盘读取的总字节数

disk_size - 关键字,数字.长整型

  • disk_info.disk_size - 磁盘大小。

disk_write - 关键字,数字.长整型

  • docker_container_stats.disk_write - 磁盘写入的总字节数

display_id - 关键字,文本.文本

  • connected_displays.display_id - 显示 ID。

display_name - 关键字,文本.文本

  • apps.display_name - Info 属性 CFBundleDisplayName 标签
  • services.display_name - 服务显示名称

display_type - 关键字,文本.文本

  • connected_displays.display_type - 显示器类型。

dns_domain - 关键字,文本.文本

  • interface_details.dns_domain - 组织名称后跟句点和表示组织类型的扩展名,例如 microsoft.com

dns_domain_name - 关键字,文本.文本

  • logon_sessions.dns_domain_name - 登录会话所有者的 DNS 名称。

dns_domain_suffix_search_order - 关键字,文本.文本

  • interface_details.dns_domain_suffix_search_order - 在名称解析期间附加到主机名末尾的 DNS 域后缀数组。

dns_forest_name - 关键字,文本.文本

  • ntdomains.dns_forest_name - DNS 树根的名称。

dns_host_name - 关键字,文本.文本

  • interface_details.dns_host_name - 用于通过某些实用程序标识本地计算机进行身份验证的主机名。

dns_server_search_order - 关键字,文本.文本

  • interface_details.dns_server_search_order - 用于查询 DNS 服务器的服务器 IP 地址数组。

domain - 关键字,文本.文本

  • ad_config.domain - Active Directory 信任域
  • managed_policies.domain - 系统或管理器选择的域密钥
  • preferences.domain - 应用程序 ID,通常采用 com.name.product 格式

domain_controller_address - 关键字,文本.文本

  • ntdomains.domain_controller_address - 发现的域控制器的 IP 地址。

domain_controller_name - 关键字,文本.文本

  • ntdomains.domain_controller_name - 发现的域控制器的名称。

domain_name - 关键字,文本.文本

  • ntdomains.domain_name - 域的名称。

drive_letter - 关键字,文本.文本

  • bitlocker_info.drive_letter - 加密驱动器的驱动器号。
  • ntfs_journal_events.drive_letter - 标识源日志的驱动器号

drive_name - 关键字,文本.文本

  • md_drives.drive_name - 驱动器设备名称

driver - 关键字,文本.文本

  • docker_container_mounts.driver - 提供挂载的驱动程序
  • docker_networks.driver - 网络驱动程序
  • docker_volumes.driver - 卷驱动程序
  • hardware_events.driver - 声明设备的驱动程序
  • lxd_storage_pools.driver - 存储驱动程序
  • pci_devices.driver - PCI 设备使用的驱动程序
  • video_info.driver - 设备的驱动程序。

driver_date - 关键字,数字.长整型

  • video_info.driver_date - 已安装驱动程序上列出的日期。

driver_key - 关键字,文本.文本

  • drivers.driver_key - 驱动程序密钥

driver_version - 关键字,文本.文本

  • video_info.driver_version - 已安装驱动程序的版本。

dst_ip - 关键字,文本.文本

  • iptables.dst_ip - 目标 IP 地址。

dst_mask - 关键字,文本.文本

  • iptables.dst_mask - 目标 IP 地址掩码。

dst_port - 关键字,文本.文本

  • iptables.dst_port - 协议目标端口。

dtime - 关键字,数字.长整型

  • shared_memory.dtime - 分离时间

dump_certificate - 关键字,数字.长整型

  • curl_certificate.dump_certificate - 将此值设置为 1 以转储证书

duration - 关键字,数字.长整型

  • bpf_process_events.duration - 在系统调用中花费的时间(纳秒)
  • bpf_socket_events.duration - 在系统调用中花费的时间(纳秒)

eapi - 关键字,数字.长整型

  • portage_packages.eapi - ebuild 的 eapi

egid - 关键字

  • docker_container_processes.egid - 有效组 ID
  • es_process_events.egid - 进程的有效组 ID
  • process_events.egid - 进程启动时的有效组 ID
  • process_file_events.egid - 使用该文件的进程的有效组 ID
  • processes.egid - 无符号有效组 ID

eid - 关键字,文本.文本

  • apparmor_events.eid - 事件 ID
  • bpf_process_events.eid - 事件 ID
  • bpf_socket_events.eid - 事件 ID
  • disk_events.eid - 事件 ID
  • es_process_events.eid - 事件 ID
  • es_process_file_events.eid - 事件 ID
  • file_events.eid - 事件 ID
  • hardware_events.eid - 事件 ID
  • ntfs_journal_events.eid - 事件 ID
  • process_etw_events.eid - 事件 ID
  • process_events.eid - 事件 ID
  • process_file_events.eid - 事件 ID
  • selinux_events.eid - 事件 ID
  • socket_events.eid - 事件 ID
  • syslog_events.eid - 事件 ID
  • user_events.eid - 事件 ID
  • windows_events.eid - 事件 ID
  • yara_events.eid - 事件 ID

ejectable - 关键字,数字.长整型

  • disk_events.ejectable - 如果可弹出则为 1,否则为 0

elapsed_time - 关键字,数字.长整型

  • processes.elapsed_time - 此进程已运行的经过时间(以秒为单位)。

element - 关键字,文本.文本

  • apps.element - 应用程序是否标识为后台代理

elevated_token - 关键字,数字.长整型

  • processes.elevated_token - 进程使用提升的令牌 yes=1,no=0

enable_admin_account - 关键字,数字.长整型

  • security_profile_info.enable_admin_account - 确定是否启用本地计算机上的管理员帐户

enable_guest_account - 关键字,number.long

  • security_profile_info.enable_guest_account - 确定是否在本地计算机上启用 Guest 帐户

enable_ipv6 - 关键字,number.long

  • docker_networks.enable_ipv6 - 如果在此网络上启用了 IPv6,则为 1。否则为 0

enabled - 关键字

  • app_schemes.enabled - 如果此处理程序是 OS 默认值,则为 1,否则为 0
  • event_taps.enabled - 是否启用了事件 Tap
  • interface_details.enabled - 指示适配器是否启用。
  • location_services.enabled - 如果启用了定位服务,则为 1,否则为 0
  • lxd_cluster.enabled - 是否在此节点上启用了集群 (1) 或未启用 (0)
  • sandboxes.enabled - 容器上启用的应用程序沙盒
  • scheduled_tasks.enabled - 是否启用计划任务
  • screenlock.enabled - 如果在睡眠或屏幕保护程序开始后需要密码,则为 1;否则为 0
  • sip_config.enabled - 如果启用了此配置,则为 1,否则为 0
  • tpm_info.enabled - 启用了 TPM
  • windows_firewall_rules.enabled - 如果启用了规则,则为 1
  • yum_sources.enabled - 是否使用该存储库

enabled_nvram - 关键字,number.long

  • sip_config.enabled_nvram - 如果启用了此配置,则为 1,否则为 0

encrypted - 关键字,number.long

  • disk_encryption.encrypted - 如果已加密:true (磁盘已加密),则为 1,否则为 0
  • user_ssh_keys.encrypted - 如果密钥已加密,则为 1,否则为 0

encryption - 关键字,text.text

  • time_machine_destinations.encryption - 上次已知的加密状态

encryption_method - 关键字,text.text

  • bitlocker_info.encryption_method - 设备的加密类型。

encryption_status - 关键字,text.text

  • disk_encryption.encryption_status - 磁盘加密状态,具有以下值之一:encrypted | not encrypted | undefined

end - 关键字,text.text

  • memory_map.end - 内存区域的结束地址
  • process_memory_map.end - 虚拟结束地址 (十六进制)

ending_address - 关键字,text.text

  • memory_array_mapped_addresses.ending_address - 映射到物理内存数组的内存范围的最后一个千字节的物理结束地址
  • memory_device_mapped_addresses.ending_address - 映射到物理内存数组的内存范围的最后一个千字节的物理结束地址

endpoint_id - 关键字,text.text

  • docker_container_networks.endpoint_id - 端点 ID

entry - 关键字,text.text

  • authorization_mechanisms.entry - 整个字符串条目
  • shimcache.entry - 执行顺序。

env - 关键字,text.text

  • es_process_events.env - 以空格分隔的环境变量
  • process_events.env - 以空格分隔的环境变量

env_count - 关键字,number.long

  • es_process_events.env_count - 环境变量的数量
  • process_events.env_count - 环境变量的数量

env_size - 关键字,number.long

  • process_events.env_size - 环境列表的实际大小(字节)

env_variables - 关键字,text.text

  • docker_containers.env_variables - 容器环境变量

environment - 关键字,text.text

  • apps.environment - 应用程序设置的环境变量

ephemeral - 关键字,number.long

  • lxd_instances.ephemeral - 实例是否是临时的 (1) 或不是 (0)

epoch - 关键字,number.long

  • rpm_packages.epoch - 包 epoch 值

error - 关键字,text.text

  • apparmor_events.error - 错误信息

error_granularity - 关键字,text.text

  • memory_error_info.error_granularity - 可以解析错误的粒度

error_operation - 关键字,text.text

  • memory_error_info.error_operation - 导致错误的内存访问操作

error_resolution - 关键字,text.text

  • memory_error_info.error_resolution - 当给出错误地址时,可以确定此错误的字节范围

error_type - 关键字,text.text

  • memory_error_info.error_type - 与数组或设备的当前错误状态关联的错误类型

euid - 关键字

  • docker_container_processes.euid - 有效用户 ID
  • es_process_events.euid - 进程的有效用户 ID
  • process_events.euid - 进程启动时的有效用户 ID
  • process_file_events.euid - 使用文件的进程的有效用户 ID
  • processes.euid - 无符号有效用户 ID

event - 关键字,text.text

  • crontab.event - 作业 @event 名称(罕见)

event_queue - 关键字,number.long

  • carbon_black_info.event_queue - 磁盘上 Carbon Black 事件文件的大小(字节)

event_tap_id - 关键字,number.long

  • event_taps.event_tap_id - Tap 的唯一 ID

event_tapped - 关键字,text.text

  • event_taps.event_tapped - 标识要观察的事件集的掩码。

event_type - 关键字,text.text

  • es_process_events.event_type - EndpointSecurity 事件的类型
  • es_process_file_events.event_type - EndpointSecurity 事件的类型

eventid - 关键字,number.long

  • windows_eventlog.eventid - 事件的事件 ID
  • windows_events.eventid - 事件的事件 ID

events - 关键字,number.long

  • osquery_events.events - 自 osquery 启动以来发出或接收的事件数

exception_address - 关键字,text.text

  • windows_crashes.exception_address - 发生异常的地址(十六进制)

exception_code - 关键字,text.text

  • windows_crashes.exception_code - Windows 异常代码

exception_codes - 关键字,text.text

  • crashes.exception_codes - 来自崩溃的异常代码

exception_message - 关键字,text.text

  • windows_crashes.exception_message - 与异常代码关联的 NTSTATUS 错误消息

exception_notes - 关键字,text.text

  • crashes.exception_notes - 来自崩溃的异常注释

exception_type - 关键字,text.text

  • crashes.exception_type - 崩溃的异常类型

exe - 关键字,text.text

  • seccomp_events.exe - 用于调用分析进程的可执行文件的路径

executable - 关键字,text.text

  • appcompat_shims.executable - 正在进行 shim 的可执行文件的名称。这是从注册表中提取的。
  • process_file_events.executable - 可执行文件路径

executable_path - 关键字,text.text

  • wmi_cli_event_consumers.executable_path - 要执行的模块。该字符串可以指定要执行的模块的完整路径和文件名,也可以指定部分名称。如果指定了部分名称,则假定为当前驱动器和当前目录。

execution_flag - 关键字,number.long

  • shimcache.execution_flag - 布尔执行标志,1 表示执行,0 表示不执行,-1 表示缺失(此标志在 Windows 10 及更高版本上不存在)。

executions - 关键字,number.long

  • osquery_schedule.executions - 查询执行的次数

exit_code - 关键字,text.text

  • bpf_process_events.exit_code - 系统调用的退出代码
  • bpf_socket_events.exit_code - 系统调用的退出代码
  • es_process_events.exit_code - 在退出事件的情况下,进程的退出代码
  • process_etw_events.exit_code - 退出代码 - 仅在 ProcessStop 事件上显示

expand - 关键字,number.long

  • default_environment.expand - 如果变量需要扩展,则为 1,否则为 0

expire - 关键字,number.long

  • shadow.expire - 自 UNIX 纪元日期起,直到禁用帐户的天数

expires_at - 关键字,text.text

  • lxd_images.expires_at - 映像过期的 ISO 时间

extended_key_usage - 关键字,text.text

  • curl_certificate.extended_key_usage - 证书中密钥的扩展用法

extension_type - 关键字,text.text

  • safari_extensions.extension_type - 扩展类型:WebOrAppExtension 或 LegacyExtension

extensions - 关键字,text.text

  • osquery_info.extensions - osquery 扩展状态

external - 关键字,number.long

  • app_schemes.external - 如果此处理程序默认不存在于 macOS 上,则为 1,否则为 0

extra - 关键字,text.text

  • asl.extra - 额外列,采用 JSON 格式。 对此列的查询完全在 SQLite 中执行,因此无法通过 asl.h 进行高效查询。
  • os_version.extra - 可选的额外版本规范
  • platform_info.extra - 平台特定的其他信息

facility - 关键字,text.text

  • asl.facility - 发送者的设施。默认为 user
  • syslog_events.facility - Syslog 设施

fahrenheit - 关键字,number.double

  • temperature_sensors.fahrenheit - 华氏温度

failed_disks - 关键字,number.long

  • md_devices.failed_disks - 阵列中失败的磁盘数

failed_login_count - 关键字,number.long

  • account_policy_data.failed_login_count - 使用不正确密码的失败登录尝试次数。输入正确的密码后,计数会重置。

failed_login_timestamp - 关键字,number.double

  • account_policy_data.failed_login_timestamp - 上次失败登录尝试的时间。输入正确的密码后,会重置

family - 关键字,number.long

  • bpf_socket_events.family - Internet 协议族 ID
  • listening_ports.family - 网络协议 (IPv4、IPv6)
  • process_open_sockets.family - 网络协议 (IPv4、IPv6)
  • socket_events.family - Internet 协议族 ID

fan - 关键字,text.text

  • fan_speed_sensors.fan - 风扇编号

faults - 关键字,number.long

  • virtual_memory_info.faults - 对 vm_faults 的调用总数。

fd - 关键字,text.text

  • bpf_socket_events.fd - 进程套接字的文件描述
  • listening_ports.fd - 套接字文件描述符编号
  • process_open_files.fd - 进程特定的文件描述符编号
  • process_open_pipes.fd - 文件描述符
  • process_open_sockets.fd - 套接字文件描述符编号
  • socket_events.fd - 进程套接字的文件描述

feature - 关键字, 文本.文本

  • cpuid.feature - 当前特性标志

feature_control - 关键字, 数字.长整型

  • msr.feature_control - 控制启用特性的位域。

field_name - 关键字, 文本.文本

  • system_controls.field_name - 不透明类型的特定属性

file_attributes - 关键字, 文本.文本

  • ntfs_journal_events.file_attributes - 文件属性

file_backed - 关键字, 数字.长整型

  • virtual_memory_info.file_backed - 文件支持的总页数。

file_id - 关键字, 文本.文本

  • file.file_id - 文件ID

file_sharing - 关键字, 数字.长整型

  • sharing_preferences.file_sharing - 如果启用文件共享则为 1,否则为 0

file_system - 关键字, 文本.文本

  • logical_drives.file_system - 驱动器的文件系统。

file_version - 关键字, 文本.文本

  • file.file_version - 文件版本

filename - 关键字, 文本.文本

  • device_file.filename - 文件路径的名称部分
  • es_process_file_events.filename - 事件的源文件名或目标文件名
  • file.filename - 文件路径的名称部分
  • lxd_images.filename - 映像文件的文件名
  • prefetch.filename - 可执行文件名。
  • xprotect_entries.filename - 使用此文件名进行匹配

filepath - 关键字, 文本.文本

  • package_bom.filepath - 包文件或目录

filesystem - 关键字, 文本.文本

  • disk_events.filesystem - 如果可用,则为文件系统

filetype - 关键字, 文本.文本

  • xprotect_entries.filetype - 使用此文件类型进行匹配

filevault_status - 关键字, 文本.文本

  • disk_encryption.filevault_status - FileVault 状态,具有以下值之一:on | off | unknown

filter - 关键字, 文本.文本

  • wmi_filter_consumer_binding.filter - 引用 __EventFilter 的实例,该实例表示事件过滤器的对象路径,该过滤器是指定要接收的事件类型的查询。

filter_name - 关键字, 文本.文本

  • iptables.filter_name - 数据包匹配过滤器表名称。

fingerprint - 关键字, 文本.文本

  • lxd_certificates.fingerprint - 证书的 SHA256 哈希值

finished_at - 关键字, 文本.文本

  • docker_containers.finished_at - 容器完成时间(字符串格式)

firewall - 关键字, 文本.文本

  • windows_security_center.firewall - 受监控防火墙的运行状况(请参阅 windows_security_products)

firewall_unload - 关键字, 数字.长整型

  • alf.firewall_unload - 如果启用防火墙卸载则为 1,否则为 0

firmware_type - 关键字, 文本.文本

  • platform_info.firmware_type - 固件类型(uefi、bios、iboot、openfirmware、unknown)。

firmware_version - 关键字, 文本.文本

  • ibridge_info.firmware_version - 固件的构建版本

fix_comments - 关键字, 文本.文本

  • patches.fix_comments - 关于补丁的其他注释。

flag - 关键字, 数字.长整型

  • shadow.flag - 保留

flags - 关键字

  • device_partitions.flags - 描述分区的值 (TSK_VS_PART_FLAG_ENUM)
  • dns_cache.flags - DNS 记录标志
  • interface_details.flags - 设备的标志 (netdevice)
  • kernel_keys.flags - 描述密钥状态的一组标志。
  • mounts.flags - 已挂载设备的标志
  • pipes.flags - 指示此管道连接是服务器端还是客户端端,以及用于发送消息还是字节的管道的标志
  • process_etw_events.flags - 进程标志
  • routes.flags - 描述路由的标志

folder_id - 关键字, 文本.文本

  • ycloud_instance_metadata.folder_id - VM 的文件夹标识符

following - 关键字, 文本.文本

  • systemd_units.following - 此单元在状态中跟随的另一个单元的名称

force_logoff_when_expire - 关键字, 数字.长整型

  • security_profile_info.force_logoff_when_expire - 确定当客户端的登录时间过期时,是否强制断开与 SMB 服务器的 SMB 客户端会话

forced - 关键字, 数字.长整型

  • preferences.forced - 如果值是强制的/托管的,则为 1,否则为 0

form_factor - 关键字, 文本.文本

  • memory_devices.form_factor - 此内存设备的实现外形

format - 关键字, 文本.文本

  • cups_jobs.format - 打印作业的格式

forwarding_enabled - 关键字, 数字.长整型

  • interface_ipv6.forwarding_enabled - 启用 IP 转发

fragment_path - 关键字, 文本.文本

  • systemd_units.fragment_path - 读取此单元的单元文件路径(如果有)

frame_backtrace - 关键字, 文本.文本

  • kernel_panics.frame_backtrace - 崩溃模块的回溯

free - 关键字, 数字.长整型

  • virtual_memory_info.free - 空闲页面的总数。

free_space - 关键字, 数字.长整型

  • logical_drives.free_space - 驱动器的可用空间量(以字节为单位)(失败时为 -1)。

friendly_name - 关键字, 文本.文本

  • interface_addresses.friendly_name - 接口的友好显示名称。
  • interface_details.friendly_name - 接口的友好显示名称。

from_webstore - 关键字, 文本.文本

  • chrome_extensions.from_webstore - 如果此扩展程序是从 Web 应用商店安装的,则为 True

fs_id - 关键字, 文本.文本

  • quicklook_cache.fs_id - Quicklook 文件 fs_id 键

fsgid - 关键字

  • process_events.fsgid - 进程启动时的文件系统组 ID
  • process_file_events.fsgid - 使用该文件的进程的文件系统组 ID

fsuid - 关键字

  • apparmor_events.fsuid - 文件系统用户 ID
  • process_events.fsuid - 进程启动时的文件系统用户 ID
  • process_file_events.fsuid - 使用该文件的进程的文件系统用户 ID

gateway - 关键字, 文本.文本

  • docker_container_networks.gateway - 网关
  • docker_networks.gateway - 网络网关
  • routes.gateway - 路由网关

gid - 关键字

  • asl.gid - 发送日志消息的 GID(由服务器设置)。
  • bpf_process_events.gid - 组 ID
  • bpf_socket_events.gid - 组 ID
  • device_file.gid - 所有者组 ID
  • docker_container_processes.gid - 组 ID
  • es_process_events.gid - 进程的组 ID
  • file.gid - 所有者组 ID
  • file_events.gid - 所有者组 ID
  • groups.gid - 无符号 int64 组 ID
  • kernel_keys.gid - 密钥的组 ID。
  • package_bom.gid - 文件或目录的预期组
  • process_events.gid - 进程启动时的组 ID
  • process_file_events.gid - 执行操作的进程的 gid
  • processes.gid - 无符号组 ID
  • seccomp_events.gid - 启动分析进程的用户的组 ID
  • user_groups.gid - 组 ID
  • users.gid - 组 ID(无符号)

gid_signed - 关键字, 数字.长整型

  • groups.gid_signed - gid 的有符号 int64 版本
  • users.gid_signed - 默认组 ID,为 int64 有符号 (Apple)

git_commit - 关键字, 文本.文本

  • docker_version.git_commit - Docker 构建 git 提交

global_seq_num - 关键字, 数字.长整型

  • es_process_events.global_seq_num - 全局序列号
  • es_process_file_events.global_seq_num - 全局序列号

global_state - 关键字, 数字.长整型

  • alf.global_state - 如果防火墙已启用并带有例外,则为 1;如果防火墙配置为阻止所有传入连接,则为 2;否则为 0

go_version - 关键字, 文本.文本

  • docker_version.go_version - Go 版本

gpgcheck - 关键字, 文本.文本

  • yum_sources.gpgcheck - 包是否进行 GPG 检查

gpgkey - 关键字, 文本.文本

  • yum_sources.gpgkey - GPG 密钥的 URL

grace_period - 关键字, 数字.长整型

  • screenlock.grace_period - 在唤醒时要求输入密码之前,屏幕必须处于休眠状态或屏幕保护程序处于开启状态的时间量(以秒为单位)。0 = 立即;-1 = 唤醒时不需要密码

group_sid - 关键字, 文本.文本

  • groups.group_sid - 唯一组 ID

grouping - 关键字, 文本.文本

  • windows_firewall_rules.grouping - 单个规则所属的组

groupname - 关键字, 文本.文本

  • groups.groupname - 规范的本地组名称
  • launchd.groupname - 将此守护程序或代理作为此组运行
  • rpm_package_files.groupname - 来自 info DB 的文件默认组名称
  • suid_bin.groupname - 二进制所有者组

guest - 关键字, 数字.长整型

  • cpu_time.guest - Linux 内核控制下为客户操作系统运行虚拟 CPU 所花费的时间

guest_nice - 关键字, 数字.长整型

  • cpu_time.guest_nice - 运行优化的客户机所花费的时间

handle - 关键字, 文本.文本

  • memory_array_mapped_addresses.handle - 与结构关联的句柄或实例号
  • memory_arrays.handle - 与数组关联的句柄或实例号
  • memory_device_mapped_addresses.handle - 与结构关联的句柄或实例号
  • memory_devices.handle - 在 SMBIOS 中与结构关联的句柄或实例号
  • memory_error_info.handle - 与结构关联的句柄或实例号
  • oem_strings.handle - 与 Type 11 结构关联的句柄或实例编号
  • smbios_tables.handle - 表条目句柄

handle_count - 关键词,数字.长整型

  • processes.handle_count - 进程打开的句柄总数。此数字是进程中每个线程当前打开的句柄的总和。

handler - 关键词,文本.文本

  • app_schemes.handler - 处理程序的应用程序标签

hard_limit - 关键词,文本.文本

  • ulimit_info.hard_limit - 最大限制值

hard_links - 关键词,数字.长整型

  • device_file.hard_links - 硬链接数
  • file.hard_links - 硬链接数

hardware_model - 关键词,文本.文本

  • disk_info.hardware_model - 硬盘驱动器型号。
  • system_info.hardware_model - 硬件型号

hardware_serial - 关键词,文本.文本

  • system_info.hardware_serial - 设备序列号

hardware_vendor - 关键词,文本.文本

  • system_info.hardware_vendor - 硬件供应商

hardware_version - 关键词,文本.文本

  • system_info.hardware_version - 硬件版本

has_expired - 关键词,数字.长整型

  • curl_certificate.has_expired - 如果证书已过期,则为 1,否则为 0

hash - 关键词,文本.文本

  • prefetch.hash - 预取 CRC 哈希。

hash_alg - 关键词,文本.文本

  • shadow.hash_alg - 密码哈希算法

hash_resources - 关键词,数字.长整型

  • signature.hash_resources - 设置为 1 表示同时哈希资源,否则为 0。默认值为 1

hashed - 关键词,数字.长整型

  • file_events.hashed - 如果文件已哈希,则为 1;如果未哈希,则为 0;如果哈希失败,则为 -1

header - 关键词,文本.文本

  • sudoers.header - 给定规则的符号

header_pid - 关键词,数字.长整型

  • process_etw_events.header_pid - 报告事件的进程的进程 ID

header_size - 关键词,数字.长整型

  • smbios_tables.header_size - 标头大小(以字节为单位)

health - 关键词,文本.文本

  • battery.health - 以下选项之一:“良好”描述性能良好的电池,“一般”描述容量有限的功能性电池,或“差”描述无法供电的电池

hidden - 关键词,数字.长整型

  • scheduled_tasks.hidden - 该任务是否在 UI 中可见
  • smc_keys.hidden - 如果此密钥通常隐藏,则为 1,否则为 0

history_file - 关键词,文本.文本

  • shell_history.history_file - 此用户的 .*_history 的路径

hit_count - 关键词,文本.文本

  • quicklook_cache.hit_count - 缩略图的缓存命中次数

home_directory - 关键词,文本.文本

  • logon_sessions.home_directory - 登录会话的主目录。

home_directory_drive - 关键词,文本.文本

  • logon_sessions.home_directory_drive - 登录会话的主目录的驱动器位置。

homepage - 关键词,文本.文本

  • npm_packages.homepage - 包提供的首页

hop_limit - 关键词,数字.长整型

  • interface_ipv6.hop_limit - 当前跃点限制

hopcount - 关键词,数字.长整型

  • routes.hopcount - 预期的最大跃点数

host - 关键词,文本.文本

  • asl.host - 发送者的地址(由服务器设置)。
  • last.host - 条目主机名
  • logged_in_users.host - 远程主机名
  • preferences.host - currentany 主机,其中 current 优先
  • syslog_events.host - 为 syslog 配置的主机名

host_ip - 关键词,文本.文本

  • docker_container_ports.host_ip - 公共端口正在侦听的主机 IP 地址

host_port - 关键词,数字.长整型

  • docker_container_ports.host_port - 主机端口

hostname - 关键词,文本.文本

  • curl_certificate.hostname - CURL 的主机名(域[:端口],例如 osquery.io)
  • system_info.hostname - 包括域的网络主机名
  • ycloud_instance_metadata.hostname - VM 的主机名

hostnames - 关键词,文本.文本

  • etc_hosts.hostnames - 原始主机映射

hotfix_id - 关键词,文本.文本

  • patches.hotfix_id - 修补程序的 KB ID。

hour - 关键词,文本.文本

  • crontab.hour - 作业的每日小时数
  • time.hour - 当前小时(UTC)

hours - 关键词,数字.长整型

  • uptime.hours - 正常运行时间(小时)

hresult - 关键词,数字.长整型

  • windows_update_history.hresult - 对更新执行操作返回的 HRESULT 值

http_proxy - 关键词,文本.文本

  • docker_info.http_proxy - HTTP 代理

https_proxy - 关键词,文本.文本

  • docker_info.https_proxy - HTTPS 代理

hwaddr - 关键词,文本.文本

  • lxd_networks.hwaddr - 此网络的硬件地址

iam_arn - 关键词,文本.文本

  • ec2_instance_metadata.iam_arn - 如果有与实例关联的 IAM 角色,则包含实例配置文件 ARN

ibrs_support_enabled - 关键词,数字.长整型

  • kva_speculative_info.ibrs_support_enabled - Windows 使用 IBRS。

ibytes - 关键词,数字.长整型

  • interface_details.ibytes - 输入字节

icmp_types_codes - 关键词,文本.文本

  • windows_firewall_rules.icmp_types_codes - 规则的 ICMP 类型和代码

icon_mode - 关键词,数字.长整型

  • quicklook_cache.icon_mode - 缩略图图标模式

id - 关键词,文本.文本

  • disk_info.id - 系统上驱动器的唯一标识符。
  • dns_resolvers.id - 地址类型索引或顺序
  • docker_container_envs.id - 容器 ID
  • docker_container_fs_changes.id - 容器 ID
  • docker_container_labels.id - 容器 ID
  • docker_container_mounts.id - 容器 ID
  • docker_container_networks.id - 容器 ID
  • docker_container_ports.id - 容器 ID
  • docker_container_processes.id - 容器 ID
  • docker_container_stats.id - 容器 ID
  • docker_containers.id - 容器 ID
  • docker_image_history.id - 镜像 ID
  • docker_image_labels.id - 镜像 ID
  • docker_image_layers.id - 镜像 ID
  • docker_images.id - 镜像 ID
  • docker_info.id - Docker 系统 ID
  • docker_network_labels.id - 网络 ID
  • docker_networks.id - 网络 ID
  • iokit_devicetree.id - IOKit 内部注册表 ID
  • iokit_registry.id - IOKit 内部注册表 ID
  • lxd_images.id - 镜像 ID
  • systemd_units.id - 唯一单元标识符

identifier - 关键词,文本.文本

  • browser_plugins.identifier - 插件标识符
  • chrome_extension_content_scripts.identifier - 扩展标识符
  • chrome_extensions.identifier - 从其清单计算出的扩展标识符。如果发生错误,则为空。
  • crashes.identifier - 崩溃进程的标识符
  • firefox_addons.identifier - 插件标识符
  • safari_extensions.identifier - 扩展标识符
  • signature.identifier - 密封到签名中的签名标识符
  • system_extensions.identifier - 标识符名称
  • xprotect_meta.identifier - 浏览器插件或扩展标识符

identifying_number - 关键词,文本.文本

  • programs.identifying_number - 产品标识,例如软件上的序列号或硬件芯片上的芯片编号。

identity - 关键词,文本.文本

  • xprotect_entries.identity - 内容的 XProtect 标识(SHA1)

idle - 关键词,数字.长整型

  • cpu_time.idle - 在空闲任务中花费的时间

idrops - 关键词,数字.长整型

  • interface_details.idrops - 输入丢弃

idx - 关键词,数字.长整型

  • kernel_extensions.idx - 扩展加载标记或索引

ierrors - 关键词,数字.长整型

  • interface_details.ierrors - 输入错误

image - 关键词,文本.文本

  • docker_containers.image - 用于启动此容器的 Docker 镜像(名称)
  • drivers.image - 驱动程序镜像文件的路径

image_id - 关键词,文本.文本

  • docker_containers.image_id - Docker 镜像 ID

images - 关键词,数字.长整型

  • docker_info.images - 镜像数量

inactive - 关键词,数字.长整型

  • memory_info.inactive - 空闲和可用的缓冲区或页面缓存内存总量(以字节为单位)
  • shadow.inactive - 密码过期后帐户被阻止的天数
  • virtual_memory_info.inactive - 不活动页面的总数。

include_remote - 关键词,数字.长整型

  • users.include_remote - 1 表示包括远程 (LDAP/AD) 帐户(默认值 0)。警告:如果没有 uid/用户名过滤,可能会列出整个 LDAP 目录

inetd_compatibility - 关键词,文本.文本

  • launchd.inetd_compatibility - 像从 inetd 启动一样运行此守护程序或代理

inf - 关键词,文本.文本

  • drivers.inf - 关联的 inf 文件

info - 关键词,文本.文本

  • apparmor_events.info - 附加信息

info_access - 关键字,文本.文本

  • curl_certificate.info_access - 授权信息访问

info_string - 关键字,文本.文本

  • apps.info_string - Info 属性 CFBundleGetInfoString 标签

inherited_from - 关键字,文本.文本

  • ntfs_acl_permissions.inherited_from - ACE 的继承策略。

iniface - 关键字,文本.文本

  • iptables.iniface - 规则的输入接口。

iniface_mask - 关键字,文本.文本

  • iptables.iniface_mask - 规则的输入接口掩码。

inode - 关键字,数字.长整型

  • device_file.inode - 文件系统 inode 号
  • device_hash.inode - 文件系统 inode 号
  • file.inode - 文件系统 inode 号
  • file_events.inode - 文件系统 inode 号
  • process_memory_map.inode - 映射路径 inode,0 表示未初始化 (BSS)
  • process_open_pipes.inode - 管道 inode 号
  • quicklook_cache.inode - 从 fs_id 解析的文件 ID (inode)

inodes - 关键字,数字.长整型

  • device_partitions.inodes - 元节点数量
  • mounts.inodes - 已挂载设备使用的 inode

inodes_free - 关键字,数字.长整型

  • mounts.inodes_free - 已挂载设备空闲的 inode

inodes_total - 关键字,数字.长整型

  • lxd_storage_pools.inodes_total - 此存储池中可用的 inode 总数

inodes_used - 关键字,数字.长整型

  • lxd_storage_pools.inodes_used - 已使用的 inode 数量

input_eax - 关键字,文本.文本

  • cpuid.input_eax - 使用的 EAX 值

install_date - 关键字

  • os_version.install_date - 操作系统的安装日期。
  • patches.install_date - 指示补丁的安装时间。缺少值并不表示未安装补丁。
  • programs.install_date - 此产品安装在系统上的日期。
  • shared_resources.install_date - 指示对象的安装时间。缺少值并不表示未安装对象。

install_location - 关键字,文本.文本

  • programs.install_location - 产品的安装位置目录。

install_source - 关键字,文本.文本

  • programs.install_source - 产品的安装源。

install_time - 关键字

  • appcompat_shims.install_time - SDB 的安装时间
  • chrome_extensions.install_time - 扩展程序的安装时间,采用其原始 Webkit 格式
  • package_receipts.install_time - 安装时间的时间戳
  • rpm_packages.install_time - 包的安装时间

install_timestamp - 关键字,数字.长整型

  • chrome_extensions.install_timestamp - 扩展程序的安装时间,已转换为 Unix 时间

installed_at - 关键字,数字.长整型

  • vscode_extensions.installed_at - 安装时间戳

installed_by - 关键字,文本.文本

  • patches.installed_by - 安装补丁的系统上下文。

installed_on - 关键字,文本.文本

  • patches.installed_on - 安装补丁的日期。

installer_name - 关键字,文本.文本

  • package_receipts.installer_name - 安装程序进程的名称

instance_id - 关键字,文本.文本

  • ec2_instance_metadata.instance_id - EC2 实例 ID
  • ec2_instance_tags.instance_id - EC2 实例 ID
  • osquery_info.instance_id - 每个 osquery 实例的唯一、长期 ID
  • ycloud_instance_metadata.instance_id - VM 的唯一标识符

instance_identifier - 关键字,文本.文本

  • hvci_status.instance_identifier - Device Guard 的实例 ID。

instance_type - 关键字,文本.文本

  • ec2_instance_metadata.instance_type - EC2 实例类型

instances - 关键字,数字.长整型

  • pipes.instances - 命名管道的实例数

interface - 关键字,文本.文本

  • arp_cache.interface - MAC 的网络接口
  • interface_addresses.interface - 接口名称
  • interface_details.interface - 接口名称
  • interface_ipv6.interface - 接口名称
  • routes.interface - 路由本地接口
  • wifi_status.interface - 接口名称
  • wifi_survey.interface - 接口名称

interleave_data_depth - 关键字,数字.长整型

  • memory_device_mapped_addresses.interleave_data_depth - 在单个交错传输中访问的内存设备中连续行的最大数量;0 表示设备为非交错

interleave_position - 关键字,数字.长整型

  • memory_device_mapped_addresses.interleave_position - 设备在交错中的位置,即 0 表示非交错,1 表示第一个交错,2 表示第二个交错,等等。

internal - 关键字,数字.长整型

  • osquery_registry.internal - 如果插件是内部插件则为 1,否则为 0

internet_settings - 关键字,文本.文本

  • windows_security_center.internet_settings - Internet 设置的健康状况

internet_sharing - 关键字,数字.长整型

  • sharing_preferences.internet_sharing - 如果启用 Internet 共享则为 1,否则为 0

interval - 关键字,数字.长整型

  • docker_container_stats.interval - 读取和预读取之间的时间差,单位为纳秒
  • osquery_schedule.interval - 运行此查询的间隔(以秒为单位),不是精确间隔

iowait - 关键字,数字.长整型

  • cpu_time.iowait - 等待 I/O 完成的时间

ip - 关键字,文本.文本

  • seccomp_events.ip - 指令指针值

ip_address - 关键字,文本.文本

  • docker_container_networks.ip_address - IP 地址

ip_prefix_len - 关键字,数字.长整型

  • docker_container_networks.ip_prefix_len - IP 子网前缀长度

ipackets - 关键字,数字.长整型

  • interface_details.ipackets - 输入数据包

ipc_namespace - 关键字,文本.文本

  • docker_containers.ipc_namespace - IPC 命名空间
  • process_namespaces.ipc_namespace - ipc 命名空间 inode

ipv4_address - 关键字,文本.文本

  • lxd_networks.ipv4_address - IPv4 地址

ipv4_forwarding - 关键字,数字.长整型

  • docker_info.ipv4_forwarding - 如果启用 IPv4 转发则为 1,否则为 0

ipv4_internet - 关键字,数字.长整型

  • connectivity.ipv4_internet - 如果任何接口通过 IPv4 连接到 Internet 则为 True

ipv4_local_network - 关键字,数字.长整型

  • connectivity.ipv4_local_network - 如果任何接口通过 IPv4 连接到路由网络则为 True

ipv4_no_traffic - 关键字,数字.长整型

  • connectivity.ipv4_no_traffic - 如果任何接口通过 IPv4 连接,但未看到任何流量则为 True

ipv4_subnet - 关键字,数字.长整型

  • connectivity.ipv4_subnet - 如果任何接口通过 IPv4 连接到本地子网则为 True

ipv6_address - 关键字,文本.文本

  • docker_container_networks.ipv6_address - IPv6 地址
  • lxd_networks.ipv6_address - IPv6 地址

ipv6_gateway - 关键字,文本.文本

  • docker_container_networks.ipv6_gateway - IPv6 网关

ipv6_internet - 关键字,数字.长整型

  • connectivity.ipv6_internet - 如果任何接口通过 IPv6 连接到 Internet 则为 True

ipv6_local_network - 关键字,数字.长整型

  • connectivity.ipv6_local_network - 如果任何接口通过 IPv6 连接到路由网络则为 True

ipv6_no_traffic - 关键字,数字.长整型

  • connectivity.ipv6_no_traffic - 如果任何接口通过 IPv6 连接,但未看到任何流量则为 True

ipv6_prefix_len - 关键字,数字.长整型

  • docker_container_networks.ipv6_prefix_len - IPv6 子网前缀长度

ipv6_subnet - 关键字,数字.长整型

  • connectivity.ipv6_subnet - 如果任何接口通过 IPv6 连接到本地子网则为 True

irq - 关键字,数字.长整型

  • cpu_time.irq - 服务中断所花费的时间

is_active - 关键字,数字.长整型

  • running_apps.is_active - (已弃用)

is_hidden - 关键字,数字.长整型

  • groups.is_hidden - 在 OpenDirectory 中设置的 IsHidden 属性
  • users.is_hidden - 在 OpenDirectory 中设置的 IsHidden 属性

iso_8601 - 关键字,文本.文本

  • time.iso_8601 - 当前时间 (ISO 格式),采用 UTC 时间

issuer - 关键字,文本.文本

  • certificates.issuer - 证书颁发者可分辨名称(已弃用,请使用 issuer2)

issuer2 - 关键字,文本.文本

  • certificates.issuer2 - 证书颁发者可分辨名称

issuer_alternative_names - 关键字,文本.文本

  • curl_certificate.issuer_alternative_names - 颁发者备用名称

issuer_common_name - 关键字,文本.文本

  • curl_certificate.issuer_common_name - 颁发者公用名称

issuer_name - 关键字,文本.文本

  • authenticode.issuer_name - 证书颁发者名称

issuer_organization - 关键字,文本.文本

  • curl_certificate.issuer_organization - 颁发者组织

issuer_organization_unit - 关键字,文本.文本

  • curl_certificate.issuer_organization_unit - 颁发者组织单位

job_id - 关键字,数字.长整型

  • systemd_units.job_id - 下一个排队的作业 ID

job_path - 关键字,文本.文本

  • systemd_units.job_path - 作业的对象路径

job_type - 关键字,文本.文本

  • systemd_units.job_type - 作业类型

json_cmdline - 关键字,文本.文本

  • bpf_process_events.json_cmdline - 命令行参数,采用 JSON 格式

keep_alive - 关键字,文本.文本

  • launchd.keep_alive - 如果进程被终止,是否应该重新启动

kernel_extensions - 关键字,数字.长整型

  • secureboot.kernel_extensions - (Apple Silicon) 允许用户管理来自已识别开发者的内核扩展 (允许则为 1)

kernel_memory - 关键字,number.long

  • docker_info.kernel_memory - 如果启用内核内存限制支持,则为 1。否则为 0

kernel_version - 关键字,text.text

  • docker_info.kernel_version - 内核版本
  • docker_version.kernel_version - 内核版本
  • kernel_panics.kernel_version - 系统内核的版本

key - 关键字,text.text

  • authorized_keys.key - 密钥编码为 base64
  • azure_instance_tags.key - 标签键
  • chrome_extensions.key - 扩展密钥,来自 manifest 文件
  • docker_container_envs.key - 环境变量名称
  • docker_container_labels.key - 标签键
  • docker_image_labels.key - 标签键
  • docker_network_labels.key - 标签键
  • docker_volume_labels.key - 标签键
  • ec2_instance_tags.key - 标签键
  • extended_attributes.key - 从扩展属性生成的值的名称
  • known_hosts.key - 已解析的 authorized keys 行
  • launchd_overrides.key - 覆盖键的名称
  • lxd_instance_config.key - 配置参数名称
  • lxd_instance_devices.key - 设备信息参数名称
  • mdls.key - 元数据键的名称
  • plist.key - 首选项顶级键
  • power_sensors.key - macOS 上的 SMC 键
  • preferences.key - 首选项顶级键
  • process_envs.key - 环境变量名称
  • registry.key - 要搜索的键的名称
  • selinux_settings.key - 键或类名。
  • smc_keys.key - 4 个字符的键
  • temperature_sensors.key - macOS 上的 SMC 键

key_algorithm - 关键字,text.text

  • certificates.key_algorithm - 使用的密钥算法

key_file - 关键字,text.text

  • authorized_keys.key_file - authorized_keys 文件的路径
  • known_hosts.key_file - known_hosts 文件的路径

key_group_name - 关键字,text.text

  • user_ssh_keys.key_group_name - 私钥的组。支持 OpenSSL 实现的 key_types 的子集

key_length - 关键字,number.long

  • user_ssh_keys.key_length - 私钥所属的密码系统的密码长度,以位为单位。密码长度的定义特定于密码系统。如果不可用,则为 -1

key_security_bits - 关键字,number.long

  • user_ssh_keys.key_security_bits - 私钥的安全位数,NIST SP800-57 中定义的安全位数。如果不可用,则为 -1

key_strength - 关键字,text.text

  • certificates.key_strength - 用于 RSA/DSA 的密钥大小或曲线名称

key_type - 关键字,text.text

  • user_ssh_keys.key_type - 私钥的类型。[rsa, dsa, dh, ec, hmac, cmac] 之一,或者为空字符串。

key_usage - 关键字,text.text

  • certificates.key_usage - 证书密钥用法和扩展密钥用法
  • curl_certificate.key_usage - 证书中密钥的用法

keychain_path - 关键字,text.text

  • keychain_acls.keychain_path - 钥匙串的路径

keyword - 关键字,text.text

  • portage_keywords.keyword - 应用于软件包的关键字

keywords - 关键字,text.text

  • windows_eventlog.keywords - 事件中定义的关键字的位掩码
  • windows_events.keywords - 事件中定义的关键字的位掩码

kva_shadow_enabled - 关键字,number.long

  • kva_speculative_info.kva_shadow_enabled - 启用内核虚拟地址阴影。

kva_shadow_inv_pcid - 关键字,number.long

  • kva_speculative_info.kva_shadow_inv_pcid - 启用内核 VA INVPCID。

kva_shadow_pcid - 关键字,number.long

  • kva_speculative_info.kva_shadow_pcid - 启用内核 VA PCID 刷新优化。

kva_shadow_user_global - 关键字,number.long

  • kva_speculative_info.kva_shadow_user_global - 用户页面标记为全局。

label - 关键字,text.text

  • apparmor_events.label - AppArmor 标签
  • augeas.label - 配置项的标签
  • authorization_mechanisms.label - 授权权利的标签
  • authorizations.label - 项目名称,通常为反向域格式
  • block_devices.label - 块设备标签字符串
  • device_partitions.label - 存储在分区表中的分区名称
  • keychain_acls.label - 可能包含在钥匙串条目中的可选标签
  • keychain_items.label - 通用项目名称
  • launchd.label - 守护程序或代理服务名称
  • launchd_overrides.label - 守护程序或代理服务名称
  • quicklook_cache.label - 已解析的 *gen* 字段
  • sandboxes.label - UTI 格式的捆绑包或标签 ID

language - 关键字,text.text

  • programs.language - 产品的语言。

last_change - 关键字,number.long

  • interface_details.last_change - 上次设备修改的时间(可选)
  • shadow.last_change - 上次密码更改的日期(从 UNIX 纪元日期开始)

last_connected - 关键字,number.long

  • wifi_networks.last_connected - 上次连接到此网络的时间,以 unix_time 表示

last_executed - 关键字,number.long

  • osquery_schedule.last_executed - 上次完成执行的 UNIX 时间戳(以秒为单位)

last_execution_time - 关键字,number.long

  • background_activities_moderator.last_execution_time - 应用程序最近一次执行的时间。
  • userassist.last_execution_time - 应用程序最近一次执行的时间。

last_hit_date - 关键字,number.long

  • quicklook_cache.last_hit_date - 上次缩略图缓存命中的 Apple 日期格式

last_loaded - 关键字,text.text

  • kernel_panics.last_loaded - 崩溃前最后加载的模块

last_memory - 关键字,number.long

  • osquery_schedule.last_memory - 最近一次执行收集结果后剩余的驻留内存(以字节为单位)

last_opened_time - 关键字

  • apps.last_opened_time - 上次使用应用程序的时间
  • office_mru.last_opened_time - 最近一次打开文件的时间

last_run_code - 关键字,text.text

  • scheduled_tasks.last_run_code - 上次任务运行的退出状态代码

last_run_message - 关键字,text.text

  • scheduled_tasks.last_run_message - 上次任务运行的退出状态消息

last_run_time - 关键字,number.long

  • prefetch.last_run_time - 应用程序最近一次运行的时间。
  • scheduled_tasks.last_run_time - 任务上次运行的时间戳

last_system_time - 关键字,number.long

  • osquery_schedule.last_system_time - 最近一次执行的系统时间(以毫秒为单位)

last_unloaded - 关键字,text.text

  • kernel_panics.last_unloaded - 崩溃前最后卸载的模块

last_used_at - 关键字,text.text

  • lxd_images.last_used_at - 以容器生成而言,最近使用此镜像的 ISO 时间

last_user_time - 关键字,number.long

  • osquery_schedule.last_user_time - 最近一次执行的用户时间(以毫秒为单位)

last_wall_time_ms - 关键字,number.long

  • osquery_schedule.last_wall_time_ms - 最近一次执行的实际时间(以毫秒为单位)

launch_type - 关键字,text.text

  • xprotect_entries.launch_type - 启动服务内容类型

layer_id - 关键字,text.text

  • docker_image_layers.layer_id - 图层 ID

layer_order - 关键字,number.long

  • docker_image_layers.layer_order - 图层顺序(1 = 基本图层)

level - 关键字

  • asl.level - 日志级别号。请参阅 asl.h 中的级别。
  • unified_log.level - 条目的严重级别
  • windows_eventlog.level - 与事件关联的严重级别
  • windows_events.level - 与事件关联的严重级别

license - 关键字,text.text

  • chocolatey_packages.license - 启动软件包所依据的许可证
  • npm_packages.license - 启动软件包所依据的许可证
  • python_packages.license - 启动软件包所依据的许可证

link_speed - 关键字,number.long

  • interface_details.link_speed - 接口速度,单位为 Mb/s

linked_against - 关键字,text.text

  • kernel_extensions.linked_against - 此扩展链接到的扩展的索引

load_percentage - 关键字,number.long

  • cpu_info.load_percentage - CPU 当前的利用率百分比。

load_state - 关键字,text.text

  • systemd_units.load_state - 反映单元定义是否正确加载

local_address - 关键字,text.text

  • bpf_socket_events.local_address - 与套接字关联的本地地址
  • process_open_sockets.local_address - 套接字本地地址
  • socket_events.local_address - 与套接字关联的本地地址

local_addresses - 关键字,text.text

  • windows_firewall_rules.local_addresses - 规则的本地地址

local_hostname - 关键字,text.text

  • ec2_instance_metadata.local_hostname - 此实例的第一个接口的私有 IPv4 DNS 主机名
  • system_info.local_hostname - 本地主机名(可选)

local_ipv4 - 关键字,text.text

  • ec2_instance_metadata.local_ipv4 - 此实例的第一个接口的私有 IPv4 地址

local_port - 关键字,number.long

  • bpf_socket_events.local_port - 本地网络协议端口号
  • process_open_sockets.local_port - 套接字本地端口
  • socket_events.local_port - 本地网络协议端口号

local_ports - 关键字,text.text

  • windows_firewall_rules.local_ports - 规则的本地端口

local_timezone - 关键字,text.text

  • time.local_timezone - 系统当前的本地时区

location - 关键字,text.text

  • azure_instance_metadata.location - 虚拟机运行所在的 Azure 区域
  • firefox_addons.location - 全局,配置文件位置
  • memory_arrays.location - 内存阵列的物理位置
  • package_receipts.location - 卷上的可选相对安装路径

lock - 关键字,文本.文本

  • chassis_info.lock - 如果为 TRUE,则框架配有锁。

lock_status - 关键字,数字.长整型

  • bitlocker_info.lock_status - 从 Windows 访问驱动器的状态。

locked - 关键字,数字.长整型

  • shared_memory.locked - 如果段已锁定,则为 1,否则为 0

lockout_bad_count - 关键字,数字.长整型

  • security_profile_info.lockout_bad_count - 用户帐户必须被锁定的失败登录尝试次数

log_file_disk_quota_mb - 关键字,数字.长整型

  • carbon_black_info.log_file_disk_quota_mb - 以 MB 为单位的事件文件磁盘配额

log_file_disk_quota_percentage - 关键字,数字.长整型

  • carbon_black_info.log_file_disk_quota_percentage - 以百分比表示的事件文件磁盘配额

logging_driver - 关键字,文本.文本

  • docker_info.logging_driver - 日志驱动程序

logging_enabled - 关键字,数字.长整型

  • alf.logging_enabled - 如果启用日志记录模式则为 1,否则为 0

logging_option - 关键字,数字.长整型

  • alf.logging_option - 防火墙日志记录选项

logical_processors - 关键字,数字.长整型

  • cpu_info.logical_processors - CPU 的逻辑处理器数量。

logon_domain - 关键字,文本.文本

  • logon_sessions.logon_domain - 用于验证登录会话所有者的域的名称。

logon_id - 关键字,数字.长整型

  • logon_sessions.logon_id - 标识登录会话的本地唯一标识符 (LUID)。

logon_script - 关键字,文本.文本

  • logon_sessions.logon_script - 用于登录的脚本。

logon_server - 关键字,文本.文本

  • logon_sessions.logon_server - 用于验证登录会话所有者的服务器的名称。

logon_sid - 关键字,文本.文本

  • logon_sessions.logon_sid - 用户的安全标识符 (SID)。

logon_time - 关键字,数字.长整型

  • logon_sessions.logon_time - 会话所有者登录的时间。

logon_to_change_password - 关键字,数字.长整型

  • security_profile_info.logon_to_change_password - 确定是否需要登录会话来更改密码

logon_type - 关键字,文本.文本

  • logon_sessions.logon_type - 登录方法。

lsa_anonymous_name_lookup - 关键字,数字.长整型

  • security_profile_info.lsa_anonymous_name_lookup - 确定是否允许匿名用户查询本地 LSA 策略

mac - 关键字,文本.文本

  • arp_cache.mac - 广播地址的 MAC 地址
  • ec2_instance_metadata.mac - 此 EC2 实例的第一个网络接口的 MAC 地址
  • interface_details.mac - 接口的 MAC(可选)

mac_address - 关键字,文本.文本

  • docker_container_networks.mac_address - MAC 地址

machine_name - 关键字,文本.文本

  • windows_crashes.machine_name - 发生崩溃的机器名称

magic_db_files - 关键字,文本.文本

  • magic.magic_db_files - 可以找到 magic db 文件的冒号 (:) 分隔的文件列表。默认情况下,使用以下文件之一:/usr/share/file/magic/magic、/usr/share/misc/magic 或 /usr/share/misc/magic.mgc

main - 关键字,数字.长整型

  • connected_displays.main - 如果显示器是主显示器。

maintainer - 关键字,文本.文本

  • apt_sources.maintainer - 存储库维护者
  • deb_packages.maintainer - 包维护者

major - 关键字,数字.长整型

  • os_version.major - 主要发布版本

major_version - 关键字,数字.长整型

  • windows_crashes.major_version - 机器的 Windows 主要版本

managed - 关键字,数字.长整型

  • lxd_networks.managed - 如果网络由 LXD 创建,则为 1,否则为 0

mandatory_label - 关键字,文本.文本

  • process_etw_events.mandatory_label - 主令牌强制标签 sid - 仅在 ProcessStart 事件中出现

manifest_hash - 关键字,文本.文本

  • chrome_extensions.manifest_hash - manifest.json 文件的 SHA256 哈希

manifest_json - 关键字,文本.文本

  • chrome_extensions.manifest_json - 扩展的清单文件

manual - 关键字,数字.长整型

  • managed_policies.manual - 如果策略是手动加载的,则为 1,否则为 0

manufacture_date - 关键字,数字.长整型

  • battery.manufacture_date - 电池制造日期 UNIX 纪元

manufactured_week - 关键字,数字.长整型

  • connected_displays.manufactured_week - 显示器的制造周。如果不支持此字段,则该字段为 0

manufactured_year - 关键字,数字.长整型

  • connected_displays.manufactured_year - 显示器的制造年份。如果不支持此字段,则该字段为 0

manufacturer - 关键字,文本.文本

  • battery.manufacturer - 电池制造商的名称
  • chassis_info.manufacturer - 机箱的制造商。
  • cpu_info.manufacturer - CPU 的制造商。
  • disk_info.manufacturer - 磁盘的制造商。
  • drivers.manufacturer - 设备制造商
  • interface_details.manufacturer - 网络适配器制造商的名称。
  • memory_devices.manufacturer - 制造商 ID 字符串
  • video_info.manufacturer - GPU 的制造商。

manufacturer_id - 关键字,数字.长整型

  • tpm_info.manufacturer_id - TPM 制造商 ID

manufacturer_name - 关键字,文本.文本

  • tpm_info.manufacturer_name - TPM 制造商名称

manufacturer_version - 关键字,文本.文本

  • tpm_info.manufacturer_version - TPM 版本

mask - 关键字,文本.文本

  • interface_addresses.mask - 接口网络掩码
  • portage_keywords.mask - 如果包被屏蔽

match - 关键字,文本.文本

  • chrome_extension_content_scripts.match - 脚本与之匹配的模式
  • iptables.match - 应用的匹配规则。

matches - 关键字,文本.文本

  • yara.matches - YARA 匹配列表
  • yara_events.matches - YARA 匹配列表

max - 关键字,数字.长整型

  • fan_speed_sensors.max - 最大速度
  • shadow.max - 密码更改之间的最大天数

max_capacity - 关键字,数字.长整型

  • battery.max_capacity - 电池充满电时的实际容量,以 mAh 为单位
  • memory_arrays.max_capacity - 阵列的最大容量,以 GB 为单位

max_clock_speed - 关键字,数字.长整型

  • cpu_info.max_clock_speed - CPU 的最大可能频率。

max_instances - 关键字,数字.长整型

  • pipes.max_instances - 可以为此管道创建的最大实例数

max_results - 关键字,数字.长整型

  • windows_search.max_results - Windows API 返回的最大结果数,设置为 -1 表示无限制

max_rows - 关键字,数字.长整型

  • unified_log.max_rows - 返回的最大行数(默认为 100)

max_speed - 关键字,数字.长整型

  • memory_devices.max_speed - 内存设备的最大速度,以每秒百万传输 (MT/s) 为单位

max_voltage - 关键字,数字.长整型

  • memory_devices.max_voltage - 设备的最大工作电压,以毫伏为单位

maximum_allowed - 关键字,数字.长整型

  • shared_resources.maximum_allowed - 允许同时使用此资源的最大用户数的限制。仅当 AllowMaximum 属性设置为 FALSE 时,该值才有效。

maximum_password_age - 关键字,数字.长整型

  • security_profile_info.maximum_password_age - 确定密码在客户端要求用户更改密码之前可以使用的最大天数

md5 - 关键字,文本.文本

  • acpi_tables.md5 - 表内容的 MD5 哈希
  • device_hash.md5 - 提供的 inode 数据的 MD5 哈希
  • file_events.md5 - 更改后文件的 MD5
  • hash.md5 - 提供的文件系统数据的 MD5 哈希
  • smbios_tables.md5 - 表条目的 MD5 哈希

md_device_name - 关键字,文本.文本

  • md_drives.md_device_name - md 设备名称

mdm_managed - 关键字,数字.长整型

  • system_extensions.mdm_managed - 如果由 MDM 系统扩展有效负载配置管理,则为 1,否则为 0

mdm_operations - 关键字,数字.长整型

  • secureboot.mdm_operations - (Apple Silicon)允许远程 (MDM) 管理内核扩展和自动软件更新(如果允许则为 1)

mechanism - 关键字,文本.文本

  • authorization_mechanisms.mechanism - 将调用的机制的名称

media_name - 关键字,文本.文本

  • disk_events.media_name - 磁盘事件介质名称字符串

mem - 关键字,数字.双精度浮点数

  • docker_container_processes.mem - 内存利用率,以百分比表示

member_config_description - 关键字,文本.文本

  • lxd_cluster.member_config_description - 配置描述

member_config_entity - 关键字,文本.文本

  • lxd_cluster.member_config_entity - 此节点的配置参数类型

member_config_key - 关键字,文本.文本

  • lxd_cluster.member_config_key - 配置密钥

member_config_name - 关键字,文本.文本

  • lxd_cluster.member_config_name - 配置参数的名称

member_config_value - 关键字,文本.文本

  • lxd_cluster.member_config_value - 配置值

memory - 关键字,数字.长整型

  • docker_info.memory - 总内存

memory_array_error_address - 关键字,文本.文本

  • memory_error_info.memory_array_error_address - 基于内存阵列所连接的总线的寻址的 32 位错误物理地址

memory_array_handle - 关键字,文本.文本

  • memory_array_mapped_addresses.memory_array_handle - 与此结构关联的内存阵列的句柄

memory_array_mapped_address_handle - 关键字,文本.文本

  • memory_device_mapped_addresses.memory_array_mapped_address_handle - 此设备范围映射到的内存阵列映射地址的句柄

memory_available - 关键字,数字.长整型

  • memory_info.memory_available - 以字节为单位,可用于启动新应用程序而无需交换的物理 RAM 量

memory_cached - 关键字,number.long

  • docker_container_stats.memory_cached - 缓存的内存

memory_device_handle - 关键字,text.text

  • memory_device_mapped_addresses.memory_device_handle - 与此结构关联的内存设备结构的句柄

memory_error_correction - 关键字,text.text

  • memory_arrays.memory_error_correction - 支持的主要硬件错误纠正或检测方法

memory_error_info_handle - 关键字,text.text

  • memory_arrays.memory_error_info_handle - 与为该数组检测到的任何错误关联的句柄或实例号

memory_free - 关键字,number.long

  • memory_info.memory_free - 系统未使用的物理 RAM 量(以字节为单位)

memory_limit - 关键字,number.long

  • docker_container_stats.memory_limit - 内存限制
  • docker_info.memory_limit - 如果启用内存限制支持,则为 1。否则为 0

memory_max_usage - 关键字,number.long

  • docker_container_stats.memory_max_usage - 内存最大使用量

memory_total - 关键字,number.long

  • memory_info.memory_total - 物理 RAM 总量(以字节为单位)

memory_type - 关键字,text.text

  • memory_devices.memory_type - 使用的内存类型

memory_type_details - 关键字,text.text

  • memory_devices.memory_type_details - 内存设备的附加详细信息

memory_usage - 关键字,number.long

  • docker_container_stats.memory_usage - 内存使用量

message - 关键字,text.text

  • apparmor_events.message - 原始审计消息
  • asl.message - 消息文本。
  • lxd_cluster_members.message - 来自节点的消息(在线/离线)
  • selinux_events.message - 消息
  • syslog_events.message - 系统日志消息
  • unified_log.message - 组合消息
  • user_events.message - 来自事件的消息

metadata_endpoint - 关键字,text.text

  • ycloud_instance_metadata.metadata_endpoint - 用于获取虚拟机元数据的端点

metalink - 关键字,text.text

  • yum_sources.metalink - Metalink URL

method - 关键字,text.text

  • curl.method - 请求的 HTTP 方法

metric - 关键字,number.long

  • interface_details.metric - 基于接口速度的度量值
  • routes.metric - 路由的成本。值越小,优先级越高

metric_name - 关键字,text.text

  • prometheus_metrics.metric_name - 收集的 Prometheus 指标的名称

metric_value - 关键字,number.double

  • prometheus_metrics.metric_value - 收集的 Prometheus 指标的值

mft_entry - 关键字,number.long

  • shellbags.mft_entry - 目录主文件表条目。

mft_sequence - 关键字,number.long

  • shellbags.mft_sequence - 目录主文件表序列。

mime_encoding - 关键字,text.text

  • magic.mime_encoding - 来自 libmagic 的 MIME 编码数据

mime_type - 关键字,text.text

  • magic.mime_type - 来自 libmagic 的 MIME 类型数据

min - 关键字,number.long

  • fan_speed_sensors.min - 最小速度
  • shadow.min - 密码更改之间的最小天数

min_api_version - 关键字,text.text

  • docker_version.min_api_version - 支持的最小 API 版本

min_version - 关键字,text.text

  • xprotect_meta.min_version - 允许的最小插件版本。

min_voltage - 关键字,number.long

  • memory_devices.min_voltage - 设备最小工作电压,单位为毫伏

minimum_password_age - 关键字,number.long

  • security_profile_info.minimum_password_age - 确定用户在更改密码之前必须使用的最小天数

minimum_password_length - 关键字,number.long

  • security_profile_info.minimum_password_length - 确定用户帐户密码可以包含的最小字符数

minimum_system_version - 关键字,text.text

  • apps.minimum_system_version - 应用程序运行所需的 macOS 最低版本

minor - 关键字,number.long

  • os_version.minor - 次要发布版本

minor_version - 关键字,number.long

  • windows_crashes.minor_version - 机器的 Windows 次要版本

minute - 关键字,text.text

  • crontab.minute - 作业的确切分钟

minutes - 关键字,number.long

  • time.minutes - 当前 UTC 分钟数
  • uptime.minutes - 正常运行的分钟数

minutes_to_full_charge - 关键字,number.long

  • battery.minutes_to_full_charge - 电池充满电所需的分钟数。如果仍在计算此时间,则此值为 -1。在 Windows 上,这是根据充电速率和容量计算的,可能与“电源和电池”中报告的数字不一致

minutes_until_empty - 关键字,number.long

  • battery.minutes_until_empty - 电池完全耗尽所需的分钟数。如果仍在计算此时间,则此值为 -1

mirror - 关键字,number.long

  • connected_displays.mirror - 是否镜像显示器。如果镜像,则此字段为 1,如果不镜像,则为 0。

mirrorlist - 关键字,text.text

  • yum_sources.mirrorlist - Mirrorlist URL

mnt_namespace - 关键字,text.text

  • docker_containers.mnt_namespace - 挂载命名空间
  • process_namespaces.mnt_namespace - mnt 命名空间 inode

mode - 关键字,text.text

  • apparmor_profiles.mode - 如何应用策略。
  • device_file.mode - 权限位
  • docker_container_mounts.mode - 挂载选项 (rw, ro)
  • file.mode - 权限位
  • file_events.mode - 权限位
  • package_bom.mode - 预期权限
  • process_events.mode - 文件模式权限
  • process_open_pipes.mode - 管道打开模式 (r/w)
  • rpm_package_files.mode - 来自 info DB 的文件权限模式
  • wifi_status.mode - Wi-Fi 接口的当前操作模式

model - 关键字,text.text

  • battery.model - 电池的型号
  • block_devices.model - 块设备型号字符串标识符
  • chassis_info.model - 机箱的型号。
  • cpu_info.model - CPU 的型号。
  • hardware_events.model - 硬件设备型号
  • pci_devices.model - PCI 设备型号
  • usb_devices.model - USB 设备型号字符串
  • video_info.model - gpu 的型号。

model_id - 关键字,text.text

  • hardware_events.model_id - 十六进制编码的硬件型号标识符
  • pci_devices.model_id - 十六进制编码的 PCI 设备型号标识符
  • usb_devices.model_id - 十六进制编码的 USB 设备型号标识符

modified - 关键字,text.text

  • authorizations.modified - 标签顶级键
  • keychain_items.modified - 上次修改日期

modified_time - 关键字,number.long

  • package_bom.modified_time - 文件安装的时间戳
  • shellbags.modified_time - 目录修改时间。
  • shimcache.modified_time - 文件修改时间。

module - 关键字,text.text

  • windows_crashes.module - 进程中崩溃的模块的路径

module_backtrace - 关键字,text.text

  • kernel_panics.module_backtrace - 崩溃模块的回溯中出现的模块

module_path - 关键字,text.text

  • services.module_path - ServiceDll 的路径

month - 关键字,text.text

  • crontab.month - 作业的年份月份
  • time.month - 当前 UTC 月份

mount_namespace_id - 关键字,text.text

  • deb_packages.mount_namespace_id - 挂载命名空间 ID
  • file.mount_namespace_id - 挂载命名空间 ID
  • hash.mount_namespace_id - 挂载命名空间 ID
  • npm_packages.mount_namespace_id - 挂载命名空间 ID
  • os_version.mount_namespace_id - 挂载命名空间 ID
  • rpm_packages.mount_namespace_id - 挂载命名空间 ID

mount_point - 关键字,text.text

  • docker_volumes.mount_point - 挂载点

mountable - 关键字,number.long

  • disk_events.mountable - 如果可挂载,则为 1;如果不可挂载,则为 0

mtime - 关键字

  • device_file.mtime - 上次修改时间
  • file.mtime - 上次修改时间
  • file_events.mtime - 上次修改时间
  • gatekeeper_approved_apps.mtime - 上次修改时间
  • process_events.mtime - UNIX 时间的文件修改时间
  • quicklook_cache.mtime - 已解析的版本日期字段
  • registry.mtime - 最近注册表写入的时间戳

mtu - 关键字,number.long

  • interface_details.mtu - 网络 MTU
  • lxd_networks.mtu - MTU 大小
  • routes.mtu - 路由的最大传输单元

name - 关键字,text.text

  • acpi_tables.name - ACPI 表名称
  • ad_config.name - macOS 特定的配置名称
  • apparmor_events.name - 进程名称
  • apparmor_profiles.name - 策略名称。
  • apps.name - Name.app 文件夹的名称
  • apt_sources.name - 存储库名称
  • autoexec.name - 程序名称
  • azure_instance_metadata.name - 虚拟机的名称
  • block_devices.name - 块设备名称
  • browser_plugins.name - 插件显示名称
  • chocolatey_packages.name - 包显示名称
  • chrome_extensions.name - 扩展显示名称
  • connected_displays.name - 显示器的名称。
  • cups_destinations.name - 打印机的名称
  • deb_packages.name - 包名称
  • disk_encryption.name - 磁盘名称
  • disk_events.name - 磁盘事件名称
  • disk_info.name - 磁盘对象的标签。
  • dns_cache.name - DNS 记录名称
  • docker_container_mounts.name - 可选的挂载名称
  • docker_container_networks.name - 网络名称
  • docker_container_processes.name - 进程路径或简写 argv[0]
  • docker_container_stats.name - 容器名称
  • docker_containers.name - 容器名称
  • docker_info.name - docker 主机的名称
  • docker_networks.name - 网络名称
  • docker_volume_labels.name - 卷名称
  • docker_volumes.name - 卷名称
  • etc_protocols.name - 协议名称
  • etc_services.name - 服务名称
  • fan_speed_sensors.name - 风扇名称
  • firefox_addons.name - 插件显示名称
  • homebrew_packages.name - 包名称
  • ie_extensions.name - 扩展显示名称
  • iokit_devicetree.name - 设备节点名称
  • iokit_registry.name - 节点的默认名称
  • kernel_extensions.name - 扩展标签
  • kernel_modules.name - 模块名称
  • kernel_panics.name - 崩溃线程对应的进程名称
  • launchd.name - plist 的文件名(由 launchd 使用)
  • lxd_certificates.name - 证书名称
  • lxd_instance_config.name - 实例名称
  • lxd_instance_devices.name - 实例名称
  • lxd_instances.name - 实例名称
  • lxd_networks.name - 网络名称
  • lxd_storage_pools.name - 存储池名称
  • managed_policies.name - 策略键名称
  • md_personalities.name - 内核支持的特性名称
  • memory_map.name - 区域名称
  • npm_packages.name - 包显示名称
  • ntdomains.name - 对象所知的标签。
  • nvram.name - 变量名称
  • os_version.name - 发行版或产品名称
  • osquery_events.name - 事件发布者或订阅者名称
  • osquery_extensions.name - 扩展程序的名称
  • osquery_flags.name - 标志名称
  • osquery_packs.name - 此查询包的给定名称
  • osquery_registry.name - 插件项的名称
  • osquery_schedule.name - 此查询的给定名称
  • package_install_history.name - 包显示名称
  • physical_disk_performance.name - 物理磁盘的名称
  • pipes.name - 管道的名称
  • power_sensors.name - 电源名称
  • processes.name - 进程路径或简写 argv[0]
  • programs.name - 常用的产品名称。
  • python_packages.name - 包显示名称
  • registry.name - 注册表值条目的名称
  • rpm_packages.name - RPM 包名称
  • safari_extensions.name - 扩展程序显示名称
  • scheduled_tasks.name - 计划任务的名称
  • services.name - 服务名称
  • shared_folders.name - 文件夹在其他用户看来所共享的名称
  • shared_resources.name - 在运行 Windows 的计算机系统上设置为共享的路径的别名。
  • startup_items.name - 启动项的名称
  • system_controls.name - 完整的 sysctl MIB 名称
  • temperature_sensors.name - 温度源的名称
  • vscode_extensions.name - 扩展程序名称
  • windows_firewall_rules.name - 规则的友好名称
  • windows_optional_features.name - 功能的名称
  • windows_search.name - 项目的名称
  • windows_security_products.name - 产品名称
  • wmi_bios_info.name - Bios 设置的名称
  • wmi_cli_event_consumers.name - 使用者的唯一名称。
  • wmi_event_filters.name - 事件筛选器的唯一标识符。
  • wmi_script_event_consumers.name - 事件使用者的唯一标识符。
  • xprotect_entries.name - XProtected 恶意软件的描述
  • xprotect_reports.name - XProtected 恶意软件的描述
  • ycloud_instance_metadata.name - VM 的名称
  • yum_sources.name - 仓库名称

name_constraints - 关键字,text.text

  • curl_certificate.name_constraints - 名称约束

namespace - 关键字,text.text

  • apparmor_events.namespace - AppArmor 命名空间

native - 关键字,number.long

  • browser_plugins.native - 插件需要本机执行

net_namespace - 关键字,text.text

  • docker_containers.net_namespace - 网络命名空间
  • listening_ports.net_namespace - 网络命名空间的 inode 编号
  • process_namespaces.net_namespace - 网络命名空间 inode
  • process_open_sockets.net_namespace - 网络命名空间的 inode 编号

netmask - 关键字,text.text

  • dns_resolvers.netmask - 地址(排序列表)网络掩码长度
  • routes.netmask - 网络掩码长度

network_id - 关键字,text.text

  • docker_container_networks.network_id - 网络 ID

network_name - 关键字,text.text

  • wifi_networks.network_name - 网络名称
  • wifi_status.network_name - 网络名称
  • wifi_survey.network_name - 网络名称

network_rx_bytes - 关键字,number.long

  • docker_container_stats.network_rx_bytes - 读取的总网络字节数

network_tx_bytes - 关键字,number.long

  • docker_container_stats.network_tx_bytes - 传输的总网络字节数

new_administrator_name - 关键字,text.text

  • security_profile_info.new_administrator_name - 确定本地计算机上管理员帐户的名称

new_guest_name - 关键字,text.text

  • security_profile_info.new_guest_name - 确定本地计算机上访客帐户的名称

next_run_time - 关键字,number.long

  • scheduled_tasks.next_run_time - 任务计划下次运行的时间戳

nice - 关键字,number.long

  • cpu_time.nice - 以低优先级(nice)在用户模式下花费的时间
  • docker_container_processes.nice - 进程 nice 级别(-20 到 20,默认 0)
  • processes.nice - 进程 nice 级别(-20 到 20,默认 0)

no_proxy - 关键字,text.text

  • docker_info.no_proxy - 不应使用代理的域扩展的逗号分隔列表

node - 关键字,text.text

  • augeas.node - 配置项的节点路径

node_ref_number - 关键字,text.text

  • ntfs_journal_events.node_ref_number - 将日志记录与文件名关联的序号

noise - 关键字,number.long

  • wifi_status.noise - 当前噪声测量值 (dBm)
  • wifi_survey.noise - 当前噪声测量值 (dBm)

not_valid_after - 关键字,text.text

  • certificates.not_valid_after - 证书过期数据

not_valid_before - 关键字,text.text

  • certificates.not_valid_before - 有效日期的下限

nr_raid_disks - 关键字,number.long

  • md_devices.nr_raid_disks - 构成阵列的分区或磁盘设备的数量

ntime - 关键字,text.text

  • bpf_process_events.ntime - 从 BPF 获取的 nsecs 正常运行时间时间戳
  • bpf_socket_events.ntime - 从 BPF 获取的 nsecs 正常运行时间时间戳

num_procs - 关键字,number.long

  • docker_container_stats.num_procs - 处理器数量

number - 关键字,number.long

  • etc_protocols.number - 协议编号
  • oem_strings.number - 结构的字符串索引
  • smbios_tables.number - 表条目编号

number_memory_devices - 关键字,number.long

  • memory_arrays.number_memory_devices - 阵列上的内存设备数量

number_of_cores - 关键字,text.text

  • cpu_info.number_of_cores - CPU 的核心数。

number_of_efficiency_cores - 关键字,number.long

  • cpu_info.number_of_efficiency_cores - CPU 的能效核心数。仅在 Apple Silicon 上可用

number_of_performance_cores - 关键字,number.long

  • cpu_info.number_of_performance_cores - CPU 的性能核心数。仅在 Apple Silicon 上可用

object_name - 关键字,text.text

  • winbaseobj.object_name - 对象名称

object_path - 关键字,text.text

  • systemd_units.object_path - 此单元的对象路径

object_type - 关键字,text.text

  • winbaseobj.object_type - 对象类型

obytes - 关键字,number.long

  • interface_details.obytes - 输出字节数

odrops - 关键字,number.long

  • interface_details.odrops - 输出丢包数

oerrors - 关键字,number.long

  • interface_details.oerrors - 输出错误数

offer - 关键字,text.text

  • azure_instance_metadata.offer - VM 映像的提供信息(仅限 Azure 映像库 VM)

offset - 关键字,number.long

  • device_partitions.offset - 从卷开头起的字节偏移量
  • process_memory_map.offset - 映射路径中的偏移量

oid - 关键字,text.text

  • system_controls.oid - 控制 MIB

old_path - 关键字,text.text

  • ntfs_journal_events.old_path - 旧路径(仅重命名)

on_demand - 关键字,text.text

  • launchd.on_demand - 已弃用的键,已替换为 keep_alive

on_disk - 关键字,number.long

  • processes.on_disk - 进程路径存在 yes=1,no=0,unknown=-1

online - 关键字,number.long

  • connected_displays.online - 显示器的联机状态。如果显示器联机,则此字段为 1;如果显示器脱机,则此字段为 0。

online_cpus - 关键字,number.long

  • docker_container_stats.online_cpus - 联机 CPU

oom_kill_disable - 关键字,number.long

  • docker_info.oom_kill_disable - 如果禁用内存不足终止,则为 1。否则为 0

opackets - 关键字,number.long

  • interface_details.opackets - 输出数据包数

opaque_version - 关键字,text.text

  • gatekeeper.opaque_version - Gatekeeper 的 gkopaque.bundle 版本

operation - 关键字,text.text

  • apparmor_events.operation - 进程请求的权限
  • process_file_events.operation - 操作类型
  • windows_update_history.operation - 对更新执行的操作

option - 关键字,text.text

  • ad_config.option - 选项的规范名称
  • ssh_configs.option - 选项和值

option_name - 关键字,text.text

  • cups_destinations.option_name - 选项名称

option_value - 关键字,text.text

  • cups_destinations.option_value - 选项值

optional - 关键字,number.long

  • xprotect_entries.optional - 匹配此 XProtect 名称的任何身份/模式

optional_permissions - 关键字,text.text

  • chrome_extensions.optional_permissions - 扩展程序可选要求的权限

optional_permissions_json - 关键字,text.text

  • chrome_extensions.optional_permissions_json - 扩展程序可选要求的 JSON 编码的权限

options - 关键字,text.text

  • authorized_keys.options - 可选的登录选项列表
  • dns_resolvers.options - 解析器选项
  • nfs_shares.options - 在导出共享上设置的选项字符串

organization - 关键字,text.text

  • curl_certificate.organization - 颁发给的组织

organization_unit - 关键字,text.text

  • curl_certificate.organization_unit - 颁发给的组织单位

original_filename - 关键字,text.text

  • file.original_filename - (仅限可执行文件) 原始文件名

original_parent - 关键字,number.long

  • es_process_events.original_parent - 重新父进程时的原始父进程 ID

original_program_name - 关键字,text.text

  • authenticode.original_program_name - 发布者签名的原始程序名称

os - 关键字,text.text

  • docker_info.os - 操作系统
  • docker_version.os - 操作系统
  • lxd_images.os - 镜像基于的操作系统
  • lxd_instances.os - 此实例的操作系统

os_type - 关键字,text.text

  • azure_instance_metadata.os_type - Linux 或 Windows
  • docker_info.os_type - 操作系统类型

os_version - 关键字,text.text

  • kernel_panics.os_version - 操作系统版本

other - 关键字,text.text

  • md_devices.other - 来自 /proc/mdstat 的与阵列关联的其他信息

other_run_times - 关键字,text.text

  • prefetch.other_run_times - 预取文件中的其他执行时间。

ouid - 关键字,number.long

  • apparmor_events.ouid - 对象所有者的用户 ID

outiface - 关键字,text.text

  • iptables.outiface - 规则的输出接口。

outiface_mask - 关键字,text.text

  • iptables.outiface_mask - 规则的输出接口掩码。

output_bit - 关键字,number.long

  • cpuid.output_bit - 功能值的寄存器值中的位

output_register - 关键字,text.text

  • cpuid.output_register - 用于功能值的寄存器

output_size - 关键字,number.long

  • osquery_schedule.output_size - 查询的结果行生成的累积总字节数

overflows - 关键字,text.text

  • process_events.overflows - 溢出的结构列表

owned - 关键字,number.long

  • tpm_info.owned - TPM 已被拥有

owner - 关键字,text.text

  • windows_search.owner - 项目的所有者

owner_gid - 关键字,number.long

  • process_events.owner_gid - 文件所有者组 ID

owner_uid - 关键字,number.long

  • process_events.owner_uid - 文件所有者的用户 ID
  • shared_memory.owner_uid - 拥有进程的用户 ID

owner_uuid - 关键字,number.long

  • osquery_registry.owner_uuid - 扩展路由 UUID(核心为 0)

package - 关键字,text.text

  • portage_keywords.package - 包名称
  • portage_packages.package - 包名称
  • portage_use.package - 包名称
  • rpm_package_files.package - RPM 包名称

package_filename - 关键字,text.text

  • package_receipts.package_filename - 原始 .pkg 文件的文件名

package_group - 关键字,text.text

  • rpm_packages.package_group - 包组

package_id - 关键字,text.text

  • package_install_history.package_id - 标签 packageIdentifiers
  • package_receipts.package_id - 包域标识符

packets - 关键字,number.long

  • iptables.packets - 此规则的匹配数据包数。

packets_received - 关键字,number.long

  • lxd_networks.packets_received - 此网络上接收的数据包数

packets_sent - 关键字,number.long

  • lxd_networks.packets_sent - 此网络上发送的数据包数

page_ins - 关键字,number.long

  • virtual_memory_info.page_ins - 从分页程序请求页面的总次数。

page_outs - 关键字,number.long

  • virtual_memory_info.page_outs - 分页出的总页数。

parent - 关键字

  • apparmor_events.parent - 父进程 PID
  • block_devices.parent - 块设备父名称
  • bpf_process_events.parent - 父进程 ID
  • bpf_socket_events.parent - 父进程 ID
  • crashes.parent - 崩溃进程的父 PID
  • docker_container_processes.parent - 进程父进程的 PID
  • es_process_events.parent - 父进程 ID
  • es_process_file_events.parent - 父进程 ID
  • iokit_devicetree.parent - 父设备注册表 ID
  • iokit_registry.parent - 父注册表 ID
  • process_events.parent - 进程父进程的 PID,如果无法确定,则为 -1。
  • processes.parent - 进程父进程的 PID

parent_process_sequence_number - 关键字,number.long

  • process_etw_events.parent_process_sequence_number - 父进程序列号 - 仅在 ProcessStart 事件中存在

parent_ref_number - 关键字,text.text

  • ntfs_journal_events.parent_ref_number - 将日记记录与文件名的父目录关联的序号

part_number - 关键字,text.text

  • memory_devices.part_number - 内存设备的制造商特定序列号

partial - 关键字

  • ntfs_journal_events.partial - 如果路径或 old_path 仅包含文件或文件夹名称,则设置为 1
  • process_file_events.partial - 如果这是部分事件(即:此进程在我们启动 osquery 之前就已存在),则为 True

partition - 关键字,text.text

  • device_file.partition - 分区号
  • device_hash.partition - 分区号
  • device_partitions.partition - 分区号或描述

partition_row_position - 关键字,number.long

  • memory_device_mapped_addresses.partition_row_position - 标识地址分区行中引用的内存设备的位置

partition_width - 关键字,number.long

  • memory_array_mapped_addresses.partition_width - 形成此结构地址分区的一行内存的内存设备数

partitions - 关键字,number.long

  • disk_info.partitions - 磁盘上检测到的分区数。

partner_fd - 关键字,number.long

  • process_open_pipes.partner_fd - 伙伴端共享管道的文件描述符

partner_mode - 关键字,text.text

  • process_open_pipes.partner_mode - 伙伴端共享管道的模式

partner_pid - 关键字,number.long

  • process_open_pipes.partner_pid - 共享特定管道的伙伴进程的进程 ID

passpoint - 关键字,number.long

  • wifi_networks.passpoint - 如果支持 Passpoint,则为 1,否则为 0

password_complexity - 关键字,number.long

  • security_profile_info.password_complexity - 确定密码是否必须满足一系列强密码准则

password_history_size - 关键字,number.long

  • security_profile_info.password_history_size - 在可以重用旧密码之前必须与用户帐户关联的唯一新密码的数量

password_last_set_time - 关键字,number.double

  • account_policy_data.password_last_set_time - 上次更改密码的时间

password_status - 关键字,text.text

  • shadow.password_status - 密码状态

patch - 关键字,number.long

  • os_version.patch - 可选的补丁版本

path - 关键字,text.text

  • alf_exceptions.path - 例外的可执行文件的路径
  • apparmor_profiles.path - 唯一的、与 aa-status 兼容的策略标识符。
  • appcompat_shims.path - 这是 SDB 数据库的路径。
  • apps.path - 绝对和完整 Name.app 路径
  • augeas.path - 配置文件的路径
  • authenticode.path - 必须提供路径或目录
  • autoexec.path - 可执行文件的路径
  • background_activities_moderator.path - 应用程序文件路径。
  • bpf_process_events.path - 二进制路径
  • bpf_socket_events.path - 执行文件的路径
  • browser_plugins.path - 插件捆绑包的路径
  • carves.path - 请求的雕刻的路径
  • certificates.path - 密钥链或 PEM 捆绑包的路径
  • chocolatey_packages.path - 此包所在的路径
  • chrome_extension_content_scripts.path - 扩展文件夹的路径
  • chrome_extensions.path - 扩展文件夹的路径
  • crashes.path - 崩溃进程的路径
  • crontab.path - 解析的文件
  • device_file.path - 设备节点中的逻辑路径
  • disk_events.path - 访问的 DMG 文件的路径
  • docker_container_fs_changes.path - 相对于 rootfs 的文件或目录路径
  • docker_containers.path - 容器路径
  • es_process_events.path - 执行文件的路径
  • es_process_file_events.path - 执行文件的路径
  • extended_attributes.path - 绝对文件路径
  • file.path - 绝对文件路径
  • firefox_addons.path - 插件捆绑包的路径
  • gatekeeper_approved_apps.path - 允许运行的可执行文件的路径
  • hardware_events.path - 分配的本地设备路径(可选)
  • hash.path - 必须提供路径或目录
  • homebrew_packages.path - 包安装路径
  • ie_extensions.path - 可执行文件的路径
  • kernel_extensions.path - 扩展捆绑包的可选路径
  • kernel_info.path - 内核路径
  • kernel_panics.path - 日志文件的位置
  • keychain_acls.path - 授权应用程序的路径
  • keychain_items.path - 包含项目的密钥链的路径
  • launchd.path - 守护进程或代理 plist 的路径
  • launchd_overrides.path - 守护进程或代理 plist 的路径
  • listening_ports.path - UNIX 域套接字的路径
  • magic.path - 目标文件的绝对路径
  • mdfind.path - 从 Spotlight 返回的文件的路径
  • mdls.path - 文件的路径
  • mounts.path - 已挂载的设备路径
  • npm_packages.path - 此模块所在的路径
  • ntfs_acl_permissions.path - 文件或目录的路径。
  • ntfs_journal_events.path - 路径
  • office_mru.path - 文件路径
  • osquery_extensions.path - 扩展的 Thrift 连接或库路径的路径
  • package_bom.path - 包 bom 的路径
  • package_receipts.path - 收据 plist 的路径
  • plist.path - (必需)从 plist 读取首选项
  • prefetch.path - 预取文件路径。
  • process_etw_events.path - 执行的二进制文件的路径
  • process_events.path - 执行文件的路径
  • process_file_events.path - 与事件关联的路径
  • process_memory_map.path - 映射文件或映射类型的路径
  • process_open_files.path - 描述符的文件系统路径
  • process_open_sockets.path - 对于 UNIX 套接字 (family=AF_UNIX),是域路径
  • processes.path - 执行的二进制文件的路径
  • python_packages.path - 此模块所在的路径
  • quicklook_cache.path - 文件路径
  • registry.path - 值的完整路径
  • rpm_package_files.path - 包内的文件路径
  • safari_extensions.path - 扩展 XAR 包的路径
  • sandboxes.path - 沙箱容器目录的路径
  • scheduled_tasks.path - 要运行的可执行文件的路径
  • services.path - 服务可执行文件的路径
  • shared_folders.path - 本地系统上共享文件夹的绝对路径
  • shared_resources.path - Windows 共享的本地路径。
  • shellbags.path - 目录名称。
  • shimcache.path - 这是已执行文件的路径。
  • signature.path - 必须提供路径或目录
  • socket_events.path - 执行文件的路径
  • startup_items.path - 启动项的路径
  • suid_bin.path - 二进制文件路径
  • system_extensions.path - 系统扩展的原始路径
  • user_events.path - 从事件提供的路径
  • user_ssh_keys.path - 密钥文件的路径
  • userassist.path - 应用程序文件路径。
  • vscode_extensions.path - 扩展路径
  • windows_crashes.path - 崩溃进程的可执行文件的路径
  • windows_search.path - 项目的完整路径。
  • yara.path - 扫描的路径

pci_class - 关键词,文本.文本

  • pci_devices.pci_class - PCI 设备类别

pci_class_id - 关键词,文本.文本

  • pci_devices.pci_class_id - 十六进制格式的 PCI 设备类别 ID

pci_slot - 关键词,文本.文本

  • interface_details.pci_slot - PCI 插槽号
  • pci_devices.pci_slot - PCI 设备使用的插槽

pci_subclass - 关键词,文本.文本

  • pci_devices.pci_subclass - PCI 设备子类

pci_subclass_id - 关键词,文本.文本

  • pci_devices.pci_subclass_id - 十六进制格式的 PCI 设备子类

pem - 关键词,文本.文本

  • curl_certificate.pem - 证书 PEM 格式

percent_disk_read_time - 关键词,数字.长整型

  • physical_disk_performance.percent_disk_read_time - 所选磁盘驱动器忙于处理读取请求所用时间的百分比

percent_disk_time - 关键词,数字.长整型

  • physical_disk_performance.percent_disk_time - 所选磁盘驱动器忙于处理读取或写入请求所用时间的百分比

percent_disk_write_time - 关键词,数字.长整型

  • physical_disk_performance.percent_disk_write_time - 所选磁盘驱动器忙于处理写入请求所用时间的百分比

percent_idle_time - 关键词,数字.长整型

  • physical_disk_performance.percent_idle_time - 在采样间隔期间,磁盘处于空闲状态的时间百分比

percent_processor_time - 关键词,数字.长整型

  • processes.percent_processor_time - 返回此进程的所有线程使用处理器执行指令所经过的时间(以 100 纳秒为单位)。

percent_remaining - 关键词,数字.长整型

  • battery.percent_remaining - 电池耗尽前的剩余电量百分比

percentage_encrypted - 关键词,数字.长整型

  • bitlocker_info.percentage_encrypted - 驱动器加密的百分比。

perf_ctl - 关键词,数字.长整型

  • msr.perf_ctl - 处理器的性能设置。

perf_status - 关键词,数字.长整型

  • msr.perf_status - 处理器的性能状态。

period - 关键词,文本.文本

  • load_average.period - 计算平均值的周期。

permanent - 关键词,文本.文本

  • arp_cache.permanent - 1 表示 true,0 表示 false

permissions - 关键词,文本.文本

  • chrome_extensions.permissions - 扩展所需的权限
  • kernel_keys.permissions - 密钥权限,表示为四个十六进制字节,从左到右包含所有者、用户、组和其他权限。
  • process_memory_map.permissions - r=读取,w=写入,x=执行,p=私有 (cow)
  • shared_memory.permissions - 内存段权限
  • suid_bin.permissions - 二进制文件权限

permissions_json - 关键词,文本.文本

  • chrome_extensions.permissions_json - 扩展所需的 JSON 编码权限

persistent - 关键词,数字.长整型

  • chrome_extensions.persistent - 如果扩展在所有选项卡中持久存在,则为 1,否则为 0

persistent_volume_id - 关键词,文本.文本

  • bitlocker_info.persistent_volume_id - 驱动器的持久 ID。

personal_hotspot - 关键词,数字.长整型

  • wifi_networks.personal_hotspot - 如果此网络是个人热点,则为 1,否则为 0

pgroup - 关键词,数字.长整型

  • docker_container_processes.pgroup - 进程组
  • processes.pgroup - 进程组

physical_adapter - 关键词,数字.长整型

  • interface_details.physical_adapter - 指示适配器是物理适配器还是逻辑适配器。

physical_memory - 关键词,数字.长整型

  • system_info.physical_memory - 总物理内存(以字节为单位)

physical_presence_version - 关键词,文本.文本

  • tpm_info.physical_presence_version - 物理存在接口的版本

pid - 关键词,数字.长整型

  • apparmor_events.pid - 进程 ID
  • asl.pid - 发送进程 ID,编码为字符串。自动设置。
  • bpf_process_events.pid - 进程 ID
  • bpf_socket_events.pid - 进程 ID
  • crashes.pid - 崩溃进程的进程(或线程)ID
  • docker_container_processes.pid - 进程 ID
  • docker_containers.pid - 初始进程的标识符
  • es_process_events.pid - 进程(或线程)ID
  • es_process_file_events.pid - 进程(或线程)ID
  • last.pid - 进程(或线程)ID
  • listening_ports.pid - 进程(或线程)ID
  • logged_in_users.pid - 进程(或线程)ID
  • lxd_instances.pid - 实例的进程 ID
  • osquery_info.pid - 进程(或线程/句柄)ID
  • pipes.pid - 管道所属进程的进程 ID
  • process_envs.pid - 进程(或线程)ID
  • process_etw_events.pid - 进程 ID
  • process_events.pid - 进程(或线程)ID
  • process_file_events.pid - 进程 ID
  • process_memory_map.pid - 进程(或线程)ID
  • process_namespaces.pid - 进程(或线程)ID
  • process_open_files.pid - 进程(或线程)ID
  • process_open_pipes.pid - 进程 ID
  • process_open_sockets.pid - 进程(或线程)ID
  • processes.pid - 进程(或线程)ID
  • running_apps.pid - 应用程序的 pid
  • seccomp_events.pid - 进程 ID
  • services.pid - 服务的进程 ID
  • shared_memory.pid - 最后使用该段的进程 ID
  • socket_events.pid - 进程(或线程)ID
  • unified_log.pid - 进行条目记录的进程的 pid
  • user_events.pid - 进程(或线程)ID
  • windows_crashes.pid - 崩溃进程的进程 ID
  • windows_eventlog.pid - 发出事件记录的进程 ID

pid_namespace - 关键词,文本.文本

  • docker_containers.pid_namespace - PID 命名空间
  • process_namespaces.pid_namespace - pid 命名空间 inode

pid_with_namespace - 关键词,数字.长整型

  • apt_sources.pid_with_namespace - 包含命名空间的 Pid
  • authorized_keys.pid_with_namespace - 包含命名空间的 Pid
  • crontab.pid_with_namespace - 包含命名空间的 Pid
  • deb_packages.pid_with_namespace - 包含命名空间的 Pid
  • dns_resolvers.pid_with_namespace - 包含命名空间的 Pid
  • etc_hosts.pid_with_namespace - 包含命名空间的 Pid
  • file.pid_with_namespace - 包含命名空间的 Pid
  • groups.pid_with_namespace - 包含命名空间的 Pid
  • hash.pid_with_namespace - 包含命名空间的 Pid
  • npm_packages.pid_with_namespace - 包含命名空间的 Pid
  • os_version.pid_with_namespace - 包含命名空间的 Pid
  • python_packages.pid_with_namespace - 包含命名空间的 Pid
  • rpm_packages.pid_with_namespace - 包含命名空间的 Pid
  • suid_bin.pid_with_namespace - 包含命名空间的 Pid
  • user_ssh_keys.pid_with_namespace - 包含命名空间的 Pid
  • users.pid_with_namespace - 包含命名空间的 Pid
  • yara.pid_with_namespace - 包含命名空间的 Pid
  • yum_sources.pid_with_namespace - 包含命名空间的 Pid

pids - 关键词,数字.长整型

  • docker_container_stats.pids - 进程数

pixels - 关键词,文本.文本

  • connected_displays.pixels - 显示器的像素数。

pk_hash - 关键词,文本.文本

  • keychain_items.pk_hash - 关联公钥的哈希值 (subjectPublicKey 的 SHA1,请参阅 RFC 8520 4.2.1.2)

placement_group_id - 关键词,文本.文本

  • azure_instance_metadata.placement_group_id - VM 规模集的放置组

platform - 关键词,文本.文本

  • os_version.platform - 操作系统平台或 ID
  • osquery_packs.platform - 支持此查询的平台

platform_binary - 关键词,数字.长整型

  • es_process_events.platform_binary - 指示二进制文件是否为 Apple 签名二进制文件 (1) 或不是 (0)

platform_fault_domain - 关键词,文本.文本

  • azure_instance_metadata.platform_fault_domain - VM 运行所在的故障域

platform_info - 关键词,数字.长整型

  • msr.platform_info - 平台信息。

platform_like - 关键词,文本.文本

  • os_version.platform_like - 密切相关的平台

platform_mask - 关键词,数字.长整型

  • osquery_info.platform_mask - osquery 平台位掩码

platform_update_domain - 关键词,文本.文本

  • azure_instance_metadata.platform_update_domain - VM 运行所在的更新域

plugin - 关键词,文本.文本

  • authorization_mechanisms.plugin - 授权插件名称

pnp_device_id - 关键词, 文本.文本

  • disk_info.pnp_device_id - 系统上驱动器的唯一标识符。

point_to_point - 关键词, 文本.文本

  • interface_addresses.point_to_point - 接口的 PtP 地址

policies - 关键词, 文本.文本

  • curl_certificate.policies - 证书策略

policy - 关键词, 文本.文本

  • iptables.policy - 此规则应用的策略。

policy_constraints - 关键词, 文本.文本

  • curl_certificate.policy_constraints - 策略约束

policy_content - 关键词, 文本.文本

  • password_policy.policy_content - 策略内容

policy_description - 关键词, 文本.文本

  • password_policy.policy_description - 策略描述

policy_identifier - 关键词, 文本.文本

  • password_policy.policy_identifier - 策略标识符

policy_mappings - 关键词, 文本.文本

  • curl_certificate.policy_mappings - 策略映射

port - 关键词, 数字.长整型

  • docker_container_ports.port - 容器内的端口
  • etc_services.port - 服务端口号
  • listening_ports.port - 传输层端口

possibly_hidden - 关键词, 数字.长整型

  • wifi_networks.possibly_hidden - 如果网络可能是隐藏网络则为 1,否则为 0

ppid - 关键词, 数字.长整型

  • process_etw_events.ppid - 父进程 ID
  • process_file_events.ppid - 父进程 ID

pre_cpu_kernelmode_usage - 关键词, 数字.长整型

  • docker_container_stats.pre_cpu_kernelmode_usage - 上次读取的 CPU 内核模式使用率

pre_cpu_total_usage - 关键词, 数字.长整型

  • docker_container_stats.pre_cpu_total_usage - 上次读取的 CPU 总使用率

pre_cpu_usermode_usage - 关键词, 数字.长整型

  • docker_container_stats.pre_cpu_usermode_usage - 上次读取的 CPU 用户模式使用率

pre_online_cpus - 关键词, 数字.长整型

  • docker_container_stats.pre_online_cpus - 上次读取的在线 CPU

pre_system_cpu_usage - 关键词, 数字.长整型

  • docker_container_stats.pre_system_cpu_usage - 上次读取的 CPU 系统使用率

predicate - 关键词, 文本.文本

  • unified_log.predicate - 要搜索的谓词(请参阅 log help predicates),请注意,此谓词会合并到从列约束创建的谓词中

prefix - 关键词, 文本.文本

  • homebrew_packages.prefix - Homebrew 安装前缀

preread - 关键词, 数字.长整型

  • docker_container_stats.preread - 上次读取统计信息时的 UNIX 时间

prerelease - 关键词, 数字.长整型

  • vscode_extensions.prerelease - 预发布版本

principal - 关键词, 文本.文本

  • ntfs_acl_permissions.principal - 应用 ACE 的用户或组。

printer_sharing - 关键词, 数字.长整型

  • sharing_preferences.printer_sharing - 如果启用了打印机共享则为 1,否则为 0

priority - 关键词, 文本.文本

  • deb_packages.priority - 包优先级

privileged - 关键词, 文本.文本

  • authorization_mechanisms.privileged - 如果已授权,它将以 root 身份运行,否则以匿名用户身份运行
  • docker_containers.privileged - 容器是否已授权

probe_error - 关键词, 数字.长整型

  • bpf_process_events.probe_error - 如果一个或多个缓冲区无法捕获,则设置为 1
  • bpf_socket_events.probe_error - 如果一个或多个缓冲区无法捕获,则设置为 1

process - 关键词, 文本.文本

  • alf_explicit_auths.process - 显式允许的进程名称
  • unified_log.process - 进行条目的进程的名称

process_being_tapped - 关键词, 数字.长整型

  • event_taps.process_being_tapped - 目标应用程序的进程 ID

process_sequence_number - 关键词, 数字.长整型

  • process_etw_events.process_sequence_number - 进程序列号 - 仅在 ProcessStart 事件中存在

process_type - 关键词, 文本.文本

  • launchd.process_type - 键描述了作业的预期用途

process_uptime - 关键词, 数字.长整型

  • windows_crashes.process_uptime - 进程的运行时间(以秒为单位)

processes - 关键词, 数字.长整型

  • lxd_instances.processes - 此实例内运行的进程数

processing_time - 关键词, 数字.长整型

  • cups_jobs.processing_time - 作业处理所花费的时间

processor_number - 关键词, 数字.长整型

  • msr.processor_number - /proc/cpuinfo 中报告的处理器编号

processor_type - 关键词, 文本.文本

  • cpu_info.processor_type - 处理器类型,例如中央处理器、数学处理器或视频处理器。

product_id - 关键词, 文本.文本

  • connected_displays.product_id - 显示器的产品 ID。

product_name - 关键词, 文本.文本

  • tpm_info.product_name - TPM 的产品名称

product_version - 关键词, 文本.文本

  • file.product_version - 文件产品版本

profile - 关键词, 文本.文本

  • apparmor_events.profile - Apparmor 配置文件名称
  • chrome_extensions.profile - 包含此扩展程序的 Chrome 配置文件名称

profile_domain - 关键词, 数字.长整型

  • windows_firewall_rules.profile_domain - 如果规则配置文件类型是域,则为 1

profile_path - 关键词, 文本.文本

  • chrome_extension_content_scripts.profile_path - 配置文件路径
  • chrome_extensions.profile_path - 配置文件路径
  • logon_sessions.profile_path - 登录会话的主目录。

profile_private - 关键词, 数字.长整型

  • windows_firewall_rules.profile_private - 如果规则配置文件类型是私有,则为 1

profile_public - 关键词, 数字.长整型

  • windows_firewall_rules.profile_public - 如果规则配置文件类型是公共,则为 1

program - 关键词, 文本.文本

  • launchd.program - 目标程序的路径

program_arguments - 关键词, 文本.文本

  • launchd.program_arguments - 传递给程序的命令行参数

propagation - 关键词, 文本.文本

  • docker_container_mounts.propagation - 挂载传播

properties - 关键词, 文本.文本

  • windows_search.properties - 其他属性值 JSON

protected - 关键词, 数字.长整型

  • app_schemes.protected - 如果此处理程序受 macOS 保护(保留),则为 1,否则为 0

protection_disabled - 关键词, 数字.长整型

  • carbon_black_info.protection_disabled - 如果传感器配置为报告篡改事件

protection_status - 关键词, 数字.长整型

  • bitlocker_info.protection_status - 驱动器的 bitlocker 保护状态。

protection_type - 关键词, 文本.文本

  • processes.protection_type - 进程的保护类型

protocol - 关键词

  • bpf_socket_events.protocol - 网络协议 ID
  • etc_services.protocol - 传输协议 (TCP/UDP)
  • iptables.protocol - 协议编号标识。
  • listening_ports.protocol - 传输协议 (TCP/UDP)
  • process_open_sockets.protocol - 传输协议 (TCP/UDP)
  • socket_events.protocol - 网络协议 ID
  • usb_devices.protocol - USB 设备协议
  • windows_firewall_rules.protocol - 规则的 IP 协议

provider - 关键词, 文本.文本

  • drivers.provider - 驱动程序提供程序

provider_guid - 关键词, 文本.文本

  • windows_eventlog.provider_guid - 事件的提供程序 guid
  • windows_events.provider_guid - 事件的提供程序 guid

provider_name - 关键词, 文本.文本

  • windows_eventlog.provider_name - 事件的提供程序名称
  • windows_events.provider_name - 事件的提供程序名称

pseudo - 关键词, 数字.长整型

  • process_memory_map.pseudo - 如果路径是伪路径则为 1,否则为 0

public - 关键词, 数字.长整型

  • lxd_images.public - 图像是否公开 (1) 或不公开 (0)

publisher - 关键词, 文本.文本

  • azure_instance_metadata.publisher - VM 映像的发布者
  • osquery_events.publisher - 相关发布者的名称
  • programs.publisher - 产品供应商的名称。
  • vscode_extensions.publisher - 发布者名称

publisher_id - 关键词, 文本.文本

  • vscode_extensions.publisher_id - 发布者 ID

purgeable - 关键词, 数字.长整型

  • virtual_memory_info.purgeable - 可清除页面的总数。

purged - 关键词, 数字.长整型

  • virtual_memory_info.purged - 已清除页面的总数。

query - 关键词, 文本.文本

  • mdfind.query - 运行以查找文件的查询
  • osquery_schedule.query - 要运行的确切查询
  • windows_search.query - Windows 搜索查询
  • wmi_event_filters.query - Windows Management Instrumentation Query Language (WQL) 事件查询,指定消费者通知的事件集以及通知的特定条件。

query_language - 关键词, 文本.文本

  • wmi_event_filters.query_language - 编写查询所使用的查询语言。

queue_directories - 关键词, 文本.文本

  • launchd.queue_directories - 类似于 watch_paths,但仅适用于非空目录

raid_disks - 关键词, 数字.长整型

  • md_devices.raid_disks - 阵列中配置的 RAID 磁盘数

raid_level - 关键词, 数字.长整型

  • md_devices.raid_level - 阵列的当前 raid 级别

rapl_energy_status - 关键词, 数字.长整型

  • msr.rapl_energy_status - 运行时平均功率限制能量状态。

rapl_power_limit - 关键词, 数字.长整型

  • msr.rapl_power_limit - 运行时平均功率限制功率限制。

rapl_power_units - 关键词, 数字.长整型

  • msr.rapl_power_units - 运行时平均功率限制功率单位。

reactivated - 关键词, 数字.长整型

  • virtual_memory_info.reactivated - 重新激活的页面总数。

read - 关键词, 数字.长整型

  • docker_container_stats.read - 读取统计信息时的 UNIX 时间

readonly - 关键词, 数字.长整型

  • nfs_shares.readonly - 如果共享以只读方式导出则为 1,否则为 0

readonly_rootfs - 关键词, 数字.长整型

  • docker_containers.readonly_rootfs - 根文件系统是否以只读方式挂载

record_timestamp - 关键词, 文本.文本

  • ntfs_journal_events.record_timestamp - 日志记录时间戳

record_usn - 关键词, 文本.文本

  • ntfs_journal_events.record_usn - 用于标识日志记录的更新序列号

recovery_finish - 关键词, 文本.文本

  • md_devices.recovery_finish - 恢复活动估计持续时间

recovery_progress - 关键词, 文本.文本

  • md_devices.recovery_progress - 恢复活动的进度

recovery_speed - 关键词, 文本.文本

  • md_devices.recovery_speed - 恢复活动的速度

redirect_accept - 关键字,数字.长整型

  • interface_ipv6.redirect_accept - 接受 ICMP 重定向消息

ref_pid - 关键字,数字.长整型

  • asl.ref_pid - 由 launchd 代理的消息的参考 PID

ref_proc - 关键字,文本.文本

  • asl.ref_proc - 由 launchd 代理的消息的参考进程

referenced - 关键字,数字.长整型

  • chrome_extension_content_scripts.referenced - 如果此扩展程序被配置文件的首选项文件引用,则为 1
  • chrome_extensions.referenced - 如果此扩展程序被配置文件的首选项文件引用,则为 1

referenced_identifier - 关键字,文本.文本

  • chrome_extensions.referenced_identifier - 扩展程序标识符,如首选项文件中指定。如果扩展程序不在配置文件中,则为空。

refreshes - 关键字,数字.长整型

  • osquery_events.refreshes - 仅限发布者:runloop 重启次数

refs - 关键字,数字.长整型

  • kernel_extensions.refs - 引用计数

region - 关键字,文本.文本

  • ec2_instance_metadata.region - 此实例启动所在的 AWS 区域

registers - 关键字,文本.文本

  • crashes.registers - 系统寄存器的值
  • kernel_panics.registers - 以空格分隔的寄存器:值对的行
  • windows_crashes.registers - 系统寄存器的值

registry - 关键字,文本.文本

  • osquery_registry.registry - osquery 注册表的名称

registry_hive - 关键字,文本.文本

  • logged_in_users.registry_hive - HKEY_USERS 注册表配置单元

registry_path - 关键字,文本.文本

  • ie_extensions.registry_path - 扩展程序标识符

relative_path - 关键字,文本.文本

  • wmi_cli_event_consumers.relative_path - 类或实例的相对路径。
  • wmi_event_filters.relative_path - 类或实例的相对路径。
  • wmi_filter_consumer_binding.relative_path - 类或实例的相对路径。
  • wmi_script_event_consumers.relative_path - 类或实例的相对路径。

release - 关键字,文本.文本

  • apt_sources.release - 发布名称
  • lxd_images.release - 镜像所基于的操作系统发行版本
  • rpm_packages.release - 软件包发布

remediation_path - 关键字,文本.文本

  • windows_security_products.remediation_path - 修复路径

remote_address - 关键字,文本.文本

  • bpf_socket_events.remote_address - 与套接字关联的远程地址
  • process_open_sockets.remote_address - 套接字远程地址
  • socket_events.remote_address - 与套接字关联的远程地址

remote_addresses - 关键字,文本.文本

  • windows_firewall_rules.remote_addresses - 规则的远程地址

remote_apple_events - 关键字,数字.长整型

  • sharing_preferences.remote_apple_events - 如果启用远程 Apple 事件,则为 1,否则为 0

remote_login - 关键字,数字.长整型

  • sharing_preferences.remote_login - 如果启用远程登录,则为 1,否则为 0

remote_management - 关键字,数字.长整型

  • sharing_preferences.remote_management - 如果启用远程管理,则为 1,否则为 0

remote_port - 关键字,数字.长整型

  • bpf_socket_events.remote_port - 远程网络协议端口号
  • process_open_sockets.remote_port - 套接字远程端口
  • socket_events.remote_port - 远程网络协议端口号

remote_ports - 关键字,文本.文本

  • windows_firewall_rules.remote_ports - 规则的远程端口

removable - 关键字,数字.长整型

  • usb_devices.removable - 如果 USB 设备是可移动的,则为 1,否则为 0

repository - 关键字,文本.文本

  • portage_packages.repository - 使用 ebuild 的来源仓库

request_id - 关键字,文本.文本

  • carves.request_id - carve 请求的标识值(例如,计划的查询名称、分布式请求等)

requested_mask - 关键字,文本.文本

  • apparmor_events.requested_mask - 请求的访问掩码

requirement - 关键字,文本.文本

  • gatekeeper_approved_apps.requirement - 代码签名需求语言

reservation_id - 关键字,文本.文本

  • ec2_instance_metadata.reservation_id - 预留 ID

reshape_finish - 关键字,文本.文本

  • md_devices.reshape_finish - reshape 活动的估计持续时间

reshape_progress - 关键字,文本.文本

  • md_devices.reshape_progress - reshape 活动的进度

reshape_speed - 关键字,文本.文本

  • md_devices.reshape_speed - reshape 活动的速度

resident_size - 关键字,数字.长整型

  • docker_container_processes.resident_size - 进程使用的私有内存字节数
  • processes.resident_size - 进程使用的私有内存字节数

resolution - 关键字,文本.文本

  • connected_displays.resolution - 显示器的分辨率。

resource_group_name - 关键字,文本.文本

  • azure_instance_metadata.resource_group_name - VM 的资源组

response_code - 关键字,数字.长整型

  • curl.response_code - 响应的 HTTP 状态代码

responsible - 关键字,文本.文本

  • crashes.responsible - 导致进程崩溃的进程

result - 关键字,文本.文本

  • authenticode.result - 签名检查结果
  • curl.result - HTTP 响应正文

result_code - 关键字,文本.文本

  • windows_update_history.result_code - 更新操作的结果

resync_finish - 关键字,文本.文本

  • md_devices.resync_finish - resync 活动的估计持续时间

resync_progress - 关键字,文本.文本

  • md_devices.resync_progress - resync 活动的进度

resync_speed - 关键字,文本.文本

  • md_devices.resync_speed - resync 活动的速度

retain_count - 关键字,数字.长整型

  • iokit_devicetree.retain_count - 设备引用计数
  • iokit_registry.retain_count - 节点引用计数

revision - 关键字,文本.文本

  • deb_packages.revision - 软件包修订
  • hardware_events.revision - 设备修订(可选)
  • os_version.revision - 更新构建修订版,指的是 Windows 更新的特定修订号
  • platform_info.revision - BIOS 主版本号和次版本号

roaming - 关键字,数字.长整型

  • wifi_networks.roaming - 如果支持漫游,则为 1,否则为 0

roaming_profile - 关键字,文本.文本

  • wifi_networks.roaming_profile - 描述漫游配置文件,通常为 Single、Dual 或 Multi 之一

root - 关键字,文本.文本

  • processes.root - 进程虚拟根目录

root_dir - 关键字,文本.文本

  • docker_info.root_dir - Docker 根目录

root_directory - 关键字,文本.文本

  • launchd.root_directory - 用于指定在启动前要 chroot 到的目录的键

root_volume_uuid - 关键字,文本.文本

  • time_machine_destinations.root_volume_uuid - 备份卷的根 UUID

rotation - 关键字,文本.文本

  • connected_displays.rotation - 显示器的方向。

round_trip_time - 关键字,数字.长整型

  • curl.round_trip_time - 完成请求所花费的时间

rowid - 关键字,数字.长整型

  • quicklook_cache.rowid - Quicklook 文件 rowid 键

rssi - 关键字,数字.长整型

  • wifi_status.rssi - 当前接收信号强度指示 (dbm)
  • wifi_survey.rssi - 当前接收信号强度指示 (dbm)

rtadv_accept - 关键字,数字.长整型

  • interface_ipv6.rtadv_accept - 接受 ICMP 路由器通告

rule_details - 关键字,文本.文本

  • sudoers.rule_details - 规则定义

run_at_load - 关键字,文本.文本

  • launchd.run_at_load - 程序是否应在启动加载时运行

run_count - 关键字,数字.长整型

  • prefetch.run_count - 应用程序运行的次数。

rw - 关键字,数字.长整型

  • docker_container_mounts.rw - 如果为读/写,则为 1。否则为 0

scheme - 关键字,文本.文本

  • app_schemes.scheme - 方案/协议的名称

scope - 关键字,文本.文本

  • selinux_settings.scope - 密钥在 SELinuxFS 挂载点内的位置。

screen_sharing - 关键字,数字.长整型

  • sharing_preferences.screen_sharing - 如果启用屏幕共享,则为 1,否则为 0

script - 关键字,文本.文本

  • chrome_extension_content_scripts.script - 扩展程序使用的内容脚本

script_block_count - 关键字,数字.长整型

  • powershell_events.script_block_count - 此脚本的脚本块总数

script_block_id - 关键字,文本.文本

  • powershell_events.script_block_id - 此块所属的 powershell 脚本的唯一 GUID

script_file_name - 关键字,文本.文本

  • wmi_script_event_consumers.script_file_name - 从中读取脚本文本的文件名称,旨在替代在 ScriptText 属性中指定脚本文本。

script_name - 关键字,文本.文本

  • powershell_events.script_name - Powershell 脚本的名称

script_path - 关键字,text.text

  • powershell_events.script_path - Powershell 脚本的路径

script_text - 关键字,text.text

  • powershell_events.script_text - Powershell 脚本的文本内容
  • wmi_script_event_consumers.script_text - 以脚本引擎已知语言表示的脚本文本。如果 ScriptFileName 属性不为 NULL,则此属性必须为 NULL。

scripting_engine - 关键字,text.text

  • wmi_script_event_consumers.scripting_engine - 要使用的脚本引擎的名称,例如,VBScript。此属性不能为 NULL。

sdb_id - 关键字,text.text

  • appcompat_shims.sdb_id - SDB 的唯一 GUID。

sdk - 关键字,text.text

  • browser_plugins.sdk - 用于编译插件的构建 SDK
  • safari_extensions.sdk - 用于编译扩展的捆绑 SDK

sdk_version - 关键字,text.text

  • osquery_extensions.sdk_version - 用于构建扩展的 osquery SDK 版本

seconds - 关键字,number.long

  • time.seconds - 当前 UTC 时间的秒数
  • uptime.seconds - 正常运行时间(秒)

section - 关键字,text.text

  • deb_packages.section - 包节

secure_boot - 关键字,number.long

  • secureboot.secure_boot - 是否启用了安全启动

secure_mode - 关键字,number.long

  • secureboot.secure_mode - (Intel) 安全模式:0 禁用,1 完全安全,2 中等安全

secure_process - 关键字,number.long

  • processes.secure_process - 进程是否安全 (IUM),是=1,否=0

security_breach - 关键字,text.text

  • chassis_info.security_breach - 机箱的物理状态,例如“入侵成功”、“入侵尝试”等。

security_groups - 关键字,text.text

  • ec2_instance_metadata.security_groups - 以逗号分隔的安全组名称列表

security_options - 关键字,text.text

  • docker_containers.security_options - 容器安全选项列表

security_type - 关键字,text.text

  • wifi_networks.security_type - 此网络上的安全类型
  • wifi_status.security_type - 此网络上的安全类型

self_signed - 关键字,number.long

  • certificates.self_signed - 如果是自签名,则为 1,否则为 0

sender - 关键字,text.text

  • asl.sender - 发送者的标识字符串。默认为进程名称。
  • unified_log.sender - 生成条目的二进制映像的名称

sensor_backend_server - 关键字,text.text

  • carbon_black_info.sensor_backend_server - Carbon Black 服务器

sensor_id - 关键字,number.long

  • carbon_black_info.sensor_id - Carbon Black 传感器的传感器 ID

sensor_ip_addr - 关键字,text.text

  • carbon_black_info.sensor_ip_addr - 传感器的 IP 地址

seq_num - 关键字,number.long

  • es_process_events.seq_num - 每个事件的序列号
  • es_process_file_events.seq_num - 每个事件的序列号

serial - 关键字,text.text

  • certificates.serial - 证书序列号
  • chassis_info.serial - 机箱的序列号。
  • disk_info.serial - 磁盘的序列号。
  • hardware_events.serial - 设备序列号(可选)
  • usb_devices.serial - USB 设备序列连接

serial_number - 关键字,text.text

  • authenticode.serial_number - 证书序列号
  • battery.serial_number - 电池的序列号
  • connected_displays.serial_number - 显示器的序列号。(可能不是唯一的)
  • curl_certificate.serial_number - 证书序列号
  • kernel_keys.serial_number - 密钥的序列密钥。
  • memory_devices.serial_number - 内存设备的序列号

serial_port_enabled - 关键字,text.text

  • ycloud_instance_metadata.serial_port_enabled - 指示是否为 VM 启用了串行端口

series - 关键字,text.text

  • video_info.series - GPU 的系列。

server_name - 关键字,text.text

  • lxd_cluster.server_name - LXD 服务器节点的名称
  • lxd_cluster_members.server_name - LXD 服务器节点的名称

server_selection - 关键字,text.text

  • windows_update_history.server_selection - 指示哪个服务器提供了更新的值

server_version - 关键字,text.text

  • docker_info.server_version - 服务器版本

service - 关键字,text.text

  • drivers.service - 驱动程序服务名称(如果存在)
  • interface_details.service - 网络适配器使用的服务的名称。
  • iokit_devicetree.service - 如果设备符合 IOService,则为 1,否则为 0

service_exit_code - 关键字,number.long

  • services.service_exit_code - 服务在启动或停止时发生错误时返回的服务特定错误代码

service_id - 关键字,text.text

  • windows_update_history.service_id - 不是 Windows 更新的更新服务的服务标识符

service_key - 关键字,text.text

  • drivers.service_key - 驱动程序服务注册表项

service_name - 关键字,text.text

  • windows_firewall_rules.service_name - 应用程序的服务名称属性

service_type - 关键字,text.text

  • services.service_type - 服务类型:OWN_PROCESS、SHARE_PROCESS 以及可能是交互式(可以与桌面交互)

ses - 关键字,number.long

  • seccomp_events.ses - 调用分析进程的会话的会话 ID

session_id - 关键字,number.long

  • logon_sessions.session_id - 终端服务会话标识符。
  • process_etw_events.session_id - 会话 ID
  • winbaseobj.session_id - 终端服务会话 ID

session_owner - 关键字,text.text

  • authorizations.session_owner - 标签顶层键

set - 关键字,number.long

  • memory_devices.set - 标识内存设备是否属于一组设备。值 0 表示不属于任何组。

setup_mode - 关键字,number.long

  • secureboot.setup_mode - 是否启用了设置模式

severity - 关键字,number.long

  • syslog_events.severity - Syslog 严重性

sgid - 关键字

  • docker_container_processes.sgid - 保存的组 ID
  • process_events.sgid - 进程启动时保存的组 ID
  • process_file_events.sgid - 使用该文件的进程的保存组 ID
  • processes.sgid - 无符号保存的组 ID

sha1 - 关键字,text.text

  • apparmor_profiles.sha1 - 唯一标识此策略的哈希值。
  • certificates.sha1 - 原始证书内容的 SHA1 哈希
  • device_hash.sha1 - 提供的 inode 数据的 SHA1 哈希
  • file_events.sha1 - 更改后文件的 SHA1
  • hash.sha1 - 提供的文件系统数据的 SHA1 哈希
  • rpm_packages.sha1 - 包内容的 SHA1 哈希

sha1_fingerprint - 关键字,text.text

  • curl_certificate.sha1_fingerprint - SHA1 指纹

sha256 - 关键字,text.text

  • apparmor_profiles.sha256 - 唯一标识此策略的哈希值。
  • carves.sha256 - 刻录存档的 SHA256 和
  • device_hash.sha256 - 提供的 inode 数据的 SHA256 哈希
  • file_events.sha256 - 更改后文件的 SHA256
  • hash.sha256 - 提供的文件系统数据的 SHA256 哈希
  • rpm_package_files.sha256 - 来自 RPM 信息 DB 的 SHA256 文件摘要

sha256_fingerprint - 关键字,text.text

  • curl_certificate.sha256_fingerprint - SHA-256 指纹

shard - 关键字,number.long

  • osquery_packs.shard - 分片限制,1-100,0 表示无限制

share - 关键字,text.text

  • nfs_shares.share - 共享的文件系统路径

shared - 关键字,text.text

  • authorizations.shared - 标签顶层键

shell - 关键字,text.text

  • users.shell - 用户配置的默认 shell

shell_only - 关键字,number.long

  • osquery_flags.shell_only - 该标志是否仅限于 shell?

shmid - 关键字,number.long

  • shared_memory.shmid - 共享内存段 ID

shortcut_comment - 关键字,text.text

  • file.shortcut_comment - 快捷方式上的注释

shortcut_run - 关键字,text.text

  • file.shortcut_run - 应在其中运行快捷方式目标的窗口模式

shortcut_start_in - 关键字,text.text

  • file.shortcut_start_in - 执行快捷方式目标时要使用的完整工作目录路径

shortcut_target_location - 关键字,text.text

  • file.shortcut_target_location - 快捷方式目标所在的文件夹名称

shortcut_target_path - 关键字,text.text

  • file.shortcut_target_path - 快捷方式指向的文件的完整路径

shortcut_target_type - 关键字,text.text

  • file.shortcut_target_type - 目标类型的显示名称

sid - 关键字,text.text

  • background_activities_moderator.sid - 用户 SID。
  • certificates.sid - SID
  • logged_in_users.sid - 用户的唯一安全标识符
  • office_mru.sid - 用户 SID
  • shellbags.sid - 用户 SID
  • userassist.sid - 用户 SID。

sig - 关键字,number.long

  • seccomp_events.sig - seccomp 发送到进程的信号值

sig_group - 关键字,text.text

  • yara.sig_group - 使用的签名组

sigfile - 关键字,文本.文本

  • yara.sigfile - 使用的签名文件

signature - 关键字,文本.文本

  • curl_certificate.signature - 签名

signature_algorithm - 关键字,文本.文本

  • curl_certificate.signature_algorithm - 签名算法

signatures_up_to_date - 关键字,数字.长整型

  • windows_security_products.signatures_up_to_date - 如果产品签名是最新的,则为 1,否则为 0

signed - 关键字,数字.长整型

  • drivers.signed - 驱动程序是否已签名
  • signature.signed - 如果文件已签名则为 1,否则为 0

signing_algorithm - 关键字,文本.文本

  • certificates.signing_algorithm - 使用的签名算法

signing_id - 关键字,文本.文本

  • es_process_events.signing_id - 进程的签名标识符

sigrule - 关键字,文本.文本

  • yara.sigrule - 使用的签名字符串

sigurl - 关键字,文本.文本

  • yara.sigurl - 签名 URL

size - 关键字

  • acpi_tables.size - 编译后的表数据的大小
  • block_devices.size - 块设备大小(以块为单位)
  • carves.size - 雕刻的存档的大小
  • cups_jobs.size - 打印作业的大小
  • deb_packages.size - 包大小(以字节为单位)
  • device_file.size - 文件大小(以字节为单位)
  • disk_events.size - 分区大小(以字节为单位)
  • docker_image_history.size - 指令大小(以字节为单位)
  • file.size - 文件大小(以字节为单位)
  • file_events.size - 文件大小(以字节为单位)
  • kernel_extensions.size - 扩展使用的有线内存字节数
  • kernel_modules.size - 模块内容的大小
  • logical_drives.size - 驱动器的总空间量(以字节为单位),失败时为 -1。
  • lxd_images.size - 镜像大小(以字节为单位)
  • lxd_storage_pools.size - 存储池的大小
  • md_devices.size - 数组大小(以块为单位)
  • memory_devices.size - 内存设备大小(以兆字节为单位)
  • package_bom.size - 预期文件大小
  • platform_info.size - 固件大小(以字节为单位)
  • portage_packages.size - 包的大小
  • prefetch.size - 应用程序文件大小。
  • quicklook_cache.size - 解析的版本大小字段
  • rpm_package_files.size - 来自 RPM info DB 的预期文件大小(以字节为单位)
  • rpm_packages.size - 包大小(以字节为单位)
  • shared_memory.size - 大小(以字节为单位)
  • smbios_tables.size - 表条目大小(以字节为单位)
  • smc_keys.size - 报告的数据大小(以字节为单位)
  • windows_search.size - 项目大小(以字节为单位)。

size_bytes - 关键字,数字.长整型

  • docker_images.size_bytes - 镜像大小(以字节为单位)

sku - 关键字,文本.文本

  • azure_instance_metadata.sku - VM 镜像的 SKU
  • chassis_info.sku - 如果可用,则为库存单位编号。

slot - 关键字

  • md_drives.slot - 磁盘的插槽位置
  • portage_packages.slot - 包使用的插槽

smbios_tag - 关键字,文本.文本

  • chassis_info.smbios_tag - 机箱的指定资产标签号。

socket - 关键字

  • listening_ports.socket - 套接字句柄或 inode 号
  • process_open_sockets.socket - 套接字句柄或 inode 号
  • socket_events.socket - 本地路径(仅限 UNIX 域套接字)

socket_designation - 关键字,文本.文本

  • cpu_info.socket_designation - 给定 CPU 的主板上的指定插槽。

soft_limit - 关键字,文本.文本

  • ulimit_info.soft_limit - 当前限制值

softirq - 关键字,数字.长整型

  • cpu_time.softirq - 用于处理软中断的时间

sort - 关键字,文本.文本

  • windows_search.sort - 用于 windows api 的排序

source - 关键字,文本.文本

  • apt_sources.source - 源文件
  • autoexec.source - autoexec 项目的源表
  • deb_packages.source - 包源
  • docker_container_mounts.source - 主机上的源路径
  • lxd_storage_pools.source - 存储池源
  • package_install_history.source - 安装源:通常是安装程序进程名称
  • routes.source - 路由源
  • rpm_packages.source - 源 RPM 包名称(可选)
  • shellbags.source - Shellbags 源注册表文件
  • startup_items.source - 包含启动项的目录或 plist
  • sudoers.source - 包含给定规则的源文件
  • windows_events.source - 事件的来源或通道
  • yum_sources.source - 源文件

source_path - 关键字,文本.文本

  • systemd_units.source_path - (可能生成的)单元配置文件的路径

source_url - 关键字,文本.文本

  • firefox_addons.source_url - 安装该插件的 URL

space_total - 关键字,数字.长整型

  • lxd_storage_pools.space_total - 此存储池的可用总存储空间(以字节为单位)

space_used - 关键字,数字.长整型

  • lxd_storage_pools.space_used - 使用的存储空间(以字节为单位)

spare_disks - 关键字,数字.长整型

  • md_devices.spare_disks - 数组中空闲磁盘的数量

spec_version - 关键字,文本.文本

  • tpm_info.spec_version - TPM 支持的受信任计算组规范

speculative - 关键字,数字.长整型

  • virtual_memory_info.speculative - 推测页面的总数。

speed - 关键字,数字.长整型

  • interface_details.speed - 当前带宽(以每秒比特数为单位)的估计值。

src_ip - 关键字,文本.文本

  • iptables.src_ip - 源 IP 地址。

src_mask - 关键字,文本.文本

  • iptables.src_mask - 源 IP 地址掩码。

src_port - 关键字,文本.文本

  • iptables.src_port - 协议源端口。

ssh_config_file - 关键字,文本.文本

  • ssh_configs.ssh_config_file - ssh_config 文件的路径

ssh_public_key - 关键字,文本.文本

  • ec2_instance_metadata.ssh_public_key - SSH 公钥。仅在实例启动时提供时可用
  • ycloud_instance_metadata.ssh_public_key - SSH 公钥。仅在实例启动时提供时可用

ssid - 关键字,文本.文本

  • wifi_networks.ssid - 网络的 SSID 八位字节
  • wifi_status.ssid - 网络的 SSID 八位字节
  • wifi_survey.ssid - 网络的 SSID 八位字节

stack_trace - 关键字,文本.文本

  • crashes.stack_trace - 堆栈跟踪中的最新帧
  • windows_crashes.stack_trace - 堆栈跟踪中的多个堆栈帧

start - 关键字,文本.文本

  • memory_map.start - 内存区域的起始地址
  • process_memory_map.start - 虚拟起始地址(十六进制)

start_interval - 关键字,文本.文本

  • launchd.start_interval - 运行频率(以秒为单位)

start_on_mount - 关键字,文本.文本

  • launchd.start_on_mount - 每次挂载文件系统时运行守护程序或代理

start_time - 关键字,数字.长整型

  • docker_container_processes.start_time - 进程启动时间(自启动以来的秒数,非睡眠状态)
  • osquery_info.start_time - 进程启动时的 UNIX 时间(以秒为单位)
  • processes.start_time - 进程启动时间(自 Epoch 以来的秒数),如果出错则为 -1

start_type - 关键字,文本.文本

  • services.start_type - 服务启动类型:BOOT_START、SYSTEM_START、AUTO_START、DEMAND_START、DISABLED

started_at - 关键字,文本.文本

  • docker_containers.started_at - 容器启动时间(字符串)

starting_address - 关键字,文本.文本

  • memory_array_mapped_addresses.starting_address - 映射到物理内存数组的内存范围的物理起始地址(以千字节为单位)
  • memory_device_mapped_addresses.starting_address - 映射到物理内存数组的内存范围的物理起始地址(以千字节为单位)

state - 关键字

  • alf_exceptions.state - 防火墙例外状态
  • battery.state - 以下选项之一:“AC Power”表示电池已连接到外部电源,“Battery Power”表示电池正在汲取内部电源,“Off Line”表示电池已离线或不再连接
  • chrome_extensions.state - 如果此扩展程序已启用,则为 1
  • docker_container_processes.state - 进程状态
  • docker_containers.state - 容器状态(已创建、正在重新启动、正在运行、正在删除、已暂停、已退出、已死机)
  • lxd_networks.state - 网络状态
  • md_drives.state - 驱动器的状态
  • process_open_sockets.state - TCP 套接字状态
  • processes.state - 进程状态
  • scheduled_tasks.state - 计划任务的状态
  • system_extensions.state - 系统扩展状态
  • windows_optional_features.state - 安装状态值。1 == 已启用,2 == 已禁用,3 == 不存在
  • windows_security_products.state - 保护状态

state_timestamp - 关键字,文本.文本

  • windows_security_products.state_timestamp - 产品状态的时间戳

stateful - 关键字,数字.长整型

  • lxd_instances.stateful - 实例是否为有状态 (1) 或无状态 (0)

statename - 关键字,文本.文本

  • windows_optional_features.statename - 安装状态名称。Enabled,Disabled,Absent

status - 关键字,文本.文本

  • carves.status - 雕刻的状态,可以是 STARTING、PENDING、SUCCESS 或 FAILED
  • chassis_info.status - 如果可用,则给出各种操作或非操作状态,例如 OK、Degraded 和 Pred Fail。
  • deb_packages.status - 包状态
  • docker_containers.status - 容器状态信息
  • kernel_modules.status - 内核模块状态
  • lxd_cluster_members.status - 节点的状态(在线/离线)
  • lxd_instances.status - 实例状态(正在运行、已停止等)
  • md_devices.status - 数组的当前状态
  • ntdomains.status - 域对象的当前状态。
  • process_events.status - OpenBSM 属性:进程的状态
  • services.status - 服务当前状态:STOPPED、START_PENDING、STOP_PENDING、RUNNING、CONTINUE_PENDING、PAUSE_PENDING、PAUSED
  • shared_memory.status - 目标/附加状态
  • shared_resources.status - 指示对象当前状态的字符串。
  • socket_events.status - succeededfailedin_progress (在非阻塞套接字上调用 connect()) 或 no_client (在非阻塞套接字上调用 null accept())
  • startup_items.status - 启动状态;已启用或已禁用

stderr_path - 关键字,文本.文本

  • launchd.stderr_path - 将 stderr 管道到目标路径

stdout_path - 关键字,文本.文本

  • launchd.stdout_path - 将 stdout 管道输出到目标路径

steal - 关键字,数字.长整型

  • cpu_time.steal - 在虚拟化环境中运行时,其他操作系统花费的时间

stealth_enabled - 关键字,数字.长整型

  • alf.stealth_enabled - 如果启用隐身模式则为 1,否则为 0

stibp_support_enabled - 关键字,数字.长整型

  • kva_speculative_info.stibp_support_enabled - Windows 使用 STIBP。

storage - 关键字,数字.长整型

  • unified_log.storage - 条目的存储类别

storage_driver - 关键字,文本.文本

  • docker_info.storage_driver - 存储驱动程序

store - 关键字,文本.文本

  • certificates.store - 证书系统存储

store_id - 关键字,文本.文本

  • certificates.store_id - 存在于服务/用户存储中。包含 WinAPI 提供的原始存储 ID。

store_location - 关键字,文本.文本

  • certificates.store_location - 证书系统存储位置

strings - 关键字,文本.文本

  • yara.strings - 匹配的字符串
  • yara_events.strings - 匹配的字符串

sub_state - 关键字,文本.文本

  • systemd_units.sub_state - 底层单元激活状态,值取决于单元类型

subclass - 关键字,文本.文本

  • usb_devices.subclass - USB 设备子类

subject - 关键字,文本.文本

  • certificates.subject - 证书可分辨名称(已弃用,请使用 subject2)

subject2 - 关键字,文本.文本

  • certificates.subject2 - 证书可分辨名称

subject_alternative_names - 关键字,文本.文本

  • curl_certificate.subject_alternative_names - 主题备用名称

subject_info_access - 关键字,文本.文本

  • curl_certificate.subject_info_access - 主题信息访问

subject_key_id - 关键字,文本.文本

  • certificates.subject_key_id - SKID,一个可选择包含的 SHA1

subject_key_identifier - 关键字,文本.文本

  • curl_certificate.subject_key_identifier - 主题密钥标识符

subject_name - 关键字,文本.文本

  • authenticode.subject_name - 证书主题名称

subkey - 关键字,文本.文本

  • plist.subkey - 中间键路径,包括列表/字典
  • preferences.subkey - 中间键路径,包括列表/字典

subnet - 关键字,文本.文本

  • docker_networks.subnet - 网络子网

subscription_id - 关键字,文本.文本

  • azure_instance_metadata.subscription_id - VM 的 Azure 订阅

subscriptions - 关键字,数字.长整型

  • osquery_events.subscriptions - 发布者接收或订阅者使用的订阅数

subsystem - 关键字,文本.文本

  • system_controls.subsystem - 子系统 ID,控制类型
  • unified_log.subsystem - 使用的 os_log_t 的子系统

subsystem_model - 关键字,文本.文本

  • pci_devices.subsystem_model - PCI 设备子系统的设备描述

subsystem_model_id - 关键字,文本.文本

  • pci_devices.subsystem_model_id - PCI 设备子系统的型号 ID

subsystem_vendor - 关键字,文本.文本

  • pci_devices.subsystem_vendor - PCI 设备子系统的供应商

subsystem_vendor_id - 关键字,文本.文本

  • pci_devices.subsystem_vendor_id - PCI 设备子系统的供应商 ID

success - 关键字,数字.长整型

  • socket_events.success - 已弃用。请改用 status

suid - 关键字

  • docker_container_processes.suid - 保存的用户 ID
  • process_events.suid - 进程启动时保存的用户 ID
  • process_file_events.suid - 使用该文件的进程的保存用户 ID
  • processes.suid - 未签名的保存用户 ID

summary - 关键字,文本.文本

  • chocolatey_packages.summary - 包提供的摘要
  • python_packages.summary - 包提供的摘要

superblock_state - 关键字,文本.文本

  • md_devices.superblock_state - 超级块的状态

superblock_update_time - 关键字,数字.长整型

  • md_devices.superblock_update_time - 上次更新的 Unix 时间戳

superblock_version - 关键字,文本.文本

  • md_devices.superblock_version - 超级块的版本

support_url - 关键字,文本.文本

  • windows_update_history.support_url - 指向更新的特定于语言的支持信息的超链接

swap_cached - 关键字,数字.长整型

  • memory_info.swap_cached - 用作缓存内存的交换空间量,以字节为单位

swap_free - 关键字,数字.长整型

  • memory_info.swap_free - 可用的交换空间总量,以字节为单位

swap_ins - 关键字,数字.长整型

  • virtual_memory_info.swap_ins - 已交换到磁盘的压缩页面总数。

swap_limit - 关键字,数字.长整型

  • docker_info.swap_limit - 如果启用交换限制支持,则为 1。否则为 0

swap_outs - 关键字,数字.长整型

  • virtual_memory_info.swap_outs - 从磁盘交换回来的压缩页面总数。

swap_total - 关键字,数字.长整型

  • memory_info.swap_total - 可用的交换空间总量,以字节为单位

symlink - 关键字,数字.长整型

  • file.symlink - 如果路径是符号链接,则为 1,否则为 0

syscall - 关键字,文本.文本

  • bpf_process_events.syscall - 系统调用名称
  • bpf_socket_events.syscall - 系统调用名称
  • process_events.syscall - 系统调用名称:fork、vfork、clone、execve、execveat
  • seccomp_events.syscall - 系统调用类型

system - 关键字,数字.长整型

  • cpu_time.system - 在系统模式下花费的时间

system_cpu_usage - 关键字,数字.长整型

  • docker_container_stats.system_cpu_usage - CPU 系统使用率

system_model - 关键字,文本.文本

  • kernel_panics.system_model - 物理系统型号,例如 MacBookPro12,1 (Mac-E43C1C25D4880AD6)

system_time - 关键字,数字.长整型

  • osquery_schedule.system_time - 执行花费的总系统时间(以毫秒为单位)
  • processes.system_time - 在内核空间中花费的 CPU 时间(以毫秒为单位)

tag - 关键字,文本.文本

  • syslog_events.tag - 系统日志标签

tags - 关键字,文本.文本

  • docker_image_history.tags - 以逗号分隔的标签列表
  • docker_images.tags - 以逗号分隔的存储库标签列表
  • yara.tags - 匹配的标签
  • yara_events.tags - 匹配的标签

tapping_process - 关键字,数字.长整型

  • event_taps.tapping_process - 创建事件 tap 的应用程序的进程 ID。

target - 关键字

  • fan_speed_sensors.target - 目标速度
  • iptables.target - 适用于此规则的目标。

target_name - 关键字,文本.文本

  • prometheus_metrics.target_name - prometheus 目标的地址

target_path - 关键字,文本.文本

  • file_events.target_path - 与事件关联的路径
  • yara_events.target_path - 扫描的路径

task - 关键字,数字.长整型

  • windows_eventlog.task - 与事件关联的任务值
  • windows_events.task - 与事件关联的任务值

team - 关键字,文本.文本

  • system_extensions.team - 签名团队 ID

team_id - 关键字,文本.文本

  • es_process_events.team_id - 进程的团队标识符

team_identifier - 关键字,文本.文本

  • signature.team_identifier - 密封在签名中的团队签名标识符

temporarily_disabled - 关键字,数字.长整型

  • wifi_networks.temporarily_disabled - 如果此网络暂时禁用,则为 1,否则为 0

terminal - 关键字,文本.文本

  • user_events.terminal - 网络协议 ID

threads - 关键字,数字.长整型

  • docker_container_processes.threads - 进程使用的线程数
  • processes.threads - 进程使用的线程数

throttled - 关键字,数字.长整型

  • virtual_memory_info.throttled - 限制的总页数。

tid - 关键字,数字.长整型

  • bpf_process_events.tid - 线程 ID
  • bpf_socket_events.tid - 线程 ID
  • unified_log.tid - 进行该条目的线程的 tid
  • windows_crashes.tid - 崩溃线程的线程 ID
  • windows_eventlog.tid - 发出事件记录的线程 ID

time - 关键字

  • apparmor_events.time - 执行时间(UNIX 时间)
  • asl.time - Unix 时间戳。自动设置
  • bpf_process_events.time - 执行时间(UNIX 时间)
  • bpf_socket_events.time - 执行时间(UNIX 时间)
  • carves.time - 启动 carving 的时间
  • disk_events.time - 出现/消失的时间(UNIX 时间)
  • docker_container_processes.time - 累积 CPU 时间。[DD-]HH:MM:SS 格式
  • es_process_events.time - 执行时间(UNIX 时间)
  • es_process_file_events.time - 执行时间(UNIX 时间)
  • file_events.time - 文件事件发生时间
  • hardware_events.time - 硬件事件发生时间
  • kernel_panics.time - 格式化的事件时间
  • last.time - 条目时间戳
  • logged_in_users.time - 条目创建时间
  • ntfs_journal_events.time - 文件事件发生时间
  • package_install_history.time - 标签日期,以 UNIX 时间戳表示
  • powershell_events.time - osquery 事件发布者接收到事件的时间戳
  • process_etw_events.time - Unix 格式的事件时间戳
  • process_events.time - UNIX 时间的执行时间
  • process_file_events.time - UNIX 时间的执行时间
  • seccomp_events.time - UNIX 时间的执行时间
  • selinux_events.time - UNIX 时间的执行时间
  • shell_history.time - 条目时间戳。可能不存在,默认值为 0。
  • socket_events.time - UNIX 时间的执行时间
  • syslog_events.time - 当前 Unix 时间戳
  • user_events.time - UNIX 时间的执行时间
  • user_interaction_events.time - 时间
  • windows_events.time - 事件接收时间戳
  • xprotect_reports.time - 隔离警报时间
  • yara_events.time - 扫描时间

time_nano_sec - 关键字,number.long

  • asl.time_nano_sec - 纳秒时间。

time_range - 关键字,text.text

  • windows_eventlog.time_range - 用于选择性过滤事件的系统时间

time_windows - 关键字,number.long

  • process_etw_events.time_windows - Windows 格式的事件时间戳

timeout - 关键字,text.text

  • authorizations.timeout - 标签顶层键
  • curl_certificate.timeout - 设置完成 TLS 握手的超时时间(以秒为单位,默认 4 秒,使用 0 表示无超时)
  • kernel_keys.timeout - 密钥到期时间,以人类可读的形式表示。“perm”表示密钥是永久的(无超时)。“expd”表示密钥已过期。

timestamp - 关键字,text.text

  • time.timestamp - 当前时间戳(日志格式),使用 UTC 时间
  • unified_log.timestamp - 与条目关联的 Unix 时间戳
  • windows_eventlog.timestamp - 用于选择性过滤事件的时间戳

timestamp_ms - 关键字,number.long

  • prometheus_metrics.timestamp_ms - 收集数据的 Unix 时间戳,以毫秒为单位

timezone - 关键字,text.text

  • time.timezone - 报告时间的时区(硬编码为 UTC)

title - 关键字,text.text

  • cups_jobs.title - 打印作业的标题
  • windows_update_history.title - 更新的标题

token_elevation_status - 关键字,number.long

  • process_etw_events.token_elevation_status - 主令牌提升状态 - 仅在 ProcessStart 事件中出现

token_elevation_type - 关键字,text.text

  • process_etw_events.token_elevation_type - 主令牌提升类型 - 仅在 ProcessStart 事件中出现

total_seconds - 关键字,number.long

  • uptime.total_seconds - 总正常运行时间(秒)

total_size - 关键字,number.long

  • docker_container_processes.total_size - 总虚拟内存大小
  • processes.total_size - 总虚拟内存大小(Linux,Windows)或footprint(macOS)

total_width - 关键字,number.long

  • memory_devices.total_width - 此内存设备的总宽度(以位为单位),包括任何校验位或纠错位

transaction_id - 关键字,number.long

  • file_events.transaction_id - 批量更新期间使用的 ID
  • yara_events.transaction_id - 批量更新期间使用的 ID

translated - 关键字,number.long

  • processes.translated - 指示该进程是否在 Rosetta 转换环境下运行,是=1,否=0,错误=-1。

transmit_rate - 关键字,text.text

  • wifi_status.transmit_rate - 当前传输速率

tries - 关键字,text.text

  • authorizations.tries - 标签顶层键

tty - 关键字,text.text

  • last.tty - 条目终端
  • logged_in_users.tty - 设备名称

turbo_disabled - 关键字,number.long

  • msr.turbo_disabled - 是否禁用睿频功能。

turbo_ratio_limit - 关键字,number.long

  • msr.turbo_ratio_limit - 睿频功能比率限制。

type - 关键字,text.text

  • apparmor_events.type - 事件类型
  • appcompat_shims.type - SDB 数据库的类型。
  • block_devices.type - 块设备类型字符串
  • bpf_socket_events.type - 套接字类型
  • crashes.type - 崩溃日志类型
  • device_file.type - 文件状态
  • device_firmware.type - 设备类型
  • device_partitions.type - 如果可识别,则为文件系统类型,否则为metanormalunallocated
  • disk_encryption.type - 如果可用,则为密码类型和模式的描述
  • disk_info.type - 磁盘的接口类型。
  • dns_cache.type - DNS 记录类型
  • dns_resolvers.type - 地址类型:sortlist,nameserver,search
  • docker_container_mounts.type - 挂载类型(绑定,卷)
  • docker_container_ports.type - 协议 (tcp, udp)
  • docker_volumes.type - 卷类型
  • file.type - 文件状态
  • firefox_addons.type - 扩展,插件,webapp
  • hardware_events.type - 硬件和硬件事件的类型
  • homebrew_packages.type - 包类型(formulacask
  • interface_addresses.type - 地址类型。dhcp、manual、auto、other、unknown 之一
  • interface_details.type - 接口类型(包括虚拟)
  • kernel_keys.type - 密钥类型。
  • keychain_items.type - 钥匙串项目类型(类)
  • last.type - 条目类型,根据 ut_type 类型 (utmp.h)
  • logged_in_users.type - 登录类型
  • logical_drives.type - 已弃用(始终为Unknown)。
  • lxd_certificates.type - 证书类型
  • lxd_networks.type - 网络类型
  • mounts.type - 挂载设备类型
  • ntfs_acl_permissions.type - 访问控制条目的访问模式类型。
  • nvram.type - 数据类型(CFData、CFString 等)
  • osquery_events.type - 发布者或订阅者
  • osquery_extensions.type - SDK 扩展类型:core、extension 或 module
  • osquery_flags.type - 标志类型
  • process_etw_events.type - 事件类型(ProcessStart,ProcessStop)
  • process_open_pipes.type - 管道类型:命名与未命名/匿名
  • registry.type - 注册表值的类型,或者如果项目是子项,则为subkey
  • routes.type - 路由类型
  • selinux_events.type - 事件类型
  • shared_resources.type - 正在共享的资源类型。类型包括:磁盘驱动器、打印队列、进程间通信 (IPC) 和通用设备。
  • smbios_tables.type - 表条目类型
  • smc_keys.type - SMC 报告的类型文字类型
  • startup_items.type - 启动项或登录项
  • system_controls.type - 数据类型
  • ulimit_info.type - 要限制的系统资源
  • user_events.type - 进程套接字的文件描述
  • users.type - 帐户是漫游(域)、本地还是系统配置文件
  • windows_crashes.type - 崩溃日志类型
  • windows_search.type - 项目类型
  • windows_security_products.type - 安全产品类型
  • xprotect_meta.type - 插件或扩展

type_name - 关键字,text.text

  • last.type_name - 条目类型名称,根据 ut_type 类型 (utmp.h)
  • shared_resources.type_name - type 列的人类可读值

uid - 关键字

  • account_policy_data.uid - 用户 ID
  • asl.uid - 发送日志消息的 UID(由服务器设置)。
  • authorized_keys.uid - authorized_keys 文件的本地所有者
  • bpf_process_events.uid - 用户 ID
  • bpf_socket_events.uid - 用户 ID
  • browser_plugins.uid - 拥有插件的本地用户
  • chrome_extension_content_scripts.uid - 拥有扩展程序的本地用户
  • chrome_extensions.uid - 拥有扩展程序的本地用户
  • crashes.uid - 崩溃进程的用户 ID
  • device_file.uid - 所有者用户 ID
  • disk_encryption.uid - 如果可用,则为当前经过身份验证的用户
  • docker_container_processes.uid - 用户 ID
  • es_process_events.uid - 进程的用户 ID
  • file.uid - 所有者用户 ID
  • file_events.uid - 所有者用户 ID
  • firefox_addons.uid - 拥有插件的本地用户
  • kernel_keys.uid - 密钥所有者的用户 ID。
  • known_hosts.uid - 拥有 known_hosts 文件的本地用户
  • launchd_overrides.uid - 应用于覆盖的用户 ID,0 应用于所有
  • package_bom.uid - 文件或目录的预期用户
  • password_policy.uid - 策略的用户 ID,全局策略为 -1
  • process_events.uid - 进程启动时的用户 ID
  • process_file_events.uid - 执行操作的进程的 uid
  • processes.uid - 无符号用户 ID
  • safari_extensions.uid - 拥有扩展程序的本地用户
  • seccomp_events.uid - 启动分析进程的用户的用户 ID
  • shell_history.uid - Shell 历史记录所有者
  • ssh_configs.uid - ssh_config 文件的本地所有者
  • user_events.uid - 用户 ID
  • user_groups.uid - 用户 ID
  • user_ssh_keys.uid - 拥有密钥文件的本地用户
  • users.uid - 用户 ID
  • vscode_extensions.uid - 拥有插件的本地用户

uid_signed - 关键字,number.long

  • users.uid_signed - 作为 int64 有符号的用户 ID (Apple)

umci_policy_status - 关键字,text.text

  • hvci_status.umci_policy_status - 用户模式代码完整性安全设置的状态。如果遇到错误,则返回 UNKNOWN。

uncompressed - 关键字,数字.长整型

  • virtual_memory_info.uncompressed - 未压缩页面的总数。

uninstall_string - 关键字,文本.文本

  • programs.uninstall_string - 卸载程序的路径和文件名。

unique_chip_id - 关键字,文本.文本

  • ibridge_info.unique_chip_id - iBridge 控制器的唯一 ID

unit_file_state - 关键字,文本.文本

  • systemd_units.unit_file_state - 单元文件是否已启用,例如 enabledmaskeddisabled

unix_time - 关键字,数字.长整型

  • time.unix_time - 当前 UTC 时间的 UNIX 时间戳

unmask - 关键字,数字.长整型

  • portage_keywords.unmask - 包是否已取消屏蔽

unused_devices - 关键字,文本.文本

  • md_devices.unused_devices - 未使用的设备

update_id - 关键字,文本.文本

  • windows_update_history.update_id - 更新的与修订版无关的标识符

update_revision - 关键字,数字.长整型

  • windows_update_history.update_revision - 更新的修订号

update_source_alias - 关键字,文本.文本

  • lxd_images.update_source_alias - 更新源服务器上映像的别名

update_source_certificate - 关键字,文本.文本

  • lxd_images.update_source_certificate - 更新源服务器的证书

update_source_protocol - 关键字,文本.文本

  • lxd_images.update_source_protocol - 用于从源服务器更新映像信息和导入映像的协议

update_source_server - 关键字,文本.文本

  • lxd_images.update_source_server - 映像更新的服务器

update_url - 关键字,文本.文本

  • chrome_extensions.update_url - 扩展程序提供的更新 URI
  • safari_extensions.update_url - 扩展程序提供的更新 URI

upid - 关键字,数字.长整型

  • processes.upid - 一个永远不会重复使用的 64 位 PID。如果无法从系统中收集,则返回 -1。

uploaded_at - 关键字,文本.文本

  • lxd_images.uploaded_at - 映像上传的 ISO 时间

upn - 关键字,文本.文本

  • logon_sessions.upn - 登录会话所有者的用户主体名称 (UPN)。

uppid - 关键字,数字.长整型

  • processes.uppid - 永远不会重复使用的 64 位父 PID。如果无法从系统中收集,则返回 -1。

uptime - 关键字,数字.长整型

  • apparmor_events.uptime - 系统正常运行时间内的执行时间
  • kernel_panics.uptime - 内核崩溃时的系统正常运行时间,以纳秒为单位
  • process_events.uptime - 系统正常运行时间内的执行时间
  • process_file_events.uptime - 系统正常运行时间内的执行时间
  • seccomp_events.uptime - 系统正常运行时间内的执行时间
  • selinux_events.uptime - 系统正常运行时间内的执行时间
  • socket_events.uptime - 系统正常运行时间内的执行时间
  • user_events.uptime - 系统正常运行时间内的执行时间

url - 关键字,文本.文本

  • curl.url - 请求的 URL
  • lxd_cluster_members.url - 节点的 URL

usage - 关键字,数字.长整型

  • kernel_keys.usage - 引用此密钥的线程数和打开的文件引用数。

usb_address - 关键字,数字.长整型

  • usb_devices.usb_address - 使用的 USB 设备地址

usb_port - 关键字,数字.长整型

  • usb_devices.usb_port - 使用的 USB 设备端口

use - 关键字,文本.文本

  • memory_arrays.use - 数组的用途
  • portage_use.use - 已为包启用的 USE 标志

used_by - 关键字,文本.文本

  • kernel_modules.used_by - 模块反向依赖项
  • lxd_networks.used_by - 使用此网络的容器的 URL

user - 关键字

  • cpu_time.user - 在用户模式下花费的时间
  • cups_jobs.user - 打印作业的用户
  • docker_container_processes.user - 用户名
  • logged_in_users.user - 用户登录名
  • logon_sessions.user - 拥有登录会话的安全主体的帐户名。
  • sandboxes.user - 沙箱所有者
  • systemd_units.user - 配置的用户(如果有)

user_account - 关键字,文本.文本

  • services.user_account - 服务进程运行时将以其身份登录的帐户名称。此名称的格式可以是 Domain\UserName。如果帐户属于内置域,则该名称的格式可以是 .\UserName。

user_account_control - 关键字,文本.文本

  • windows_security_center.user_account_control - Windows 中用户帐户控制 (UAC) 功能的运行状况

user_action - 关键字,文本.文本

  • xprotect_reports.user_action - 提示后用户采取的操作

user_agent - 关键字,文本.文本

  • curl.user_agent - 用于请求的用户代理字符串

user_namespace - 关键字,文本.文本

  • docker_containers.user_namespace - 用户命名空间
  • process_namespaces.user_namespace - 用户命名空间 inode

user_time - 关键字,数字.长整型

  • osquery_schedule.user_time - 执行花费的总用户时间,以毫秒为单位
  • processes.user_time - 在用户空间中花费的 CPU 时间,以毫秒为单位

user_uuid - 关键字,文本.文本

  • disk_encryption.user_uuid - 如果可用,则为已验证用户的 UUID

username - 关键字,文本.文本

  • certificates.username - 用户名
  • es_process_events.username - 用户名
  • last.username - 条目用户名
  • launchd.username - 以此用户名运行此守护进程或代理
  • managed_policies.username - 策略仅适用于此用户
  • preferences.username - (可选)读取特定用户的首选项
  • process_etw_events.username - 用户权限 - 主令牌用户名
  • rpm_package_files.username - 来自信息数据库的文件默认用户名
  • shadow.username - 用户名
  • startup_items.username - 与启动项关联的用户
  • suid_bin.username - 二进制所有者用户名
  • users.username - 用户名
  • windows_crashes.username - 运行崩溃进程的用户的用户名

uses_pattern - 关键字,数字.长整型

  • xprotect_entries.uses_pattern - 使用匹配模式而不是标识

uts_namespace - 关键字,文本.文本

  • docker_containers.uts_namespace - UTS 命名空间
  • process_namespaces.uts_namespace - uts 命名空间 inode

uuid - 关键字,文本.文本

  • block_devices.uuid - 块设备通用唯一标识符
  • disk_encryption.uuid - 磁盘通用唯一标识符
  • disk_events.uuid - 如果可用,则为 DMG 内的卷的 UUID
  • managed_policies.uuid - 可选的分配给策略集的 UUID
  • osquery_extensions.uuid - 为通信分配的瞬时 ID
  • osquery_info.uuid - 系统提供的唯一 ID
  • system_info.uuid - 系统提供的唯一 ID
  • users.uuid - 用户的 UUID (Apple) 或 SID (Windows)
  • vscode_extensions.uuid - 扩展 UUID

valid_from - 关键字,文本.文本

  • curl_certificate.valid_from - 有效期开始日期

valid_to - 关键字,文本.文本

  • curl_certificate.valid_to - 有效期结束日期

value - 关键字,文本.文本

  • ad_config.value - 变量类型选项值
  • augeas.value - 配置项的值
  • azure_instance_tags.value - 标签值
  • cpuid.value - 位值或字符串
  • default_environment.value - 环境变量的值
  • docker_container_envs.value - 环境变量值
  • docker_container_labels.value - 可选标签值
  • docker_image_labels.value - 可选标签值
  • docker_network_labels.value - 可选标签值
  • docker_volume_labels.value - 可选标签值
  • ec2_instance_tags.value - 标签值
  • extended_attributes.value - 从属性解析的信息
  • launchd_overrides.value - 重写的值
  • lxd_instance_config.value - 配置参数值
  • lxd_instance_devices.value - 设备信息参数值
  • managed_policies.value - 策略值
  • mdls.value - 存储在元数据键中的值
  • nvram.value - 原始变量数据
  • oem_strings.value - OEM 字符串的值
  • osquery_flags.value - 标志值
  • plist.value - 大多数 CF 类型的字符串值
  • power_sensors.value - 以瓦特为单位的功率
  • preferences.value - 大多数 CF 类型的字符串值
  • process_envs.value - 环境变量值
  • selinux_settings.value - 活动值。
  • smc_keys.value - 密钥值的类型编码表示
  • wmi_bios_info.value - BIOS 设置的值

valuetype - 关键字,文本.文本

  • mdls.valuetype - 存储在值中的 CoreFoundation 数据类型

variable - 关键字,文本.文本

  • default_environment.variable - 环境变量的名称

vbs_status - 关键字,文本.文本

  • hvci_status.vbs_status - 基于虚拟化的安全设置的状态。如果遇到错误,则返回 UNKNOWN。

vendor - 关键字,文本.文本

  • block_devices.vendor - 块设备供应商字符串
  • disk_events.vendor - 磁盘事件供应商字符串
  • hardware_events.vendor - 硬件设备供应商
  • pci_devices.vendor - PCI 设备供应商
  • platform_info.vendor - 平台代码供应商
  • rpm_packages.vendor - 软件包供应商
  • usb_devices.vendor - USB 设备供应商字符串

vendor_id - 关键字,文本.文本

  • connected_displays.vendor_id - 显示器的供应商 ID。
  • hardware_events.vendor_id - 十六进制编码的硬件供应商标识符
  • pci_devices.vendor_id - 十六进制编码的 PCI 设备供应商标识符
  • usb_devices.vendor_id - 十六进制编码的 USB 设备供应商标识符

vendor_syndrome - 关键字,文本.文本

  • memory_error_info.vendor_syndrome - 与错误访问相关的供应商特定 ECC 综合症或 CRC 数据

version - 关键字,文本.文本

  • alf.version - 应用程序层防火墙版本
  • apt_sources.version - 存储库源版本
  • authorizations.version - 标签顶层键
  • azure_instance_metadata.version - VM 镜像的版本
  • bitlocker_info.version - 驱动器的 FVE 元数据版本。
  • browser_plugins.version - 插件的短版本
  • chocolatey_packages.version - 软件包提供的版本
  • chrome_extension_content_scripts.version - 扩展程序提供的版本
  • chrome_extensions.version - 扩展程序提供的版本
  • crashes.version - 崩溃进程的版本信息
  • curl_certificate.version - 版本号
  • deb_packages.version - 软件包版本
  • device_firmware.version - 固件版本
  • docker_version.version - Docker 版本
  • drivers.version - 驱动程序版本
  • es_process_events.version - EndpointSecurity 事件版本
  • es_process_file_events.version - EndpointSecurity 事件版本
  • firefox_addons.version - 插件提供的版本字符串
  • gatekeeper.version - Gatekeeper 的 gke.bundle 版本
  • homebrew_packages.version - 当前链接的版本
  • hvci_status.version - 设备保护构建的版本号。
  • ie_extensions.version - 可执行文件的版本
  • intel_me_info.version - Intel ME 版本
  • kernel_extensions.version - 扩展版本
  • kernel_info.version - 内核版本
  • npm_packages.version - 软件包提供的版本
  • office_mru.version - Office 应用程序版本号
  • os_version.version - 适用于演示的、美观的操作系统版本
  • osquery_extensions.version - 扩展程序的版本
  • osquery_info.version - osquery 工具包版本
  • osquery_packs.version - 此查询将运行的最低 osquery 版本
  • package_install_history.version - 软件包显示版本
  • package_receipts.version - 已安装的软件包版本
  • platform_info.version - 平台代码版本
  • portage_keywords.version - 受使用标志影响的版本,空表示全部
  • portage_packages.version - 受使用标志影响的版本,空表示全部
  • portage_use.version - 已安装的软件包的版本
  • programs.version - 产品版本信息。
  • python_packages.version - 软件包提供的版本
  • rpm_packages.version - 软件包版本
  • safari_extensions.version - 扩展程序的长版本
  • system_extensions.version - 系统扩展版本
  • usb_devices.version - USB 设备版本号
  • vscode_extensions.version - 扩展程序版本
  • windows_crashes.version - 崩溃进程的文件版本信息

video_mode - 关键字,文本.文本

  • video_info.video_mode - 显示器的当前分辨率。

virtual_process - 关键字,数字.长整型

  • processes.virtual_process - 进程是否为虚拟进程(例如,系统、注册表、vmmem),是=1,否=0

visible - 关键字,数字.长整型

  • firefox_addons.visible - 如果插件在浏览器中显示则为 1,否则为 0

visible_alarm - 关键字,文本.文本

  • chassis_info.visible_alarm - 如果为 TRUE,则框架配有可视警报。

vm_id - 关键字,文本.文本

  • azure_instance_metadata.vm_id - VM 的唯一标识符
  • azure_instance_tags.vm_id - VM 的唯一标识符

vm_scale_set_name - 关键字,文本.文本

  • azure_instance_metadata.vm_scale_set_name - VM 规模集名称

vm_size - 关键字,文本.文本

  • azure_instance_metadata.vm_size - VM 大小

voltage - 关键字,数字.长整型

  • battery.voltage - 电池当前的电压,单位为毫伏

volume_creation - 关键字,文本.文本

  • prefetch.volume_creation - 卷的创建时间。

volume_id - 关键字,数字.长整型

  • quicklook_cache.volume_id - 从 fs_id 解析的卷 ID

volume_serial - 关键字,文本.文本

  • file.volume_serial - 卷序列号
  • prefetch.volume_serial - 卷序列号。

volume_size - 关键字,数字.长整型

  • platform_info.volume_size - (可选)固件卷的大小

wall_time - 关键字,数字.长整型

  • osquery_schedule.wall_time - 执行花费的总实际时间(以秒为单位,已弃用),hidden=True

wall_time_ms - 关键字,数字.长整型

  • osquery_schedule.wall_time_ms - 执行花费的总实际时间(以毫秒为单位)

warning - 关键字,数字.长整型

  • shadow.warning - 密码过期前警告用户的天数

was_captive_network - 关键字,数字.长整型

  • wifi_networks.was_captive_network - 如果此网络以前是强制网络则为 1,否则为 0

watch_paths - 关键字,文本.文本

  • launchd.watch_paths - 如果路径被修改则启动守护程序或代理的键

watcher - 关键字,数字.长整型

  • osquery_info.watcher - 可选监视进程的进程(或线程/句柄)ID

weekday - 关键字,文本.文本

  • time.weekday - 当前 UTC 时区的星期几

win32_exit_code - 关键字,数字.长整型

  • services.win32_exit_code - 服务在启动或停止时报告错误时使用的错误代码

win_timestamp - 关键字,数字.长整型

  • time.win_timestamp - 时间戳值,单位为 100 纳秒

windows_security_center_service - 关键字,文本.文本

  • windows_security_center.windows_security_center_service - Windows 安全中心服务的运行状况

wired - 关键字,数字.长整型

  • virtual_memory_info.wired - 已布线页面的总数。

wired_size - 关键字,数字.长整型

  • docker_container_processes.wired_size - 进程使用的不可分页内存的字节数
  • processes.wired_size - 进程使用的不可分页内存的字节数

working_directory - 关键字,文本.文本

  • launchd.working_directory - 用于指定在启动前要 chdir 到的目录的键

working_disks - 关键字,数字.长整型

  • md_devices.working_disks - 阵列中正常工作的磁盘数量

world - 关键字,数字.长整型

  • portage_packages.world - 如果软件包在 world 文件中

writable - 关键字,数字.长整型

  • disk_events.writable - 如果可写则为 1,否则为 0

xpath - 关键字,文本.文本

  • windows_eventlog.xpath - 用于筛选事件的自定义查询

year - 关键字,数字.长整型

  • time.year - 当前 UTC 时区的年份

zero_fill - 关键字,数字.长整型

  • virtual_memory_info.zero_fill - 零填充页面的总数。

zone - 关键字,文本.文本

  • azure_instance_metadata.zone - VM 的可用区
  • ycloud_instance_metadata.zone - VM 的可用区