导出字段参考
编辑导出字段参考编辑
以下字段可以在 osquery 结果中返回。请注意以下有关 osquery 字段的信息
- 某些字段列出了多个描述,因为适用的描述取决于查询的表。例如,存储在
osquery.autoupdate字段中的结果可能表示来自firefox_addons表或windows_security_center表的响应。 - 如果字段名称与多个 osquery 表相关联,我们已尽力猜测数据的
类型应是什么。在未知的情况下,数据类型设置为关键字对象。
有关 osquery 表的更多信息,请参阅 osquery 模式文档。
字段编辑
UUID - 关键字,文本。文本
- system_extensions.UUID - 扩展唯一 ID
访问权限 - 关键字,文本。文本
- ntfs_acl_permissions.access - 指示 ACE 描述的权限的特定权限。
访问的目录 - 关键字,文本。文本
- prefetch.accessed_directories - 应用程序在启动后十秒钟内访问的目录。
访问的目录数 - 关键字,数字。长整型
- prefetch.accessed_directories_count - 访问的目录数。
访问的文件 - 关键字,文本。文本
- prefetch.accessed_files - 应用程序在启动后十秒钟内访问的文件。
访问的文件数 - 关键字,数字。长整型
- prefetch.accessed_files_count - 访问的文件数。
访问时间 - 关键字,数字。长整型
- shellbags.accessed_time - 目录访问时间。
帐户 - 关键字,文本。文本
- keychain_items.account - 可选项目帐户
帐户 ID - 关键字,文本。文本
- ec2_instance_metadata.account_id - 拥有此 EC2 实例的 AWS 帐户 ID
操作 - 关键字,文本。文本
- disk_events.action - 出现或消失
- file_events.action - 更改操作(更新、删除等)
- hardware_events.action - 删除、插入、更改属性等
- ntfs_journal_events.action - 更改操作(写入、删除等)
- scheduled_tasks.action - 计划任务执行的操作
- socket_events.action - 套接字操作(绑定、侦听、关闭)
- windows_firewall_rules.action - 规则或默认设置的操作
- yara_events.action - 更改操作(更新、删除等)
已激活 - 关键字,数字。长整型
- tpm_info.activated - TPM 已激活
活动 - 关键字,数字。长整型
- firefox_addons.active - 如果插件处于活动状态,则为 1,否则为 0
- memory_info.active - 正在使用的缓冲区或页面缓存内存总量(以字节为单位)
- osquery_events.active - 如果发布者或订阅者处于活动状态,则为 1,否则为 0
- osquery_packs.active - 此包是否处于活动状态(版本、平台和发现查询匹配)是 = 1,否 = 0。
- osquery_registry.active - 如果此插件处于活动状态,则为 1,否则为 0
- virtual_memory_info.active - 活动页面总数。
活动磁盘 - 关键字,数字。长整型
- md_devices.active_disks - 阵列中的活动磁盘数
活动状态 - 关键字,文本。文本
- systemd_units.active_state - 高级单元激活状态,即 SUB 的概括
活动 - 关键字,数字。长整型
- unified_log.activity - 与条目关联的活动 ID
实际 - 关键字,数字。长整型
- fan_speed_sensors.actual - 实际速度
添加原因 - 关键字,文本。文本
- wifi_networks.add_reason - 显示添加此网络的原因,通过菜单栏或命令行或其他方式
添加时间 - 关键字,数字。长整型
- wifi_networks.added_at - 将此网络添加为 unix_time 的时间
附加属性 - 关键字,文本。文本
- windows_search.additional_properties - 要包含在属性 JSON 中的列的逗号分隔列表
地址 - 关键字,文本。文本
- arp_cache.address - IPv4 地址目标
- dns_resolvers.address - 解析器 IP/IPv6 地址
- etc_hosts.address - IP 地址映射
- interface_addresses.address - 接口的特定地址
- kernel_modules.address - 内核模块地址
- listening_ports.address - 绑定的特定地址
- platform_info.address - 固件映射的相对地址
- user_events.address - Internet 协议地址或系列 ID
地址宽度 - 关键字,文本。文本
- cpu_info.address_width - CPU 地址总线的宽度。
管理员目录 - 关键字,文本。文本
- deb_packages.admindir - libdpkg 管理员目录。默认为 /var/lib/dpkg
算法 - 关键字,文本。文本
- authorized_keys.algorithm - 密钥类型
别名 - 关键字,文本。文本
- etc_protocols.alias - 协议别名
- time_machine_destinations.alias - 人类可读的驱动器名称
别名 - 关键字,文本。文本
- etc_services.aliases - 服务的其他名称的可选空格分隔列表
- lxd_images.aliases - 镜像别名的逗号分隔列表
允许最大值 - 关键字,数字。长整型
- shared_resources.allow_maximum - 此资源的并发用户数已有限制。如果为 True,则忽略 MaximumAllowed 属性中的值。
允许 root - 关键字,文本。文本
- authorizations.allow_root - 标记顶级密钥
允许签名已启用 - 关键字,数字。长整型
- alf.allow_signed_enabled - 如果启用了允许签名模式,则为 1,否则为 0
环境亮度已启用 - 关键字,文本。文本
- connected_displays.ambient_brightness_enabled - 与显示器关联的环境亮度设置。如果启用,则为 1,如果禁用或不支持,则为 0。
AMI ID - 关键字,文本。文本
- ec2_instance_metadata.ami_id - 用于启动此 EC2 实例的 AMI ID
电流强度 - 关键字,数字。长整型
- battery.amperage - 电池的当前电流强度,单位为 mA
匿名 - 关键字,数字。长整型
- virtual_memory_info.anonymous - 匿名页面总数。
反间谍软件 - 关键字,文本。文本
- windows_security_center.antispyware - 已弃用(始终为“良好”)。
防病毒软件 - 关键字,文本。文本
- windows_security_center.antivirus - 受监控的防病毒解决方案的运行状况(请参阅 windows_security_products)
API 版本 - 关键字,文本。文本
- docker_version.api_version - API 版本
应用程序名称 - 关键字,文本。文本
- windows_firewall_rules.app_name - 规则适用的应用程序的友好名称
AppArmor - 关键字,文本。文本
- apparmor_events.apparmor - AppArmor 状态,如允许、拒绝等。
AppleScript 已启用 - 关键字,文本。文本
- apps.applescript_enabled - 信息属性 NSAppleScriptEnabled 标签
应用程序 - 关键字,文本。文本
- office_mru.application - 关联的 Office 应用程序
架构 - 关键字,文本。文本
- deb_packages.arch - 软件包架构
- docker_version.arch - 硬件架构
- os_version.arch - 操作系统架构
- rpm_packages.arch - 支持的架构
- seccomp_events.arch - 有关 CPU 架构的信息
- signature.arch - 如果适用,则为已签名代码的架构
架构 - 关键字,文本。文本
- docker_info.architecture - 硬件架构
- ec2_instance_metadata.architecture - 此 EC2 实例的硬件架构
- lxd_images.architecture - 镜像的目标架构
- lxd_instances.architecture - 实例架构
架构 - 关键字,文本。文本
- apt_sources.architectures - 存储库架构
参数 - 关键字,文本。文本
- startup_items.args - 提供给启动可执行文件的参数
参数 - 关键字,文本。文本
- kernel_info.arguments - 内核参数
阵列句柄 - 关键字,文本。文本
- memory_devices.array_handle - 内存设备连接到的内存阵列
评估已启用 - 关键字,数字。长整型
- gatekeeper.assessments_enabled - 如果启用了 Gatekeeper,则为 1,否则为 0
资产标签 - 关键字,文本。文本
- memory_devices.asset_tag - 内存设备的制造商特定资产标签
atime - 关键字,数字。长整型
- device_file.atime - 上次访问时间
- file.atime - 上次访问时间
- file_events.atime - 上次访问时间
- process_events.atime - 文件上次访问时间(UNIX 时间)
- shared_memory.atime - 附加时间
附加 - 关键字,文本。文本
- apparmor_profiles.attach - 配置文件将附加到的可执行文件。
已附加 - 关键字,数字。长整型
- shared_memory.attached - 附加进程数
属性 - 关键字,文本。文本
- file.attributes - 文件属性字符串。请参阅:https://ss64.com/nt/attrib.html
声音警报 - 关键字,文本。文本
- chassis_info.audible_alarm - 如果为 TRUE,则框架配备了声音警报。
审核帐户登录 - 关键字,数字。长整型
- security_profile_info.audit_account_logon - 确定操作系统是否必须在每次此计算机验证帐户凭据时进行审核
审核帐户管理 - 关键字,数字。长整型
- security_profile_info.audit_account_manage - 确定操作系统是否必须审核计算机上帐户管理的每个事件
audit_ds_access - 关键字,数字.长整数
- security_profile_info.audit_ds_access - 确定操作系统是否必须审核用户尝试访问具有其自身系统访问控制列表 (SACL) 的 Active Directory 对象的每个实例
audit_logon_events - 关键字,数字.长整数
- security_profile_info.audit_logon_events - 确定操作系统是否必须审核用户尝试登录或注销此计算机的每个实例
audit_object_access - 关键字,数字.长整数
- security_profile_info.audit_object_access - 确定操作系统是否必须审核用户尝试访问具有其自身 SACL 指定的非 Active Directory 对象的每个实例
audit_policy_change - 关键字,数字.长整数
- security_profile_info.audit_policy_change - 确定操作系统是否必须审核用户尝试更改用户权限分配策略、审核策略、帐户策略或信任策略的每个实例
audit_privilege_use - 关键字,数字.长整数
- security_profile_info.audit_privilege_use - 确定操作系统是否必须审核用户尝试行使用户权限的每个实例
audit_process_tracking - 关键字,数字.长整数
- security_profile_info.audit_process_tracking - 确定操作系统是否必须审核与进程相关的事件
audit_system_events - 关键字,数字.长整数
- security_profile_info.audit_system_events - 确定操作系统是否必须审核系统更改、系统启动、系统关闭、身份验证组件加载以及安全事件的丢失或过多
auid - 关键字
- process_events.auid - 进程启动时的审核用户 ID
- process_file_events.auid - 使用该文件的进程的审核用户 ID
- seccomp_events.auid - 启动已分析进程的用户的审核用户 ID (loginuid)
- socket_events.auid - 审核用户 ID
- user_events.auid - 审核用户 ID
authenticate_user - 关键字,文本.文本
- authorizations.authenticate_user - 标记顶级键
authentication_package - 关键字,文本.文本
- logon_sessions.authentication_package - 用于对登录会话的所有者进行身份验证的身份验证包。
author - 关键字,文本.文本
- chocolatey_packages.author - 可选的软件包作者
- chrome_extensions.author - 可选的扩展程序作者
- npm_packages.author - 软件包提供的作者
- python_packages.author - 可选的软件包作者
- safari_extensions.author - 可选的扩展程序作者
authority - 关键字,文本.文本
- signature.authority - 证书通用名称
authority_key_id - 关键字,文本.文本
- certificates.authority_key_id - AKID,一个可选包含的 SHA1
authority_key_identifier - 关键字,文本.文本
- curl_certificate.authority_key_identifier - 授权密钥标识符
authorizations - 关键字,文本.文本
- keychain_acls.authorizations - 一组以空格分隔的授权属性
auto_join - 关键字,数字.长整数
- wifi_networks.auto_join - 如果此网络设置为自动加入,则为 1,否则为 0
auto_login - 关键字,数字.长整数
- wifi_networks.auto_login - 如果启用了自动登录,则为 1,否则为 0
auto_update - 关键字,数字.长整数
- lxd_images.auto_update - 图像是否自动更新 (1) 或不更新 (0)
autoupdate - 关键字
- firefox_addons.autoupdate - 如果附加组件应用后台更新,则为 1,否则为 0
- windows_security_center.autoupdate - Windows 自动更新功能的运行状况
availability - 关键字,文本.文本
- cpu_info.availability - CPU 的可用性和状态。
availability_zone - 关键字,文本.文本
- ec2_instance_metadata.availability_zone - 启动此实例的可用区
average - 关键字,文本.文本
- load_average.average - 指定时间段内的平均负载。
average_memory - 关键字,数字.长整数
- osquery_schedule.average_memory - 收集结果后剩余分配的驻留内存字节数的平均值
avg_disk_bytes_per_read - 关键字,数字.长整数
- physical_disk_performance.avg_disk_bytes_per_read - 读取操作期间从磁盘传输的平均字节数
avg_disk_bytes_per_write - 关键字,数字.长整数
- physical_disk_performance.avg_disk_bytes_per_write - 写入操作期间传输到磁盘的平均字节数
avg_disk_read_queue_length - 关键字,数字.长整数
- physical_disk_performance.avg_disk_read_queue_length - 在采样间隔期间为所选磁盘排队的平均读取请求数
avg_disk_sec_per_read - 关键字,数字.长整数
- physical_disk_performance.avg_disk_sec_per_read - 从磁盘读取数据的平均时间(以秒为单位)
avg_disk_sec_per_write - 关键字,数字.长整数
- physical_disk_performance.avg_disk_sec_per_write - 将数据写入磁盘的平均时间(以秒为单位)
avg_disk_write_queue_length - 关键字,数字.长整数
- physical_disk_performance.avg_disk_write_queue_length - 在采样间隔期间为所选磁盘排队的平均写入请求数
backup_date - 关键字,数字.长整数
- time_machine_backups.backup_date - 备份日期
bank_locator - 关键字,文本.文本
- memory_devices.bank_locator - 用于标识内存设备所在物理标记的插槽的字符串编号
base64 - 关键字,数字.长整数
- extended_attributes.base64 - 如果该值为 base64 编码,则为 1,否则为 0
base_image - 关键字,文本.文本
- lxd_instances.base_image - 用于启动此实例的映像 ID
base_uri - 关键字,文本.文本
- apt_sources.base_uri - 存储库基本 URI
baseurl - 关键字,文本.文本
- yum_sources.baseurl - 存储库基本 URL
basic_constraint - 关键字,文本.文本
- curl_certificate.basic_constraint - 基本约束
binary_queue - 关键字,数字.长整数
- carbon_black_info.binary_queue - 等待发送到 Carbon Black 服务器的二进制文件的大小(以字节为单位)
bitmap_chunk_size - 关键字,文本.文本
- md_devices.bitmap_chunk_size - 位图块大小
bitmap_external_file - 关键字,文本.文本
- md_devices.bitmap_external_file - 外部引用的位图文件
bitmap_on_mem - 关键字,文本.文本
- md_devices.bitmap_on_mem - 如果启用,则在内存位图中分配的页面
block - 关键字,文本.文本
- ssh_configs.block - 主机或匹配块
block_size - 关键字,数字.长整数
- block_devices.block_size - 块大小(以字节为单位)
- device_file.block_size - 文件系统的块大小
- file.block_size - 文件系统的块大小
blocks - 关键字,数字.长整数
- device_partitions.blocks - 块数
- mounts.blocks - 已安装设备使用的块
blocks_available - 关键字,数字.长整数
- mounts.blocks_available - 已安装设备可用的块
blocks_free - 关键字,数字.长整数
- mounts.blocks_free - 已安装设备的空闲块
blocks_size - 关键字,数字.长整数
- device_partitions.blocks_size - 每个块的字节大小
- mounts.blocks_size - 块大小(以字节为单位)
bluetooth_sharing - 关键字,数字.长整数
- sharing_preferences.bluetooth_sharing - 如果为任何用户启用了蓝牙共享,则为 1,否则为 0
board_model - 关键字,文本.文本
- system_info.board_model - 主板型号
board_serial - 关键字,文本.文本
- system_info.board_serial - 主板序列号
board_vendor - 关键字,文本.文本
- system_info.board_vendor - 主板供应商
board_version - 关键字,文本.文本
- system_info.board_version - 主板版本
boot_partition - 关键字,数字.长整数
- logical_drives.boot_partition - 如果 Windows 从此驱动器启动,则为 True。
boot_uuid - 关键字,文本.文本
- ibridge_info.boot_uuid - iBridge 控制器的启动 UUID
bp_microcode_disabled - 关键字,数字.长整数
- kva_speculative_info.bp_microcode_disabled - 由于缺少微代码更新,分支预测被禁用。
bp_mitigations - 关键字,数字.长整数
- kva_speculative_info.bp_mitigations - 分支预测缓解措施已启用。
bp_system_pol_disabled - 关键字,数字.长整数
- kva_speculative_info.bp_system_pol_disabled - 已通过系统策略禁用了分支预测。
breach_description - 关键字,文本.文本
- chassis_info.breach_description - 如果提供,则提供对检测到的安全漏洞的更详细描述。
bridge_nf_ip6tables - 关键字,数字.长整数
- docker_info.bridge_nf_ip6tables - 如果启用了桥接 netfilter ip6tables,则为 1。否则为 0
bridge_nf_iptables - 关键字,数字.长整数
- docker_info.bridge_nf_iptables - 如果启用了桥接 netfilter iptables,则为 1。否则为 0
broadcast - 关键字,文本.文本
- interface_addresses.broadcast - 接口的广播地址
browser_type - 关键字,文本.文本
- chrome_extension_content_scripts.browser_type - 浏览器类型(有效值:chrome、chromium、opera、yandex、brave)
- chrome_extensions.browser_type - 浏览器类型(有效值:chrome、chromium、opera、yandex、brave、edge、edge_beta)
bsd_flags - 关键字,文本.文本
- file.bsd_flags - BSD 文件标志(chflags)。可能的值:NODUMP、UF_IMMUTABLE、UF_APPEND、OPAQUE、HIDDEN、ARCHIVED、SF_IMMUTABLE、SF_APPEND
bssid - 关键字,text.text
- wifi_status.bssid - 当前基本服务集标识符
- wifi_survey.bssid - 当前基本服务集标识符
btime - 关键字,number.long
- file.btime - (B)irth 或 (cr)eate 时间
- process_events.btime - UNIX 时间下的文件创建时间
buffers - 关键字,number.long
- memory_info.buffers - 用于文件缓冲区的物理 RAM 量(以字节为单位)
build - 关键字,text.text
- os_version.build - 可选的特定于构建或变体的字符串
build_distro - 关键字,text.text
- osquery_info.build_distro - osquery 工具包平台发行版名称(操作系统版本)
build_id - 关键字,text.text
- sandboxes.build_id - 沙盒特定的标识符
build_number - 关键字,number.long
- windows_crashes.build_number - 崩溃机器的 Windows 内部版本号
build_platform - 关键字,text.text
- osquery_info.build_platform - osquery 工具包构建平台
build_time - 关键字,text.text
- docker_version.build_time - 构建时间
- portage_packages.build_time - 软件包构建时的 Unix 时间
bundle_executable - 关键字,text.text
- apps.bundle_executable - 信息属性 CFBundleExecutable 标签
bundle_identifier - 关键字,text.text
- apps.bundle_identifier - 信息属性 CFBundleIdentifier 标签
- running_apps.bundle_identifier - 应用程序的包标识符
bundle_name - 关键字,text.text
- apps.bundle_name - 信息属性 CFBundleName 标签
bundle_package_type - 关键字,text.text
- apps.bundle_package_type - 信息属性 CFBundlePackageType 标签
bundle_path - 关键字,text.text
- sandboxes.bundle_path - 沙盒使用的应用程序包
- system_extensions.bundle_path - 系统扩展包路径
bundle_short_version - 关键字,text.text
- apps.bundle_short_version - 信息属性 CFBundleShortVersionString 标签
bundle_version - 关键字,text.text
- apps.bundle_version - 信息属性 CFBundleVersion 标签
- safari_extensions.bundle_version - 标识包迭代的构建版本
busy_state - 关键字,number.long
- iokit_devicetree.busy_state - 如果设备处于繁忙状态,则为 1,否则为 0
- iokit_registry.busy_state - 如果节点处于繁忙状态,则为 1,否则为 0
bytes - 关键字,number.long
- curl.bytes - 响应中的字节数
- iptables.bytes - 此规则的匹配字节数。
bytes_available - 关键字,number.long
- time_machine_destinations.bytes_available - 卷上的可用字节数
bytes_received - 关键字,number.long
- lxd_networks.bytes_received - 此网络上接收的字节数
bytes_sent - 关键字,number.long
- lxd_networks.bytes_sent - 此网络上发送的字节数
bytes_used - 关键字,number.long
- time_machine_destinations.bytes_used - 卷上已使用的字节数
ca - 关键字,number.long
- certificates.ca - 如果 CA:true(证书是颁发机构),则为 1,否则为 0
cache_path - 关键字,text.text
- quicklook_cache.cache_path - 缓存数据的路径
cached - 关键字,number.long
- lxd_images.cached - 图像是否已缓存(1)或未缓存(0)
- memory_info.cached - 用作缓存的物理 RAM 量(以字节为单位)
capability - 关键字,number.long
- apparmor_events.capability - 功能编号
capname - 关键字,text.text
- apparmor_events.capname - 进程请求的功能
caption - 关键字,text.text
- patches.caption - 补丁的简短描述。
- windows_optional_features.caption - 设置 UI 中功能的标题
captive_login_date - 关键字,number.long
- wifi_networks.captive_login_date - 此网络登录到强制门户的时间(以 unix_time 表示)
captive_portal - 关键字,number.long
- wifi_networks.captive_portal - 如果此网络具有强制门户,则为 1,否则为 0
carve - 关键字,number.long
- carves.carve - 将此值设置为 *1* 以启动文件分割
carve_guid - 关键字,text.text
- carves.carve_guid - 分割会话的标识值
category - 关键字,text.text
- apps.category - 为 App Store 对应用程序进行分类的 UTI
- file_events.category - 配置中定义的文件类别
- ntfs_journal_events.category - 事件来源类别
- power_sensors.category - 传感器类别:电流、电压、功率
- system_extensions.category - 系统扩展类别
- unified_log.category - 使用的 os_log_t 的类别
- yara_events.category - 文件的类别
cdhash - 关键字,text.text
- es_process_events.cdhash - 进程的代码签名哈希
- signature.cdhash - 应用程序代码目录的哈希
celsius - 关键字,number.double
- temperature_sensors.celsius - 摄氏温度
certificate - 关键字,text.text
- lxd_certificates.certificate - 证书内容
cgroup_driver - 关键字,text.text
- docker_info.cgroup_driver - 控制组驱动程序
cgroup_namespace - 关键字,text.text
- docker_containers.cgroup_namespace - cgroup 命名空间
- process_namespaces.cgroup_namespace - cgroup 命名空间 inode
cgroup_path - 关键字,text.text
- processes.cgroup_path - 进程控制组的完整层次路径
chain - 关键字,text.text
- iptables.chain - 模块内容的大小。
change_type - 关键字,text.text
- docker_container_fs_changes.change_type - 更改类型:C:已修改,A:已添加,D:已删除
channel - 关键字
- wifi_status.channel - 信道号
- wifi_survey.channel - 信道号
- windows_eventlog.channel - 事件的来源或渠道
channel_band - 关键字,number.long
- wifi_status.channel_band - 信道频段
- wifi_survey.channel_band - 信道频段
channel_width - 关键字,number.long
- wifi_status.channel_width - 信道宽度
- wifi_survey.channel_width - 信道宽度
charged - 关键字,number.long
- battery.charged - 如果电池当前已充满电,则为 1。否则为 0
charging - 关键字,number.long
- battery.charging - 如果电池当前正在由电源充电,则为 1。否则为 0
chassis_types - 关键字,text.text
- chassis_info.chassis_types - 以逗号分隔的机箱类型列表,例如台式机或笔记本电脑。
check_array_finish - 关键字,text.text
- md_devices.check_array_finish - 检查阵列活动的估计持续时间
check_array_progress - 关键字,text.text
- md_devices.check_array_progress - 检查阵列活动的进度
check_array_speed - 关键字,text.text
- md_devices.check_array_speed - 检查阵列活动的速度
checksum - 关键字,text.text
- disk_events.checksum - 如果可用,则为 UDIF 主校验和 (CRC32)
child_pid - 关键字,number.long
- es_process_events.child_pid - 在 fork 事件情况下,子进程的进程 ID
chunk_size - 关键字,number.long
- md_devices.chunk_size - 块大小(以字节为单位)
cid - 关键字,number.long
- bpf_process_events.cid - Cgroup ID
- bpf_socket_events.cid - Cgroup ID
class - 关键字,text.text
- authorizations.class - 标签顶级键
- drivers.class - 设备/驱动程序类名
- iokit_devicetree.class - 最佳匹配设备类别(最具体的类别)
- iokit_registry.class - 最佳匹配设备类别(最具体的类别)
- usb_devices.class - USB 设备类别
- wmi_cli_event_consumers.class - 类的名称。
- wmi_event_filters.class - 类的名称。
- wmi_filter_consumer_binding.class - 类的名称。
- wmi_script_event_consumers.class - 类的名称。
clear_text_password - 关键字,number.long
- security_profile_info.clear_text_password - 确定是否必须使用可逆加密存储密码
client_app_id - 关键字,text.text
- windows_update_history.client_app_id - 处理更新的客户端应用程序的标识符
client_site_name - 关键字,text.text
- ntdomains.client_site_name - 配置了域控制器的站点的名称。
cloud_id - 关键字,text.text
- ycloud_instance_metadata.cloud_id - 虚拟机的云标识符
cmdline - 关键字,text.text
- bpf_process_events.cmdline - 命令行参数
- docker_container_processes.cmdline - 完整的 argv
- es_process_events.cmdline - 命令行参数 (argv)
- process_etw_events.cmdline - 命令行
- process_events.cmdline - 命令行参数 (argv)
- processes.cmdline - 完整的 argv
cmdline_count - 关键字,number.long
- es_process_events.cmdline_count - 命令行参数的数量
cmdline_size - 关键字,number.long
- process_events.cmdline_size - 命令行参数的实际大小(字节)
code - 关键字,text.text
- seccomp_events.code - seccomp 操作
code_integrity_policy_enforcement_status - 关键字,text.text
- hvci_status.code_integrity_policy_enforcement_status - 代码完整性策略实施设置的状态。如果遇到错误,则返回 UNKNOWN。
codename - 关键字,text.text
- os_version.codename - 操作系统版本代号
codesigning_flags - 关键字,text.text
- es_process_events.codesigning_flags - 代码签名标志,与以下选项之一匹配,以逗号分隔的列表形式:NOT_VALID、ADHOC、NOT_RUNTIME、INSTALLER。有关说明,请参阅 XNU 中的 kern/cs_blobs.h。
collect_cross_processes - 关键字,number.long
- carbon_black_info.collect_cross_processes - 传感器是否配置为跨进程事件
collect_data_file_writes - 关键字,number.long
- carbon_black_info.collect_data_file_writes - 传感器是否配置为收集非二进制文件写入
collect_emet_events - 关键字,number.long
- carbon_black_info.collect_emet_events - 传感器是否配置为 EMET 事件
collect_file_mods - 关键字,number.long
- carbon_black_info.collect_file_mods - 传感器是否配置为收集文件修改事件
collect_module_info - 关键字,number.long
- carbon_black_info.collect_module_info - 传感器是否配置为收集二进制文件的元数据
collect_module_loads - 关键字,number.long
- carbon_black_info.collect_module_loads - 传感器是否配置为捕获模块加载
collect_net_conns - 关键字,number.long
- carbon_black_info.collect_net_conns - 传感器是否配置为收集网络连接
collect_process_user_context - 关键字,number.long
- carbon_black_info.collect_process_user_context - 传感器是否配置为收集运行进程的用户
collect_processes - 关键字,number.long
- carbon_black_info.collect_processes - 传感器是否配置为处理事件
collect_reg_mods - 关键字,number.long
- carbon_black_info.collect_reg_mods - 传感器是否配置为收集注册表修改事件
collect_sensor_operations - 关键字,number.long
- carbon_black_info.collect_sensor_operations - 未知
collect_store_files - 关键字,number.long
- carbon_black_info.collect_store_files - 传感器是否配置为将二进制文件发送回 Carbon Black 服务器
collisions - 关键字,number.long
- interface_details.collisions - 检测到的数据包冲突
color_depth - 关键字,number.long
- video_info.color_depth - 每像素表示颜色的位数。
comm - 关键字,text.text
- apparmor_events.comm - 用于调用已分析进程的命令的命令行名称
- seccomp_events.comm - 用于调用已分析进程的命令的命令行名称
command - 关键字,text.text
- crontab.command - 原始命令字符串
- docker_containers.command - 带参数的命令
- shell_history.command - 未解析的日期/行/命令历史记录行
command_line - 关键字,text.text
- windows_crashes.command_line - 传递给崩溃进程的命令行字符串
command_line_template - 关键字,text.text
- wmi_cli_event_consumers.command_line_template - 指定要启动的进程的标准字符串模板。此属性可以为 NULL,并且 ExecutablePath 属性用作命令行。
comment - 关键字,text.text
- authorizations.comment - 标记顶级键
- authorized_keys.comment - 可选注释
- docker_image_history.comment - 指令注释
- etc_protocols.comment - 带有协议描述的注释
- etc_services.comment - 服务的可选注释。
- groups.comment - 与组关联的备注或注释
- keychain_items.comment - 可选的钥匙串注释
common_name - 关键字,text.text
- certificates.common_name - 证书通用名称
- curl_certificate.common_name - 颁发给公司的通用名称
compat - 关键字,number.long
- seccomp_events.compat - 系统调用是否处于兼容模式
compiler - 关键字,text.text
- apps.compiler - 信息属性 DTCompiler 标签
completed_time - 关键字,number.long
- cups_jobs.completed_time - 作业完成打印的时间
components - 关键字,text.text
- apt_sources.components - 存储库组件
compressed - 关键字,number.long
- virtual_memory_info.compressed - 已被 VM 压缩器压缩的页面总数。
compressor - 关键字,number.long
- virtual_memory_info.compressor - 用于存储压缩 VM 页面的页面数。
computer_name - 关键字,text.text
- system_info.computer_name - 友好计算机名(可选)
- windows_eventlog.computer_name - 生成事件的系统的主机名
- windows_events.computer_name - 生成事件的系统的主机名
condition - 关键字,text.text
- battery.condition - 以下之一:“正常”表示电池状况在正常公差范围内,“需要维修”表示应由授权的 Mac 维修服务机构检查电池,“永久故障”表示电池需要更换
config_entrypoint - 关键字,text.text
- docker_containers.config_entrypoint - 容器入口点
config_flag - 关键字,text.text
- sip_config.config_flag - 系统完整性保护配置标志
config_hash - 关键字,text.text
- osquery_info.config_hash - 工作配置状态的哈希值
config_name - 关键字,text.text
- carbon_black_info.config_name - 传感器组
config_valid - 关键字,number.long
- osquery_info.config_valid - 如果加载配置并认为有效,则为 1,否则为 0
config_value - 关键字,text.text
- system_controls.config_value - 在 /etc/sysctl.conf 中设置的 MIB 值
configured_clock_speed - 关键字,number.long
- memory_devices.configured_clock_speed - 内存设备的配置速度,以兆字节/秒 (MT/s) 为单位
configured_voltage - 关键字,number.long
- memory_devices.configured_voltage - 设备的配置工作电压,以毫伏为单位
connection_id - 关键字,text.text
- interface_details.connection_id - 网络连接的名称,如网络连接控制面板程序中所示。
connection_status - 关键字,text.text
- interface_details.connection_status - 网络适配器与网络的连接状态。
connection_type - 关键字,text.text
- connected_displays.connection_type - 与显示器关联的连接类型。
consistency_scan_date - 关键字,number.long
- time_machine_destinations.consistency_scan_date - 一致性扫描日期
consumer - 关键字,text.text
- wmi_filter_consumer_binding.consumer - 对 __EventConsumer 实例的引用,该实例表示逻辑使用者(事件的接收者)的对象路径。
containers - 关键字,number.long
- docker_info.containers - 容器总数
containers_paused - 关键字,number.long
- docker_info.containers_paused - 处于暂停状态的容器数量
containers_running - 关键字,number.long
- docker_info.containers_running - 当前正在运行的容器数量
containers_stopped - 关键字,number.long
- docker_info.containers_stopped - 处于停止状态的容器数量
content - 关键字,text.text
- disk_events.content - 磁盘事件内容
content_caching - 关键字,number.long
- sharing_preferences.content_caching - 如果启用内容缓存,则为 1,否则为 0
content_type - 关键字,text.text
- package_install_history.content_type - 软件包内容类型(可选)
conversion_status - 关键字,number.long
- bitlocker_info.conversion_status - 驱动器的 BitLocker 转换状态。
coprocessor_version - 关键字,text.text
- ibridge_info.coprocessor_version - 制造商和芯片版本
copy - 关键字,number.long
- virtual_memory_info.copy - 写入时复制的页面总数。
copyright - 关键字,text.text
- apps.copyright - 信息属性 NSHumanReadableCopyright 标签
- safari_extensions.copyright - 包的人类可读版权声明
core - 关键字,number.long
- cpu_time.core - CPU(核心)的名称
cosine_similarity - 关键字,number.double
- powershell_events.cosine_similarity - PowerShell 脚本与提供的*正常*字符频率的相似程度
count - 关键字,number.long
- userassist.count - 应用程序已执行的次数。
- yara.count - YARA 匹配的数量
- yara_events.count - YARA 匹配的数量
country_code - 关键字,text.text
- wifi_status.country_code - 网络的国家/地区代码 (ISO/IEC 3166-1:1997)
- wifi_survey.country_code - 网络的国家/地区代码 (ISO/IEC 3166-1:1997)
cpu - 关键字,number.double
- docker_container_processes.cpu - CPU 利用率(百分比)
cpu_brand - 关键字,text.text
- system_info.cpu_brand - CPU 品牌字符串,包含供应商和型号
cpu_cfs_period - 关键字,number.long
- docker_info.cpu_cfs_period - 如果启用了 CPU 完全公平调度器 (CFS) 周期支持,则为 1。否则为 0
cpu_cfs_quota - 关键字,number.long
- docker_info.cpu_cfs_quota - 如果启用了 CPU 完全公平调度器 (CFS) 配额支持,则为 1。否则为 0
cpu_kernelmode_usage - 关键字,number.long
- docker_container_stats.cpu_kernelmode_usage - CPU 内核模式使用率
cpu_logical_cores - 关键字,number.long
- system_info.cpu_logical_cores - 系统可用的逻辑 CPU 核心数
cpu_microcode - 关键字,text.text
- system_info.cpu_microcode - 微代码版本
cpu_physical_cores - 关键字,number.long
- system_info.cpu_physical_cores - 系统中的物理 CPU 核心数
cpu_pred_cmd_supported - 关键字,number.long
- kva_speculative_info.cpu_pred_cmd_supported - CPU 微代码支持的 PRED_CMD MSR。
cpu_set - 关键字,number.long
- docker_info.cpu_set - 如果启用了 CPU 集选择支持,则为 1。否则为 0
cpu_shares - 关键字,number.long
- docker_info.cpu_shares - 如果启用了 CPU 共享权重支持,则为 1。否则为 0
cpu_sockets - 关键字,number.long
- system_info.cpu_sockets - 系统中的处理器插槽数
cpu_spec_ctrl_supported - 关键字,number.long
- kva_speculative_info.cpu_spec_ctrl_supported - CPU 微代码支持的 SPEC_CTRL MSR。
cpu_status - 关键字,number.long
- cpu_info.cpu_status - CPU 的当前运行状态。
cpu_subtype - 关键字
- processes.cpu_subtype - 指示可以使用条目的特定处理器。
- system_info.cpu_subtype - CPU 子类型
cpu_total_usage - 关键字,number.long
- docker_container_stats.cpu_total_usage - CPU 总使用率
cpu_type - 关键字
- processes.cpu_type - 指示为安装设计的特定处理器。
- system_info.cpu_type - CPU 类型
cpu_usermode_usage - 关键字,number.long
- docker_container_stats.cpu_usermode_usage - CPU 用户模式使用率
cpus - 关键字,number.long
- docker_info.cpus - CPU 数量
crash_path - 关键字,text.text
- crashes.crash_path - 日志文件的位置
- windows_crashes.crash_path - 日志文件的路径
crashed_thread - 关键字,number.long
- crashes.crashed_thread - 崩溃的线程 ID
created - 关键字,text.text
- authorizations.created - 标签顶级密钥
- docker_containers.created - 创建时间(UNIX 时间)
- docker_image_history.created - 创建时间(UNIX 时间)
- docker_images.created - 创建时间(UNIX 时间)
- docker_networks.created - 创建时间(UNIX 时间)
- keychain_items.created - 项目创建日期
created_at - 关键字,text.text
- lxd_images.created_at - 镜像创建的 ISO 时间
- lxd_instances.created_at - 创建的 ISO 时间
created_by - 关键字,text.text
- docker_image_history.created_by - 由指令创建
created_time - 关键字,number.long
- shellbags.created_time - 目录创建时间。
creation_time - 关键字
- account_policy_data.creation_time - 帐户首次创建的时间
- cups_jobs.creation_time - 发起打印请求的时间
creator - 关键字,text.text
- firefox_addons.creator - 附加组件支持的创建者字符串
creator_pid - 关键字,number.long
- shared_memory.creator_pid - 创建段的进程 ID
creator_uid - 关键字,number.long
- shared_memory.creator_uid - 创建者进程的用户 ID
csname - 关键字,text.text
- patches.csname - 安装了补丁程序的主机名称。
ctime - 关键字
- device_file.ctime - 创建时间
- file.ctime - 上次状态更改时间
- file_events.ctime - 上次状态更改时间
- gatekeeper_approved_apps.ctime - 上次更改时间
- process_events.ctime - 文件上次元数据更改时间(UNIX 时间)
- shared_memory.ctime - 更改时间
current_capacity - 关键字,number.long
- battery.current_capacity - 电池当前充电容量 (mAh)
current_clock_speed - 关键字,number.long
- cpu_info.current_clock_speed - CPU 的当前频率。
current_directory - 关键字,text.text
- windows_crashes.current_directory - 崩溃进程的当前工作目录
current_disk_queue_length - 关键字,number.long
- physical_disk_performance.current_disk_queue_length - 收集性能数据时磁盘上未完成的请求数
current_locale - 关键字,text.text
- chrome_extensions.current_locale - 扩展程序支持的当前区域设置
current_value - 关键字,text.text
- system_controls.current_value - 设置值
cwd - 关键字,text.text
- bpf_process_events.cwd - 当前工作目录
- es_process_events.cwd - 进程当前工作目录
- process_events.cwd - 进程当前工作目录
- process_file_events.cwd - 进程的当前工作目录
- processes.cwd - 进程当前工作目录
cycle_count - 关键字,number.long
- battery.cycle_count - 充电/放电循环次数
data - 关键字,text.text
- magic.data - 来自 libmagic 的魔数数据
- registry.data - 注册表值的数据内容
- windows_eventlog.data - 与事件关联的数据
- windows_events.data - 与事件关联的数据
data_width - 关键字,number.long
- memory_devices.data_width - 此内存设备的数据宽度(以位为单位)
database - 关键字,number.long
- lxd_cluster_members.database - 服务器是否是数据库节点(1 表示是,0 表示否)
date - 关键字
- drivers.date - 驱动程序日期
- platform_info.date - 自行报告的平台代码更新日期
- windows_update_history.date - 应用更新的日期和时间
date_created - 关键字,number.long
- windows_search.date_created - 项目创建的 Unix 时间戳。
date_modified - 关键字,number.long
- windows_search.date_modified - 项目上次修改时间的 Unix 时间戳
datetime - 关键字,text.text
- crashes.datetime - 发生崩溃的日期/时间
- powershell_events.datetime - 发生 Powershell 脚本事件的系统时间
- process_etw_events.datetime - DATETIME 格式的事件时间戳
- syslog_events.datetime - syslog 已知的时间
- time.datetime - 当前日期和时间(ISO 格式),采用 UTC
- windows_crashes.datetime - 崩溃的时间戳(日志格式)
- windows_eventlog.datetime - 发生事件的系统时间
- windows_events.datetime - 发生事件的系统时间
day - 关键字,number.long
- time.day - UTC 中的当前日期
day_of_month - 关键字,text.text
- crontab.day_of_month - 作业的日期
day_of_week - 关键字,text.text
- crontab.day_of_week - 作业的星期几
days - 关键字,number.long
- uptime.days - 正常运行时间(天)
dc_site_name - 关键字,text.text
- ntdomains.dc_site_name - 域控制器所在站点的名称。
decompressed - 关键字,number.long
- virtual_memory_info.decompressed - VM 压缩器已解压缩的页面总数。
default_locale - 关键字,text.text
- chrome_extensions.default_locale - 扩展程序支持的默认区域设置
default_value - 关键字,text.text
- osquery_flags.default_value - 标志默认值
denied_mask - 关键字,text.text
- apparmor_events.denied_mask - 进程的拒绝权限
denylisted - 关键字,number.long
- osquery_schedule.denylisted - 如果查询被拒绝,则为 1,否则为 0
dependencies - 关键字,text.text
- kernel_panics.dependencies - 崩溃模块回溯中存在的模块依赖项
depth - 关键字,number.long
- iokit_devicetree.depth - 设备嵌套深度
- iokit_registry.depth - 节点嵌套深度
description - 关键字,text.text
- appcompat_shims.description - SDB 的描述。
- atom_packages.description - 软件包提供的描述
- browser_plugins.description - 插件描述文本
- chassis_info.description - 如果可用,则为机箱的扩展描述。
- chrome_extensions.description - 扩展程序可选描述
- disk_info.description - 操作系统对磁盘的描述。
- drivers.description - 驱动程序描述
- firefox_addons.description - 附加组件提供的描述字符串
- interface_details.description - 对象的简短描述,一行字符串。
- kernel_keys.description - 密钥描述。
- keychain_acls.description - ACL 条目中包含的描述
- keychain_items.description - 可选的项目描述
- logical_drives.description - 驱动器的规范描述,例如*逻辑固定磁盘*、*CD-ROM 磁盘*。
- lxd_images.description - 镜像描述
- lxd_instances.description - 实例描述
- npm_packages.description - 软件包提供的描述
- osquery_flags.description - 标志描述
- patches.description - 补丁的完整描述。
- safari_extensions.description - 可选的扩展程序描述文本
- services.description - 服务描述
- shared_resources.description - 对象的文本描述
- smbios_tables.description - 表条目描述
- systemd_units.description - 单元描述
- users.description - 可选的用户描述
- windows_update_history.description - 更新的描述
- ycloud_instance_metadata.description - 虚拟机的描述
designed_capacity - 关键字,number.long
- battery.designed_capacity - 电池的设计容量,单位为 mAh
dest_filename - 关键字,text.text
- es_process_file_events.dest_filename - 事件的目标文件名
dest_path - 关键字,text.text
- process_file_events.dest_path - 与事件关联的规范路径
destination - 关键字,text.text
- cups_jobs.destination - 作业发送到的打印机
- docker_container_mounts.destination - 容器内的目标路径
- routes.destination - 目标 IP 地址
destination_id - 关键字,text.text
- time_machine_backups.destination_id - Time Machine 目标 ID
- time_machine_destinations.destination_id - Time Machine 目标 ID
dev_id_enabled - 关键字,number.long
- gatekeeper.dev_id_enabled - 如果 Gatekeeper 允许来自已识别开发人员的执行,则为 1,否则为 0
developer_id - 关键字,text.text
- safari_extensions.developer_id - 可选的开发者标识符
- xprotect_meta.developer_id - 扩展程序的开发者身份(SHA1)
development_region - 关键字,text.text
- apps.development_region - 信息属性 CFBundleDevelopmentRegion 标签
- browser_plugins.development_region - 插件语言本地化
device - 关键字,text.text
- device_file.device - 设备节点的绝对文件路径
- device_firmware.device - 设备名称
- device_hash.device - 设备节点的绝对文件路径
- device_partitions.device - 设备节点的绝对文件路径
- disk_events.device - 磁盘事件 BSD 名称
- file.device - 设备 ID(可选)
- kernel_info.device - 内核设备标识符
- lxd_instance_devices.device - 设备名称
- mounts.device - 已挂载设备
- process_memory_map.device - MA:MI 主/次设备 ID
device_alias - 关键字,text.text
- mounts.device_alias - 已挂载设备别名
device_error_address - 关键字,text.text
- memory_error_info.device_error_address - 相对于故障内存地址起始地址的 32 位物理地址,单位为字节
device_id - 关键字,text.text
- bitlocker_info.device_id - 加密驱动器的 ID。
- cpu_info.device_id - CPU 的 DeviceID。
- drivers.device_id - 设备 ID
- logical_drives.device_id - 驱动器 ID,通常为驱动器名称,例如*C:*。
device_locator - 关键字,text.text
- memory_devices.device_locator - 字符串编号,用于标识内存设备所在的物理标记插槽或主板位置
device_name - 关键字,text.text
- drivers.device_name - 设备名称
- md_devices.device_name - md 设备名称
device_path - 关键字,text.text
- iokit_devicetree.device_path - 设备树路径
device_type - 关键字,text.text
- lxd_instance_devices.device_type - 设备类型
dhcp_enabled - 关键字,number.long
- interface_details.dhcp_enabled - 如果为 TRUE,则动态主机配置协议 (DHCP) 服务器会在建立网络连接时自动为计算机系统分配 IP 地址。
dhcp_lease_expires - 关键字,text.text
- interface_details.dhcp_lease_expires - 由动态主机配置协议 (DHCP) 服务器分配给计算机的租用 IP 地址的到期日期和时间。
dhcp_lease_obtained - 关键字,text.text
- interface_details.dhcp_lease_obtained - 由动态主机配置协议 (DHCP) 服务器分配给计算机的 IP 地址的租用日期和时间。
dhcp_server - 关键字,text.text
- interface_details.dhcp_server - 动态主机配置协议 (DHCP) 服务器的 IP 地址。
direction - 关键字,text.text
- windows_firewall_rules.direction - 规则适用的流量方向
directory - 关键字,text.text
- extended_attributes.directory - 文件的目录
- file.directory - 文件的目录
- hash.directory - 必须提供路径或目录
- npm_packages.directory - node_modules 所在的目录
- python_packages.directory - Python 模块所在的目录
- users.directory - 用户的主目录
disabled - 关键字
- browser_plugins.disabled - 插件是否已禁用。1 = 已禁用
- firefox_addons.disabled - 如果附加组件被应用程序禁用,则为 1,否则为 0
- launchd.disabled - 启动时跳过加载此守护程序或代理
- wifi_networks.disabled - 如果此网络已禁用,则为 1,否则为 0
disc_sharing - 关键字,number.long
- sharing_preferences.disc_sharing - 如果已启用 CD 或 DVD 共享,则为 1,否则为 0
disconnected - 关键字,number.long
- connectivity.disconnected - 如果所有接口均未连接到任何网络,则为 True
discovery_cache_hits - 关键字,number.long
- osquery_packs.discovery_cache_hits - 自上次重新加载配置以来,发现查询使用缓存值的次数
discovery_executions - 关键字,number.long
- osquery_packs.discovery_executions - 自上次重新加载配置以来,发现查询的执行次数
disk_bytes_read - 关键字,number.long
- processes.disk_bytes_read - 从磁盘读取的字节数
disk_bytes_written - 关键字,number.long
- processes.disk_bytes_written - 写入磁盘的字节数
disk_index - 关键字,number.long
- disk_info.disk_index - 磁盘的物理驱动器号。
disk_read - 关键字,number.long
- docker_container_stats.disk_read - 磁盘读取字节总数
disk_size - 关键字,number.long
- disk_info.disk_size - 磁盘的大小。
disk_write - 关键字,number.long
- docker_container_stats.disk_write - 磁盘写入字节总数
display_id - 关键字,text.text
- connected_displays.display_id - 显示器 ID。
display_name - 关键字,text.text
- apps.display_name - 信息属性 CFBundleDisplayName 标签
- services.display_name - 服务显示名称
display_type - 关键字,text.text
- connected_displays.display_type - 显示器类型。
dns_domain - 关键字,text.text
- interface_details.dns_domain - 组织名称后跟一个句点和一个表示组织类型的扩展名,例如*microsoft.com*。
dns_domain_name - 关键字,text.text
- logon_sessions.dns_domain_name - 登录会话所有者的 DNS 名称。
dns_domain_suffix_search_order - 关键字,text.text
- interface_details.dns_domain_suffix_search_order - DNS 域后缀数组,将在名称解析期间附加到主机名的末尾。
dns_forest_name - 关键字,text.text
- ntdomains.dns_forest_name - DNS 树根的名称。
dns_host_name - 关键字,text.text
- interface_details.dns_host_name - 用于标识本地计算机的主机名,供某些实用程序进行身份验证。
dns_server_search_order - 关键字,text.text
- interface_details.dns_server_search_order - 服务器 IP 地址数组,用于查询 DNS 服务器。
domain - 关键字,text.text
- ad_config.domain - Active Directory 信任域
- managed_policies.domain - 系统或管理员选择的域密钥
- preferences.domain - 应用程序 ID,通常采用 com.name.product 格式
domain_controller_address - 关键字,text.text
- ntdomains.domain_controller_address - 发现的域控制器的 IP 地址。
domain_controller_name - 关键字,text.text
- ntdomains.domain_controller_name - 发现的域控制器的名称。
domain_name - 关键字,text.text
- ntdomains.domain_name - 域的名称。
drive_letter - 关键字,text.text
- bitlocker_info.drive_letter - 加密驱动器的驱动器号。
- ntfs_journal_events.drive_letter - 用于标识源日志的驱动器号
drive_name - 关键字,text.text
- md_drives.drive_name - 驱动器设备名称
driver - 关键字,text.text
- docker_container_mounts.driver - 提供挂载的驱动程序
- docker_networks.driver - 网络驱动程序
- docker_volumes.driver - 卷驱动程序
- hardware_events.driver - 声明设备的驱动程序
- lxd_storage_pools.driver - 存储驱动程序
- pci_devices.driver - PCI 设备使用的驱动程序
- video_info.driver - 设备的驱动程序。
driver_date - 关键字,number.long
- video_info.driver_date - 安装的驱动程序上列出的日期。
driver_key - 关键字,text.text
- drivers.driver_key - 驱动程序密钥
driver_version - 关键字,text.text
- video_info.driver_version - 安装的驱动程序的版本。
dst_ip - 关键字,text.text
- iptables.dst_ip - 目标 IP 地址。
dst_mask - 关键字,text.text
- iptables.dst_mask - 目标 IP 地址掩码。
dst_port - 关键字,text.text
- iptables.dst_port - 协议目标端口。
dtime - 关键字,number.long
- shared_memory.dtime - 分离时间
dump_certificate - 关键字, number.long
- curl_certificate.dump_certificate - 将此值设置为 1 以便于转储证书
duration - 关键字, number.long
- bpf_process_events.duration - 在系统调用中花费的时间 (纳秒)
- bpf_socket_events.duration - 在系统调用中花费的时间 (纳秒)
eapi - 关键字, number.long
- portage_packages.eapi - ebuild 的 eapi
egid - 关键字
- docker_container_processes.egid - 有效组 ID
- es_process_events.egid - 进程的有效组 ID
- process_events.egid - 进程启动时的有效组 ID
- process_file_events.egid - 使用该文件的进程的有效组 ID
- processes.egid - 无符号有效组 ID
eid - 关键字, text.text
- apparmor_events.eid - 事件 ID
- bpf_process_events.eid - 事件 ID
- bpf_socket_events.eid - 事件 ID
- disk_events.eid - 事件 ID
- es_process_events.eid - 事件 ID
- es_process_file_events.eid - 事件 ID
- file_events.eid - 事件 ID
- hardware_events.eid - 事件 ID
- ntfs_journal_events.eid - 事件 ID
- process_etw_events.eid - 事件 ID
- process_events.eid - 事件 ID
- process_file_events.eid - 事件 ID
- selinux_events.eid - 事件 ID
- socket_events.eid - 事件 ID
- syslog_events.eid - 事件 ID
- user_events.eid - 事件 ID
- windows_events.eid - 事件 ID
- yara_events.eid - 事件 ID
ejectable - 关键字, number.long
- disk_events.ejectable - 如果可弹出则为 1,否则为 0
elapsed_time - 关键字, number.long
- processes.elapsed_time - 此进程已运行的 elapsed 时间(以秒为单位)。
element - 关键字, text.text
- apps.element - 应用程序是否标识为后台代理
elevated_token - 关键字, number.long
- processes.elevated_token - 进程使用提升的令牌,是=1,否=0
enable_admin_account - 关键字, number.long
- security_profile_info.enable_admin_account - 确定本地计算机上的管理员帐户是否已启用
enable_guest_account - 关键字, number.long
- security_profile_info.enable_guest_account - 确定本地计算机上的来宾帐户是否已启用
enable_ipv6 - 关键字, number.long
- docker_networks.enable_ipv6 - 如果在此网络上启用了 IPv6,则为 1。否则为 0
enabled - 关键字
- app_schemes.enabled - 如果此处理程序是操作系统默认值,则为 1,否则为 0
- event_taps.enabled - 事件 Tap 是否已启用
- interface_details.enabled - 指示适配器是否已启用。
- location_services.enabled - 如果启用了定位服务,则为 1,否则为 0
- lxd_cluster.enabled - 在此节点上是否启用了集群 (1) 或未启用 (0)
- sandboxes.enabled - 在容器上启用了应用程序沙箱
- scheduled_tasks.enabled - 计划任务是否已启用
- screenlock.enabled - 如果在睡眠或屏幕保护程序启动后需要密码,则为 1;否则为 0
- sip_config.enabled - 如果此配置已启用,则为 1,否则为 0
- tpm_info.enabled - TPM 已启用
- windows_firewall_rules.enabled - 如果规则已启用,则为 1
- yum_sources.enabled - 是否使用存储库
enabled_nvram - 关键字, number.long
- sip_config.enabled_nvram - 如果此配置已启用,则为 1,否则为 0
encrypted - 关键字, number.long
- disk_encryption.encrypted - 如果已加密,则为 1:true(磁盘已加密),否则为 0
- user_ssh_keys.encrypted - 如果密钥已加密,则为 1,否则为 0
encryption - 关键字, text.text
- time_machine_destinations.encryption - 上次已知的加密状态
encryption_method - 关键字, text.text
- bitlocker_info.encryption_method - 设备的加密类型。
encryption_status - 关键字, text.text
- disk_encryption.encryption_status - 磁盘加密状态,具有以下值之一:已加密 | 未加密 | 未定义
end - 关键字, text.text
- memory_map.end - 内存区域的结束地址
- process_memory_map.end - 虚拟结束地址(十六进制)
ending_address - 关键字, text.text
- memory_array_mapped_addresses.ending_address - 映射到物理内存阵列的一系列内存的最后 1 KB 的物理结束地址
- memory_device_mapped_addresses.ending_address - 映射到物理内存阵列的一系列内存的最后 1 KB 的物理结束地址
endpoint_id - 关键字, text.text
- docker_container_networks.endpoint_id - 端点 ID
entry - 关键字, text.text
- authorization_mechanisms.entry - 整个字符串条目
- shimcache.entry - 执行顺序。
env - 关键字, text.text
- es_process_events.env - 由空格分隔的环境变量
- process_events.env - 由空格分隔的环境变量
env_count - 关键字, number.long
- es_process_events.env_count - 环境变量的数量
- process_events.env_count - 环境变量的数量
env_size - 关键字, number.long
- process_events.env_size - 环境列表的实际大小(以字节为单位)
env_variables - 关键字, text.text
- docker_containers.env_variables - 容器环境变量
environment - 关键字, text.text
- apps.environment - 应用程序设置的环境变量
ephemeral - 关键字, number.long
- lxd_instances.ephemeral - 实例是否为临时实例 (1) 或非临时实例 (0)
epoch - 关键字, number.long
- rpm_packages.epoch - 软件包 epoch 值
error - 关键字, text.text
- apparmor_events.error - 错误信息
error_granularity - 关键字, text.text
- memory_error_info.error_granularity - 可以解决错误的粒度
error_operation - 关键字, text.text
- memory_error_info.error_operation - 导致错误的内存访问操作
error_resolution - 关键字, text.text
- memory_error_info.error_resolution - 给定错误地址时,可以在其中确定此错误的范围(以字节为单位)
error_type - 关键字, text.text
- memory_error_info.error_type - 与阵列或设备的当前错误状态关联的错误类型
euid - 关键字
- docker_container_processes.euid - 有效用户 ID
- es_process_events.euid - 进程的有效用户 ID
- process_events.euid - 进程启动时的有效用户 ID
- process_file_events.euid - 使用该文件的进程的有效用户 ID
- processes.euid - 无符号有效用户 ID
event - 关键字, text.text
- crontab.event - 作业 @event 名称(很少见)
event_queue - 关键字, number.long
- carbon_black_info.event_queue - 磁盘上 Carbon Black 事件文件的大小(以字节为单位)
event_tap_id - 关键字, number.long
- event_taps.event_tap_id - Tap 的唯一 ID
event_tapped - 关键字, text.text
- event_taps.event_tapped - 标识要观察的事件集的掩码。
event_type - 关键字, text.text
- es_process_events.event_type - EndpointSecurity 事件的类型
- es_process_file_events.event_type - EndpointSecurity 事件的类型
eventid - 关键字, number.long
- windows_eventlog.eventid - 事件的事件 ID
- windows_events.eventid - 事件的事件 ID
events - 关键字, number.long
- osquery_events.events - 自 osquery 启动以来已发出或接收的事件数
exception_address - 关键字, text.text
- windows_crashes.exception_address - 发生异常的地址(十六进制)
exception_code - 关键字, text.text
- windows_crashes.exception_code - Windows 异常代码
exception_codes - 关键字, text.text
- crashes.exception_codes - 崩溃的异常代码
exception_message - 关键字, text.text
- windows_crashes.exception_message - 与异常代码关联的 NTSTATUS 错误消息
exception_notes - 关键字, text.text
- crashes.exception_notes - 崩溃的异常注释
exception_type - 关键字, text.text
- crashes.exception_type - 崩溃的异常类型
exe - 关键字, text.text
- seccomp_events.exe - 用于调用已分析进程的可执行文件的路径
executable - 关键字, text.text
- appcompat_shims.executable - 正在填充的可执行文件的名称。这是从注册表中提取的。
- process_file_events.executable - 可执行文件路径
executable_path - 关键字, text.text
- wmi_cli_event_consumers.executable_path - 要执行的模块。该字符串可以指定要执行的模块的完整路径和文件名,也可以指定部分名称。如果指定了部分名称,则假定为当前驱动器和当前目录。
execution_flag - 关键字, number.long
- shimcache.execution_flag - 布尔执行标志,1 表示执行,0 表示不执行,-1 表示缺少(此标志在 Windows 10 及更高版本上不存在)。
executions - 关键字, number.long
- osquery_schedule.executions - 查询执行的次数
exit_code - 关键字, text.text
- bpf_process_events.exit_code - 系统调用的退出代码
- bpf_socket_events.exit_code - 系统调用的退出代码
- es_process_events.exit_code - 退出事件中进程的退出代码
- process_etw_events.exit_code - 退出代码 - 仅在 ProcessStop 事件中出现
expand - 关键字, number.long
- default_environment.expand - 如果变量需要扩展,则为 1,否则为 0
expire - 关键字, number.long
- shadow.expire - 自 UNIX 紀元日期到帐户被禁用的天数
expires_at - 关键字, text.text
- lxd_images.expires_at - 镜像到期的 ISO 时间
extended_key_usage - 关键字, text.text
- curl_certificate.extended_key_usage - 证书中密钥的扩展用途
extension_type - 关键字, text.text
- safari_extensions.extension_type - 扩展类型:WebOrAppExtension 或 LegacyExtension
extensions - 关键字, text.text
- osquery_info.extensions - osquery 扩展状态
external - 关键字, number.long
- app_schemes.external - 如果此处理程序默认情况下不存在于 macOS 上,则为 1,否则为 0
extra - 关键字, text.text
- asl.extra - 额外列,采用 JSON 格式。针对此列的查询完全在 SQLite 中执行,因此无法受益于 asl.h 提供的高效查询。
- os_version.extra - 可选的额外版本规范
- platform_info.extra - 特定于平台的附加信息
facility - 关键字,text.text
- asl.facility - 发送方的设施。默认为 user。
- syslog_events.facility - Syslog 设施
fahrenheit - 关键字,number.double
- temperature_sensors.fahrenheit - 华氏温度
failed_disks - 关键字,number.long
- md_devices.failed_disks - 阵列中故障磁盘的数量
failed_login_count - 关键字,number.long
- account_policy_data.failed_login_count - 使用错误密码的失败登录尝试次数。输入正确密码后计数重置。
failed_login_timestamp - 关键字,number.double
- account_policy_data.failed_login_timestamp - 上次失败登录尝试的时间。输入正确密码后重置
family - 关键字,number.long
- bpf_socket_events.family - 互联网协议族 ID
- listening_ports.family - 网络协议(IPv4、IPv6)
- process_open_sockets.family - 网络协议(IPv4、IPv6)
- socket_events.family - 互联网协议族 ID
fan - 关键字,text.text
- fan_speed_sensors.fan - 风扇编号
faults - 关键字,number.long
- virtual_memory_info.faults - 对 vm_faults 的调用总数。
fd - 关键字,text.text
- bpf_socket_events.fd - 进程套接字的文件描述符
- listening_ports.fd - 套接字文件描述符编号
- process_open_files.fd - 进程特定的文件描述符编号
- process_open_pipes.fd - 文件描述符
- process_open_sockets.fd - 套接字文件描述符编号
- socket_events.fd - 进程套接字的文件描述符
feature - 关键字,text.text
- cpuid.feature - 存在的特征标志
feature_control - 关键字,number.long
- msr.feature_control - 控制启用功能的位字段。
field_name - 关键字,text.text
- system_controls.field_name - 不透明类型的特定属性
file_attributes - 关键字,text.text
- ntfs_journal_events.file_attributes - 文件属性
file_backed - 关键字,number.long
- virtual_memory_info.file_backed - 文件支持页的总数。
file_id - 关键字,text.text
- file.file_id - 文件 ID
file_sharing - 关键字,number.long
- sharing_preferences.file_sharing - 如果启用文件共享,则为 1,否则为 0
file_system - 关键字,text.text
- logical_drives.file_system - 驱动器的文件系统。
file_version - 关键字,text.text
- file.file_version - 文件版本
filename - 关键字,text.text
- device_file.filename - 文件路径中的文件名部分
- es_process_file_events.filename - 事件的源文件名或目标文件名
- file.filename - 文件路径中的文件名部分
- lxd_images.filename - 镜像文件的文件名
- prefetch.filename - 可执行文件名。
- xprotect_entries.filename - 使用此文件名进行匹配
filepath - 关键字,text.text
- package_bom.filepath - 软件包文件或目录
filesystem - 关键字,text.text
- disk_events.filesystem - 文件系统(如果可用)
filetype - 关键字,text.text
- xprotect_entries.filetype - 使用此文件类型进行匹配
filevault_status - 关键字,text.text
- disk_encryption.filevault_status - FileVault 状态,值为以下之一:on | off | unknown
filter - 关键字,text.text
- wmi_filter_consumer_binding.filter - 对 __EventFilter 实例的引用,该实例表示事件筛选器的对象路径,该筛选器是一个指定要接收的事件类型的查询。
filter_name - 关键字,text.text
- iptables.filter_name - 数据包匹配筛选器表名称。
fingerprint - 关键字,text.text
- lxd_certificates.fingerprint - 证书的 SHA256 哈希值
finished_at - 关键字,text.text
- docker_containers.finished_at - 容器完成时间(字符串格式)
firewall - 关键字,text.text
- windows_security_center.firewall - 受监控防火墙的运行状况(请参阅 windows_security_products)
firewall_unload - 关键字,number.long
- alf.firewall_unload - 如果启用防火墙卸载,则为 1,否则为 0
firmware_type - 关键字,text.text
- platform_info.firmware_type - 固件类型(uefi、bios、iboot、openfirmware、unknown)。
firmware_version - 关键字,text.text
- ibridge_info.firmware_version - 固件的内部版本号
fix_comments - 关键字,text.text
- patches.fix_comments - 关于补丁的附加注释。
flag - 关键字,number.long
- shadow.flag - 保留
flags - 关键字
- device_partitions.flags -
- dns_cache.flags - DNS 记录标志
- interface_details.flags - 设备的标志(netdevice)
- kernel_keys.flags - 一组描述密钥状态的标志。
- mounts.flags - 已挂载设备的标志
- pipes.flags - 指示此管道连接是服务器端还是客户端端,以及管道是用于发送消息还是字节的标志
- process_etw_events.flags - 进程标志
- routes.flags - 描述路由的标志
folder_id - 关键字,text.text
- ycloud_instance_metadata.folder_id - 虚拟机的文件夹标识符
following - 关键字,text.text
- systemd_units.following - 此单元在状态中跟随的另一个单元的名称
force_logoff_when_expire - 关键字,number.long
- security_profile_info.force_logoff_when_expire - 确定当客户端的登录时间到期时,是否强制断开与 SMB 服务器的 SMB 客户端会话
forced - 关键字,number.long
- preferences.forced - 如果该值是强制/托管的,则为 1,否则为 0
form_factor - 关键字,text.text
- memory_devices.form_factor - 此内存设备的实现外形规格
format - 关键字,text.text
- cups_jobs.format - 打印作业的格式
forwarding_enabled - 关键字,number.long
- interface_ipv6.forwarding_enabled - 启用 IP 转发
fragment_path - 关键字,text.text
- systemd_units.fragment_path - 读取此单元的单元文件路径(如果有)
frame_backtrace - 关键字,text.text
- kernel_panics.frame_backtrace - 崩溃模块的回溯
free - 关键字,number.long
- virtual_memory_info.free - 空闲页的总数。
free_space - 关键字,number.long
- logical_drives.free_space - 驱动器的可用空间量(以字节为单位)(失败时为 -1)。
friendly_name - 关键字,text.text
- interface_addresses.friendly_name - 接口的友好显示名称。
- interface_details.friendly_name - 接口的友好显示名称。
from_webstore - 关键字,text.text
- chrome_extensions.from_webstore - 如果此扩展程序是从网上应用店安装的,则为 True
fs_id - 关键字,text.text
- quicklook_cache.fs_id - Quicklook 文件 fs_id 密钥
fsgid - 关键字
- process_events.fsgid - 进程启动时的文件系统组 ID
- process_file_events.fsgid - 使用该文件的进程的文件系统组 ID
fsuid - 关键字
- apparmor_events.fsuid - 文件系统用户 ID
- process_events.fsuid - 进程启动时的文件系统用户 ID
- process_file_events.fsuid - 使用该文件的进程的文件系统用户 ID
gateway - 关键字,text.text
- docker_container_networks.gateway - 网关
- docker_networks.gateway - 网络网关
- routes.gateway - 路由网关
gid - 关键字
- asl.gid - 发送日志消息的 GID(由服务器设置)。
- bpf_process_events.gid - 组 ID
- bpf_socket_events.gid - 组 ID
- device_file.gid - 所有组 ID
- docker_container_processes.gid - 组 ID
- es_process_events.gid - 进程的组 ID
- file.gid - 所有组 ID
- file_events.gid - 所有组 ID
- groups.gid - 无符号 int64 组 ID
- kernel_keys.gid - 密钥的组 ID。
- package_bom.gid - 文件或目录的预期组
- process_events.gid - 进程启动时的组 ID
- process_file_events.gid - 执行操作的进程的 gid
- processes.gid - 无符号组 ID
- seccomp_events.gid - 启动已分析进程的用户的组 ID
- user_groups.gid - 组 ID
- users.gid - 组 ID(无符号)
gid_signed - 关键字,number.long
- groups.gid_signed - gid 的带符号 int64 版本
- users.gid_signed - 默认组 ID,为 int64 带符号整数(Apple)
git_commit - 关键字,text.text
- docker_version.git_commit - Docker 构建 git 提交
global_seq_num - 关键字,number.long
- es_process_events.global_seq_num - 全局序列号
- es_process_file_events.global_seq_num - 全局序列号
global_state - 关键字,number.long
- alf.global_state - 如果防火墙启用并带有例外,则为 1;如果防火墙配置为阻止所有传入连接,则为 2;否则为 0
go_version - 关键字,text.text
- docker_version.go_version - Go 版本
gpgcheck - 关键字,text.text
- yum_sources.gpgcheck - 软件包是否经过 GPG 检查
gpgkey - 关键字,text.text
- yum_sources.gpgkey - GPG 密钥的 URL
grace_period - 关键字,number.long
- screenlock.grace_period - 屏幕必须处于睡眠状态或屏幕保护程序开启状态的时间(以秒为单位),然后才能在唤醒时要求输入密码。0 = 立即;-1 = 唤醒时不需要密码
group_sid - 关键字,text.text
- groups.group_sid - 唯一的组 ID
grouping - 关键字,text.text
- windows_firewall_rules.grouping - 单个规则所属的组
groupname - 关键字,text.text
- groups.groupname - 规范的本地组名称
- launchd.groupname - 以该组身份运行此守护程序或代理
- rpm_package_files.groupname - 来自信息数据库的文件默认组名
- suid_bin.groupname - 二进制文件所有者组
guest - 关键字,number.long
- cpu_time.guest - 在 Linux 内核控制下为访客操作系统运行虚拟 CPU 所花费的时间
guest_nice - 关键字,number.long
- cpu_time.guest_nice - 运行良好访客所花费的时间
handle - 关键字,text.text
- memory_array_mapped_addresses.handle - 与结构关联的句柄或实例号
- memory_arrays.handle - 与数组关联的句柄或实例号
- memory_device_mapped_addresses.handle - 与结构关联的句柄或实例号
- memory_devices.handle - 与 SMBIOS 中的结构关联的句柄或实例号
- memory_error_info.handle - 与结构关联的句柄或实例号
- oem_strings.handle - 与类型 11 结构关联的句柄或实例号
- smbios_tables.handle - 表条目句柄
handle_count - 关键字,number.long
- processes.handle_count - 进程打开的句柄总数。此数字是进程中每个线程当前打开的句柄的总和。
handler - 关键字,text.text
- app_schemes.handler - 处理程序的应用程序标签
hard_limit - 关键字,text.text
- ulimit_info.hard_limit - 最大限制值
hard_links - 关键字,number.long
- device_file.hard_links - 硬链接数
- file.hard_links - 硬链接数
hardware_model - 关键字,text.text
- disk_info.hardware_model - 硬盘型号。
- system_info.hardware_model - 硬件型号
hardware_serial - 关键字,text.text
- system_info.hardware_serial - 设备序列号
hardware_vendor - 关键字,text.text
- system_info.hardware_vendor - 硬件供应商
hardware_version - 关键字,text.text
- system_info.hardware_version - 硬件版本
has_expired - 关键字,number.long
- curl_certificate.has_expired - 如果证书已过期,则为 1,否则为 0
hash - 关键字,text.text
- prefetch.hash - 预取 CRC 哈希值。
hash_alg - 关键字,text.text
- shadow.hash_alg - 密码哈希算法
hash_resources - 关键字,number.long
- signature.hash_resources - 设置为 1 也要对资源进行哈希处理,否则设置为 0。默认值为 1
hashed - 关键字,number.long
- file_events.hashed - 如果文件已进行哈希处理,则为 1;如果未进行哈希处理,则为 0;如果哈希处理失败,则为 -1
header - 关键字,text.text
- sudoers.header - 给定规则的符号
header_pid - 关键字,number.long
- process_etw_events.header_pid - 报告事件的进程的进程 ID
header_size - 关键字,number.long
- smbios_tables.header_size - 标头大小(以字节为单位)
health - 关键字,text.text
- battery.health - 以下之一:“良好”表示性能良好的电池,“一般”表示容量有限的功能性电池,“差”表示无法供电的电池
hidden - 关键字,number.long
- scheduled_tasks.hidden - 任务是否在 UI 中可见
- smc_keys.hidden - 如果此密钥通常隐藏,则为 1,否则为 0
history_file - 关键字,text.text
- shell_history.history_file - 此用户的 .*_history 的路径
hit_count - 关键字,text.text
- quicklook_cache.hit_count - 缩略图的缓存命中次数
home_directory - 关键字,text.text
- logon_sessions.home_directory - 登录会话的主目录。
home_directory_drive - 关键字,text.text
- logon_sessions.home_directory_drive - 登录会话的主目录的驱动器位置。
homepage - 关键字,text.text
- atom_packages.homepage - 软件包提供的首页
- npm_packages.homepage - 软件包提供的首页
hop_limit - 关键字,number.long
- interface_ipv6.hop_limit - 当前跳数限制
hopcount - 关键字,number.long
- routes.hopcount - 预期的最大跳数
host - 关键字,text.text
- asl.host - 发送方的地址(由服务器设置)。
- last.host - 条目主机名
- logged_in_users.host - 远程主机名
- preferences.host - 当前或任何主机,其中当前优先
- syslog_events.host - 为 syslog 配置的主机名
host_ip - 关键字,text.text
- docker_container_ports.host_ip - 公共端口正在侦听的主机 IP 地址
host_port - 关键字,number.long
- docker_container_ports.host_port - 主机端口
hostname - 关键字,text.text
- curl_certificate.hostname - CURL 的主机名(域[:端口],例如 osquery.io)
- system_info.hostname - 包含域的网络主机名
- ycloud_instance_metadata.hostname - 虚拟机的主机名
hostnames - 关键字,text.text
- etc_hosts.hostnames - 原始主机映射
hotfix_id - 关键字,text.text
- patches.hotfix_id - 修补程序的 KB ID。
hour - 关键字,text.text
- crontab.hour - 作业在一天中的小时数
- time.hour - 当前小时数(UTC)
hours - 关键字,number.long
- uptime.hours - 正常运行时间(以小时为单位)
hresult - 关键字,number.long
- windows_update_history.hresult - 从更新操作返回的 HRESULT 值
http_proxy - 关键字,text.text
- docker_info.http_proxy - HTTP 代理
https_proxy - 关键字,text.text
- docker_info.https_proxy - HTTPS 代理
hwaddr - 关键字,text.text
- lxd_networks.hwaddr - 此网络的硬件地址
iam_arn - 关键字,text.text
- ec2_instance_metadata.iam_arn - 如果存在与实例关联的 IAM 角色,则包含实例配置文件 ARN
ibrs_support_enabled - 关键字,number.long
- kva_speculative_info.ibrs_support_enabled - Windows 使用 IBRS。
ibytes - 关键字,number.long
- interface_details.ibytes - 输入字节数
icmp_types_codes - 关键字,text.text
- windows_firewall_rules.icmp_types_codes - 规则的 ICMP 类型和代码
icon_mode - 关键字,number.long
- quicklook_cache.icon_mode - 缩略图图标模式
id - 关键字,text.text
- disk_info.id - 驱动器在系统上的唯一标识符。
- dns_resolvers.id - 地址类型索引或顺序
- docker_container_envs.id - 容器 ID
- docker_container_fs_changes.id - 容器 ID
- docker_container_labels.id - 容器 ID
- docker_container_mounts.id - 容器 ID
- docker_container_networks.id - 容器 ID
- docker_container_ports.id - 容器 ID
- docker_container_processes.id - 容器 ID
- docker_container_stats.id - 容器 ID
- docker_containers.id - 容器 ID
- docker_image_history.id - 镜像 ID
- docker_image_labels.id - 镜像 ID
- docker_image_layers.id - 镜像 ID
- docker_images.id - 镜像 ID
- docker_info.id - Docker 系统 ID
- docker_network_labels.id - 网络 ID
- docker_networks.id - 网络 ID
- iokit_devicetree.id - IOKit 内部注册表 ID
- iokit_registry.id - IOKit 内部注册表 ID
- lxd_images.id - 镜像 ID
- systemd_units.id - 唯一的单元标识符
identifier - 关键字,text.text
- browser_plugins.identifier - 插件标识符
- chrome_extension_content_scripts.identifier - 扩展程序标识符
- chrome_extensions.identifier - 扩展程序标识符,根据其清单计算得出。如果出错,则为空。
- crashes.identifier - 崩溃进程的标识符
- firefox_addons.identifier - 附加组件标识符
- safari_extensions.identifier - 扩展程序标识符
- signature.identifier - 密封到签名中的签名标识符
- system_extensions.identifier - 标识符名称
- xprotect_meta.identifier - 浏览器插件或扩展程序标识符
identifying_number - 关键字,text.text
- programs.identifying_number - 产品标识,例如软件上的序列号或硬件芯片上的芯片编号。
identity - 关键字,text.text
- xprotect_entries.identity - 内容的 XProtect 标识(SHA1)
idle - 关键字,number.long
- cpu_time.idle - 在空闲任务中花费的时间
idrops - 关键字,number.long
- interface_details.idrops - 输入丢包数
idx - 关键字,number.long
- kernel_extensions.idx - 扩展加载标记或索引
ierrors - 关键字,number.long
- interface_details.ierrors - 输入错误数
image - 关键字,text.text
- docker_containers.image - 用于启动此容器的 Docker 镜像(名称)
- drivers.image - 驱动程序映像文件的路径
image_id - 关键字,text.text
- docker_containers.image_id - Docker 镜像 ID
images - 关键字,number.long
- docker_info.images - 镜像数量
inactive - 关键字,number.long
- memory_info.inactive - 可用空闲缓冲区或页面缓存内存总量(以字节为单位)
- shadow.inactive - 密码过期后到帐户被阻止的天数
- virtual_memory_info.inactive - 非活动页面的总数。
inetd_compatibility - 关键字,text.text
- launchd.inetd_compatibility - 运行此守护程序或代理,就像从 inetd 启动一样
inf - 关键字,text.text
- drivers.inf - 关联的 inf 文件
info - 关键字,text.text
- apparmor_events.info - 附加信息
info_access - 关键字,text.text
- curl_certificate.info_access - 授权信息访问
info_string - 关键字,text.text
- apps.info_string - 信息属性 CFBundleGetInfoString 标签
inherited_from - 关键字,text.text
- ntfs_acl_permissions.inherited_from - ACE 的继承策略。
iniface - 关键字,text.text
- iptables.iniface - 规则的输入接口。
iniface_mask - 关键字,text.text
- iptables.iniface_mask - 规则的输入接口掩码。
inode - 关键字,number.long
- device_file.inode - 文件系统索引节点号
- device_hash.inode - 文件系统索引节点号
- file.inode - 文件系统索引节点号
- file_events.inode - 文件系统索引节点号
- process_memory_map.inode - 映射路径索引节点,0 表示未初始化 (BSS)
- process_open_pipes.inode - 管道索引节点号
- quicklook_cache.inode - 从 fs_id 解析的文件 ID(索引节点)
inodes - 关键字,number.long
- device_partitions.inodes - 元节点数
- mounts.inodes - 已挂载设备使用的索引节点
inodes_free - 关键字,number.long
- mounts.inodes_free - 已挂载设备空闲索引节点
inodes_total - 关键字,number.long
- lxd_storage_pools.inodes_total - 此存储池中可用的索引节点总数
inodes_used - 关键字,number.long
- lxd_storage_pools.inodes_used - 已使用的索引节点数
input_eax - 关键字,text.text
- cpuid.input_eax - 使用的 EAX 的值
install_date - 关键字
- os_version.install_date - 操作系统的安装日期。
- patches.install_date - 指示修补程序的安装时间。缺少值并不表示未安装修补程序。
- programs.install_date - 该产品安装在系统上的日期。
- shared_resources.install_date - 指示对象的安装时间。缺少值并不表示未安装对象。
install_location - 关键字,text.text
- programs.install_location - 产品的安装位置目录。
install_source - 关键字,text.text
- programs.install_source - 产品的安装来源。
install_time - 关键字
- appcompat_shims.install_time - SDB 的安装时间
- chrome_extensions.install_time - 扩展程序安装时间,采用其原始 Webkit 格式
- package_receipts.install_time - 安装时间的时间戳
- rpm_packages.install_time - 软件包的安装时间
install_timestamp - 关键字,number.long
- chrome_extensions.install_timestamp - 扩展程序安装时间,转换为 Unix 时间
installed_by - 关键字,text.text
- patches.installed_by - 安装修补程序的系统上下文。
installed_on - 关键字,text.text
- patches.installed_on - 修补程序的安装日期。
installer_name - 关键字,text.text
- package_receipts.installer_name - 安装程序进程的名称
instance_id - 关键字,text.text
- ec2_instance_metadata.instance_id - EC2 实例 ID
- ec2_instance_tags.instance_id - EC2 实例 ID
- osquery_info.instance_id - 每个 osquery 实例的唯一、长期 ID
- ycloud_instance_metadata.instance_id - 虚拟机的唯一标识符
instance_identifier - 关键字,text.text
- hvci_status.instance_identifier - Device Guard 的实例 ID。
instance_type - 关键字,text.text
- ec2_instance_metadata.instance_type - EC2 实例类型
instances - 关键字,number.long
- pipes.instances - 命名管道的实例数
interface - 关键字,text.text
- arp_cache.interface - MAC 所属网络的接口
- interface_addresses.interface - 接口名称
- interface_details.interface - 接口名称
- interface_ipv6.interface - 接口名称
- routes.interface - 路由本地接口
- wifi_status.interface - 接口的名称
- wifi_survey.interface - 接口的名称
interleave_data_depth - 关键字,number.long
- memory_device_mapped_addresses.interleave_data_depth - 在单个交错传输中访问的来自内存设备的连续行的最大数量;0 表示设备是非交错的
interleave_position - 关键字,number.long
- memory_device_mapped_addresses.interleave_position - 设备在交错中的位置,即 0 表示非交错,1 表示第一个交错,2 表示第二个交错,等等。
internal - 关键字,number.long
- osquery_registry.internal - 如果插件是内部的,则为 1,否则为 0
internet_settings - 关键字,text.text
- windows_security_center.internet_settings - Internet 设置的运行状况
internet_sharing - 关键字,number.long
- sharing_preferences.internet_sharing - 如果启用了 Internet 共享,则为 1,否则为 0
interval - 关键字,number.long
- docker_container_stats.interval - 读取和预读取之间的时间差(以纳秒为单位)
- osquery_schedule.interval - 运行此查询的时间间隔(以秒为单位),这不是一个精确的时间间隔
iowait - 关键字,number.long
- cpu_time.iowait - 等待 I/O 完成所花费的时间
ip - 关键字,text.text
- seccomp_events.ip - 指令指针值
ip_address - 关键字,text.text
- docker_container_networks.ip_address - IP 地址
ip_prefix_len - 关键字,number.long
- docker_container_networks.ip_prefix_len - IP 子网前缀长度
ipackets - 关键字,number.long
- interface_details.ipackets - 输入数据包
ipc_namespace - 关键字,text.text
- docker_containers.ipc_namespace - IPC 命名空间
- process_namespaces.ipc_namespace - ipc 命名空间索引节点
ipv4_address - 关键字,text.text
- lxd_networks.ipv4_address - IPv4 地址
ipv4_forwarding - 关键字,number.long
- docker_info.ipv4_forwarding - 如果启用了 IPv4 转发,则为 1。否则为 0
ipv4_internet - 关键字,number.long
- connectivity.ipv4_internet - 如果任何接口通过 IPv4 连接到 Internet,则为 True
ipv4_local_network - 关键字,number.long
- connectivity.ipv4_local_network - 如果任何接口通过 IPv4 连接到路由网络,则为 True
ipv4_no_traffic - 关键字,number.long
- connectivity.ipv4_no_traffic - 如果任何接口通过 IPv4 连接,但未发现流量,则为 True
ipv4_subnet - 关键字,number.long
- connectivity.ipv4_subnet - 如果任何接口通过 IPv4 连接到本地子网,则为 True
ipv6_address - 关键字,text.text
- docker_container_networks.ipv6_address - IPv6 地址
- lxd_networks.ipv6_address - IPv6 地址
ipv6_gateway - 关键字,text.text
- docker_container_networks.ipv6_gateway - IPv6 网关
ipv6_internet - 关键字,number.long
- connectivity.ipv6_internet - 如果任何接口通过 IPv6 连接到 Internet,则为 True
ipv6_local_network - 关键字,number.long
- connectivity.ipv6_local_network - 如果任何接口通过 IPv6 连接到路由网络,则为 True
ipv6_no_traffic - 关键字,number.long
- connectivity.ipv6_no_traffic - 如果任何接口通过 IPv6 连接,但未发现流量,则为 True
ipv6_prefix_len - 关键字,number.long
- docker_container_networks.ipv6_prefix_len - IPv6 子网前缀长度
ipv6_subnet - 关键字,number.long
- connectivity.ipv6_subnet - 如果任何接口通过 IPv6 连接到本地子网,则为 True
irq - 关键字,number.long
- cpu_time.irq - 处理中断所花费的时间
is_active - 关键字,number.long
- running_apps.is_active - (已弃用)
is_hidden - 关键字,number.long
- groups.is_hidden - 在 OpenDirectory 中设置的 IsHidden 属性
- users.is_hidden - 在 OpenDirectory 中设置的 IsHidden 属性
iso_8601 - 关键字,text.text
- time.iso_8601 - 当前时间(ISO 格式),采用 UTC
issuer - 关键字,text.text
- certificates.issuer - 证书颁发者可分辨名称(已弃用,请使用 issuer2)
issuer2 - 关键字,text.text
- certificates.issuer2 - 证书颁发者可分辨名称
issuer_alternative_names - 关键字,text.text
- curl_certificate.issuer_alternative_names - 颁发者可选名称
issuer_common_name - 关键字,text.text
- curl_certificate.issuer_common_name - 颁发者通用名称
issuer_name - 关键字,text.text
- authenticode.issuer_name - 证书颁发者名称
issuer_organization - 关键字,text.text
- curl_certificate.issuer_organization - 颁发者组织
issuer_organization_unit - 关键字,text.text
- curl_certificate.issuer_organization_unit - 颁发者组织单位
job_id - 关键字,number.long
- systemd_units.job_id - 下一个排队的作业 ID
job_path - 关键字,text.text
- systemd_units.job_path - 作业的对象路径
job_type - 关键字,text.text
- systemd_units.job_type - 作业类型
json_cmdline - 关键字,text.text
- bpf_process_events.json_cmdline - 命令行参数,采用 JSON 格式
keep_alive - 关键字,text.text
- launchd.keep_alive - 如果进程被终止,是否应该重启
kernel_memory - 关键字,number.long
- docker_info.kernel_memory - 如果启用了内核内存限制支持,则为 1。否则为 0
kernel_version - 关键字,text.text
- docker_info.kernel_version - 内核版本
- docker_version.kernel_version - 内核版本
- kernel_panics.kernel_version - 系统内核版本
key - 关键字,text.text
- authorized_keys.key - 以 base64 编码的密钥
- azure_instance_tags.key - 标签键
- chrome_extensions.key - 清单文件中的扩展程序键
- docker_container_envs.key - 环境变量名称
- docker_container_labels.key - 标签键
- docker_image_labels.key - 标签键
- docker_network_labels.key - 标签键
- docker_volume_labels.key - 标签键
- ec2_instance_tags.key - 标签键
- extended_attributes.key - 从扩展属性生成的值的名称
- known_hosts.key - 解析后的授权密钥行
- launchd_overrides.key - 覆盖键的名称
- lxd_instance_config.key - 配置参数名称
- lxd_instance_devices.key - 设备信息参数名称
- mdls.key - 元数据键的名称
- plist.key - 首选项顶级键
- power_sensors.key - macOS 上的 SMC 键
- preferences.key - 首选项顶级键
- process_envs.key - 环境变量名称
- registry.key - 要搜索的键的名称
- selinux_settings.key - 键或类名称。
- smc_keys.key - 4 个字符的键
- temperature_sensors.key - macOS 上的 SMC 键
key_algorithm - 关键字,text.text
- certificates.key_algorithm - 使用的密钥算法
key_file - 关键字,text.text
- authorized_keys.key_file - authorized_keys 文件的路径
- known_hosts.key_file - known_hosts 文件的路径
key_strength - 关键字,text.text
- certificates.key_strength - 用于 RSA/DSA 的密钥大小,或曲线名称
key_type - 关键字,text.text
- user_ssh_keys.key_type - 私钥的类型。可以是 [rsa、dsa、dh、ec、hmac、cmac] 之一,也可以是空字符串。
key_usage - 关键字,text.text
- certificates.key_usage - 证书密钥用途和扩展密钥用途
- curl_certificate.key_usage - 证书中密钥的用途
keychain_path - 关键字,text.text
- keychain_acls.keychain_path - 密钥链的路径
keyword - 关键字,text.text
- portage_keywords.keyword - 应用于软件包的关键字
keywords - 关键字,text.text
- windows_eventlog.keywords - 事件中定义的关键字的位掩码
- windows_events.keywords - 事件中定义的关键字的位掩码
kva_shadow_enabled - 关键字,number.long
- kva_speculative_info.kva_shadow_enabled - 内核虚拟地址影子已启用。
kva_shadow_inv_pcid - 关键字,number.long
- kva_speculative_info.kva_shadow_inv_pcid - 内核 VA INVPCID 已启用。
kva_shadow_pcid - 关键字,number.long
- kva_speculative_info.kva_shadow_pcid - 内核 VA PCID 刷新优化已启用。
kva_shadow_user_global - 关键字,number.long
- kva_speculative_info.kva_shadow_user_global - 用户页面被标记为全局页面。
label - 关键字,text.text
- apparmor_events.label - AppArmor 标签
- augeas.label - 配置项的标签
- authorization_mechanisms.label - 授权权限的标签
- authorizations.label - 项目名称,通常采用反向域名格式
- block_devices.label - 块设备标签字符串
- device_partitions.label -
- keychain_acls.label - 可以包含在密钥链条目中的可选标签标记
- keychain_items.label - 通用项目名称
- launchd.label - 守护程序或代理服务名称
- launchd_overrides.label - 守护程序或代理服务名称
- quicklook_cache.label - 解析后的版本 *gen* 字段
- sandboxes.label - UTI 格式的包或标签 ID
language - 关键字,text.text
- programs.language - 产品的语言。
last_change - 关键字,number.long
- interface_details.last_change - 上次设备修改时间(可选)
- shadow.last_change - 上次密码更改日期(从 UNIX 紀元日期开始)
last_connected - 关键字,number.long
- wifi_networks.last_connected - 上次连接到此网络的时间,以 unix_time 格式表示
last_executed - 关键字,number.long
- osquery_schedule.last_executed - 上次完成执行的 UNIX 时间戳(以秒为单位)
last_execution_time - 关键字,number.long
- background_activities_moderator.last_execution_time - 最近一次执行应用程序的时间。
- userassist.last_execution_time - 最近一次执行应用程序的时间。
last_hit_date - 关键字,number.long
- quicklook_cache.last_hit_date - 上次缩略图缓存命中的 Apple 日期格式
last_loaded - 关键字,text.text
- kernel_panics.last_loaded - 恐慌前最后加载的模块
last_memory - 关键字,number.long
- osquery_schedule.last_memory - 收集最新执行结果后剩余的驻留内存(以字节为单位)
last_opened_time - 关键字
- apps.last_opened_time - 上次使用应用程序的时间
- office_mru.last_opened_time - 最近一次打开文件的时间
last_run_code - 关键字,text.text
- scheduled_tasks.last_run_code - 上次运行任务的退出状态代码
last_run_message - 关键字,text.text
- scheduled_tasks.last_run_message - 上次运行任务的退出状态消息
last_run_time - 关键字,number.long
- prefetch.last_run_time - 最近一次运行应用程序的时间。
- scheduled_tasks.last_run_time - 任务上次运行的时间戳
last_system_time - 关键字,number.long
- osquery_schedule.last_system_time - 最新执行的系统时间(以毫秒为单位)
last_unloaded - 关键字,text.text
- kernel_panics.last_unloaded - 恐慌前最后卸载的模块
last_used_at - 关键字,text.text
- lxd_images.last_used_at - 此映像最近一次用于容器生成时的 ISO 时间
last_user_time - 关键字,number.long
- osquery_schedule.last_user_time - 最新执行的用户时间(以毫秒为单位)
last_wall_time_ms - 关键字,number.long
- osquery_schedule.last_wall_time_ms - 最新执行的挂钟时间(以毫秒为单位)
launch_type - 关键字,text.text
- xprotect_entries.launch_type - 启动服务内容类型
layer_id - 关键字,text.text
- docker_image_layers.layer_id - 层 ID
layer_order - 关键字,number.long
- docker_image_layers.layer_order - 层顺序(1 = 基础层)
level - 关键字
- asl.level - 日志级别编号。请参阅 asl.h 中的级别。
- unified_log.level - 条目的严重性级别
- windows_eventlog.level - 与事件关联的严重性级别
- windows_events.level - 与事件关联的严重性级别
license - 关键字,text.text
- atom_packages.license - 软件包许可证
- chocolatey_packages.license - 启动软件包所依据的许可证
- npm_packages.license - 启动软件包所依据的许可证
- python_packages.license - 启动软件包所依据的许可证
link_speed - 关键字,number.long
- interface_details.link_speed - 接口速度,单位为 Mb/s
linked_against - 关键字,text.text
- kernel_extensions.linked_against - 此扩展程序所依赖的扩展程序的索引
load_state - 关键字,text.text
- systemd_units.load_state - 反映单元定义是否已正确加载
local_address - 关键字,text.text
- bpf_socket_events.local_address - 与套接字关联的本地地址
- process_open_sockets.local_address - 套接字本地地址
- socket_events.local_address - 与套接字关联的本地地址
local_addresses - 关键字,text.text
- windows_firewall_rules.local_addresses - 规则的本地地址
local_hostname - 关键字,text.text
- ec2_instance_metadata.local_hostname - 此实例第一个接口的专用 IPv4 DNS 主机名
- system_info.local_hostname - 本地主机名(可选)
local_ipv4 - 关键字,text.text
- ec2_instance_metadata.local_ipv4 - 此实例第一个接口的专用 IPv4 地址
local_port - 关键字,number.long
- bpf_socket_events.local_port - 本地网络协议端口号
- process_open_sockets.local_port - 套接字本地端口
- socket_events.local_port - 本地网络协议端口号
local_ports - 关键字,text.text
- windows_firewall_rules.local_ports - 规则的本地端口
local_timezone - 关键字,text.text
- time.local_timezone - 系统当前的本地时区
location - 关键字,text.text
- azure_instance_metadata.location - 运行虚拟机的 Azure 区域
- firefox_addons.location - 全局、配置文件位置
- memory_arrays.location - 内存阵列的物理位置
- package_receipts.location - 卷上的可选相对安装路径
lock - 关键字,text.text
- chassis_info.lock - 如果为 TRUE,则机架配有锁。
lock_status - 关键字,number.long
- bitlocker_info.lock_status - 从 Windows 访问驱动器的状态。
locked - 关键字,number.long
- shared_memory.locked - 如果段已锁定,则为 1,否则为 0
lockout_bad_count - 关键字,number.long
- security_profile_info.lockout_bad_count - 失败登录尝试次数达到此值后,用户帐户必须被锁定
log_file_disk_quota_mb - 关键字,number.long
- carbon_black_info.log_file_disk_quota_mb - 事件文件磁盘配额(以 MB 为单位)
log_file_disk_quota_percentage - 关键字,number.long
- carbon_black_info.log_file_disk_quota_percentage - 事件文件磁盘配额(以百分比表示)
logging_driver - 关键字,text.text
- docker_info.logging_driver - 日志驱动程序
logging_enabled - 关键字,number.long
- alf.logging_enabled - 如果启用了日志记录模式,则为 1,否则为 0
logging_option - 关键字,number.long
- alf.logging_option - 防火墙日志记录选项
logical_processors - 关键字,number.long
- cpu_info.logical_processors - CPU 的逻辑处理器数量。
logon_domain - 关键字,text.text
- logon_sessions.logon_domain - 用于验证登录会话所有者的域的名称。
logon_id - 关键字,number.long
- logon_sessions.logon_id - 本地唯一标识符 (LUID),用于标识登录会话。
logon_script - 关键字,text.text
- logon_sessions.logon_script - 用于登录的脚本。
logon_server - 关键字,text.text
- logon_sessions.logon_server - 用于验证登录会话所有者的服务器的名称。
logon_sid - 关键字,text.text
- logon_sessions.logon_sid - 用户的安全标识符 (SID)。
logon_time - 关键字,number.long
- logon_sessions.logon_time - 会话所有者登录的时间。
logon_to_change_password - 关键字,number.long
- security_profile_info.logon_to_change_password - 确定是否需要登录会话来更改密码
logon_type - 关键字,text.text
- logon_sessions.logon_type - 登录方法。
lsa_anonymous_name_lookup - 关键字,number.long
- security_profile_info.lsa_anonymous_name_lookup - 确定是否允许匿名用户查询本地 LSA 策略
mac - 关键字,text.text
- arp_cache.mac - 广播地址的 MAC 地址
- ec2_instance_metadata.mac - 此 EC2 实例的第一个网络接口的 MAC 地址
- interface_details.mac - 接口的 MAC(可选)
mac_address - 关键字,text.text
- docker_container_networks.mac_address - MAC 地址
machine_name - 关键字,text.text
- windows_crashes.machine_name - 发生崩溃的计算机的名称
magic_db_files - 关键字,text.text
- magic.magic_db_files - 冒号 (:) 分隔的文件列表,其中可以找到 magic 数据库文件。默认情况下,使用以下之一:/usr/share/file/magic/magic、/usr/share/misc/magic 或 /usr/share/misc/magic.mgc
main - 关键字,number.long
- connected_displays.main - 如果显示器是主显示器。
maintainer - 关键字,text.text
- apt_sources.maintainer - 存储库维护者
- deb_packages.maintainer - 软件包维护者
major - 关键字,number.long
- os_version.major - 主要发行版本
major_version - 关键字,number.long
- windows_crashes.major_version - 计算机的 Windows 主版本
managed - 关键字,number.long
- lxd_networks.managed - 如果网络由 LXD 创建,则为 1,否则为 0
mandatory_label - 关键字,text.text
- process_etw_events.mandatory_label - 主令牌强制标签 sid - 仅出现在 ProcessStart 事件上
manifest_hash - 关键字,text.text
- chrome_extensions.manifest_hash - manifest.json 文件的 SHA256 哈希值
manifest_json - 关键字,text.text
- chrome_extensions.manifest_json - 扩展程序的清单文件
manual - 关键字,number.long
- managed_policies.manual - 如果策略是手动加载的,则为 1,否则为 0
manufacture_date - 关键字,number.long
- battery.manufacture_date - 电池的生产日期 UNIX Epoch
manufactured_week - 关键字,number.long
- connected_displays.manufactured_week - 显示器的制造周。如果不支持,则此字段为 0
manufactured_year - 关键字,number.long
- connected_displays.manufactured_year - 显示器的制造年份。如果不支持,则此字段为 0
manufacturer - 关键字,text.text
- battery.manufacturer - 电池制造商的名称
- chassis_info.manufacturer - 机箱制造商。
- cpu_info.manufacturer - CPU 制造商。
- disk_info.manufacturer - 磁盘制造商。
- drivers.manufacturer - 设备制造商
- interface_details.manufacturer - 网络适配器制造商的名称。
- memory_devices.manufacturer - 制造商 ID 字符串
- video_info.manufacturer - GPU 制造商。
manufacturer_id - 关键字,number.long
- tpm_info.manufacturer_id - TPM 制造商 ID
manufacturer_name - 关键字,text.text
- tpm_info.manufacturer_name - TPM 制造商名称
manufacturer_version - 关键字,text.text
- tpm_info.manufacturer_version - TPM 版本
mask - 关键字,text.text
- interface_addresses.mask - 接口网络掩码
- portage_keywords.mask - 如果软件包被屏蔽
match - 关键字,text.text
- chrome_extension_content_scripts.match - 脚本匹配的模式
- iptables.match - 应用的匹配规则。
matches - 关键字,text.text
- yara.matches - YARA 匹配列表
- yara_events.matches - YARA 匹配列表
max - 关键字,number.long
- fan_speed_sensors.max - 最大速度
- shadow.max - 两次密码更改之间的最大天数
max_capacity - 关键字,number.long
- battery.max_capacity - 电池充满电时的实际容量,单位为 mAh
- memory_arrays.max_capacity - 阵列的最大容量,单位为 GB
max_clock_speed - 关键字,number.long
- cpu_info.max_clock_speed - CPU 的最大可能频率。
max_instances - 关键字,number.long
- pipes.max_instances - 可为此管道创建的最大实例数
max_results - 关键字,number.long
- windows_search.max_results - Windows API 返回的最大结果数,设置为 -1 表示无限制
max_rows - 关键字,number.long
- unified_log.max_rows - 返回的最大行数(默认为 100)
max_speed - 关键字,number.long
- memory_devices.max_speed - 内存设备的最大速度,单位为兆字节/秒 (MT/s)
max_voltage - 关键字,number.long
- memory_devices.max_voltage - 设备的最大工作电压,单位为毫伏
maximum_allowed - 关键字,number.long
- shared_resources.maximum_allowed - 允许同时使用此资源的最大用户数限制。仅当 AllowMaximum 属性设置为 FALSE 时,该值才有效。
maximum_password_age - 关键字,number.long
- security_profile_info.maximum_password_age - 确定在客户端要求用户更改密码之前可以使用密码的最长天数
md5 - 关键字,text.text
- acpi_tables.md5 - 表内容的 MD5 哈希值
- device_hash.md5 - 提供的 inode 数据的 MD5 哈希值
- file_events.md5 - 更改后文件的 MD5
- hash.md5 - 提供的文件系统数据的 MD5 哈希值
- smbios_tables.md5 - 表条目的 MD5 哈希值
md_device_name - 关键字,text.text
- md_drives.md_device_name - md 设备名称
mdm_managed - 关键字,number.long
- system_extensions.mdm_managed - 如果由 MDM 系统扩展有效负载配置管理,则为 1,否则为 0
mechanism - 关键字,text.text
- authorization_mechanisms.mechanism - 将被调用的机制的名称
media_name - 关键字,text.text
- disk_events.media_name - 磁盘事件媒体名称字符串
mem - 关键字,number.double
- docker_container_processes.mem - 内存利用率(百分比)
member_config_description - 关键字,text.text
- lxd_cluster.member_config_description - 配置描述
member_config_entity - 关键字,text.text
- lxd_cluster.member_config_entity - 此节点的配置参数类型
member_config_key - 关键字,text.text
- lxd_cluster.member_config_key - 配置键
member_config_name - 关键字,text.text
- lxd_cluster.member_config_name - 配置参数的名称
member_config_value - 关键字,text.text
- lxd_cluster.member_config_value - 配置值
memory - 关键字,number.long
- docker_info.memory - 总内存
memory_array_error_address - 关键字,text.text
- memory_error_info.memory_array_error_address - 基于内存阵列所连接的总线的寻址方式的 32 位物理错误地址
memory_array_handle - 关键字,text.text
- memory_array_mapped_addresses.memory_array_handle - 与此结构关联的内存阵列的句柄
memory_array_mapped_address_handle - 关键字,text.text
- memory_device_mapped_addresses.memory_array_mapped_address_handle - 此设备范围映射到的内存阵列映射地址的句柄
memory_available - 关键字,number.long
- memory_info.memory_available - 可用于启动新应用程序的物理 RAM 量(以字节为单位),无需交换
memory_cached - 关键字,number.long
- docker_container_stats.memory_cached - 已缓存的内存
memory_device_handle - 关键字,text.text
- memory_device_mapped_addresses.memory_device_handle - 与此结构关联的内存设备结构的句柄
memory_error_correction - 关键字,text.text
- memory_arrays.memory_error_correction - 支持的主要硬件错误纠正或检测方法
memory_error_info_handle - 关键字,text.text
- memory_arrays.memory_error_info_handle - 与检测到的阵列错误相关联的句柄或实例编号
memory_free - 关键字,number.long
- memory_info.memory_free - 系统未使用的物理 RAM 量(以字节为单位)
memory_limit - 关键字,number.long
- docker_container_stats.memory_limit - 内存限制
- docker_info.memory_limit - 如果启用了内存限制支持,则为 1。否则为 0
memory_max_usage - 关键字,number.long
- docker_container_stats.memory_max_usage - 最大内存使用量
memory_total - 关键字,number.long
- memory_info.memory_total - 物理 RAM 总量(以字节为单位)
memory_type - 关键字,text.text
- memory_devices.memory_type - 使用的内存类型
memory_type_details - 关键字,text.text
- memory_devices.memory_type_details - 内存设备的其他详细信息
memory_usage - 关键字,number.long
- docker_container_stats.memory_usage - 内存使用量
message - 关键字,text.text
- apparmor_events.message - 原始审计消息
- asl.message - 消息文本。
- lxd_cluster_members.message - 来自节点的消息(在线/离线)
- selinux_events.message - 消息
- syslog_events.message - 系统日志消息
- unified_log.message - 组合消息
- user_events.message - 来自事件的消息
metadata_endpoint - 关键字,text.text
- ycloud_instance_metadata.metadata_endpoint - 用于获取虚拟机元数据的端点
method - 关键字,text.text
- curl.method - 请求的 HTTP 方法
metric - 关键字,number.long
- interface_details.metric - 基于接口速度的指标
- routes.metric - 路由成本。最低者优先
metric_name - 关键字,text.text
- prometheus_metrics.metric_name - 收集的 Prometheus 指标的名称
metric_value - 关键字,number.double
- prometheus_metrics.metric_value - 收集的 Prometheus 指标的值
mft_entry - 关键字,number.long
- shellbags.mft_entry - 目录主文件表条目。
mft_sequence - 关键字,number.long
- shellbags.mft_sequence - 目录主文件表序列。
mime_encoding - 关键字,text.text
- magic.mime_encoding - 来自 libmagic 的 MIME 编码数据
mime_type - 关键字,text.text
- magic.mime_type - 来自 libmagic 的 MIME 类型数据
min - 关键字,number.long
- fan_speed_sensors.min - 最低速度
- shadow.min - 密码更改之间的最短天数
min_api_version - 关键字,text.text
- docker_version.min_api_version - 支持的最低 API 版本
min_version - 关键字,text.text
- xprotect_meta.min_version - 允许的最低插件版本。
min_voltage - 关键字,number.long
- memory_devices.min_voltage - 设备的最低工作电压(以毫伏为单位)
minimum_password_age - 关键字,number.long
- security_profile_info.minimum_password_age - 确定用户在更改密码之前必须使用密码的最短天数
minimum_password_length - 关键字,number.long
- security_profile_info.minimum_password_length - 确定用户帐户密码的最少字符数
minimum_system_version - 关键字,text.text
- apps.minimum_system_version - 运行应用程序所需的最低 macOS 版本
minor - 关键字,number.long
- os_version.minor - 次要发行版本
minor_version - 关键字,number.long
- windows_crashes.minor_version - 机器的 Windows 次要版本
minute - 关键字,text.text
- crontab.minute - 作业的确切分钟
minutes - 关键字,number.long
- time.minutes - 当前分钟数(UTC)
- uptime.minutes - 运行时间(分钟)
minutes_to_full_charge - 关键字,number.long
- battery.minutes_to_full_charge - 电池充满电所需的分钟数。如果仍在计算此时间,则此值为 -1
minutes_until_empty - 关键字,number.long
- battery.minutes_until_empty - 电池完全耗尽前的分钟数。如果仍在计算此时间,则此值为 -1
mirror - 关键字,number.long
- connected_displays.mirror - 显示器是否镜像。如果镜像,则此字段为 1;否则为 0。
mirrorlist - 关键字,text.text
- yum_sources.mirrorlist - 镜像列表 URL
mnt_namespace - 关键字,text.text
- docker_containers.mnt_namespace - 挂载命名空间
- process_namespaces.mnt_namespace - mnt 命名空间 inode
mode - 关键字,text.text
- apparmor_profiles.mode - 策略的应用方式。
- device_file.mode - 权限位
- docker_container_mounts.mode - 挂载选项(rw、ro)
- file.mode - 权限位
- file_events.mode - 权限位
- package_bom.mode - 预期权限
- process_events.mode - 文件模式权限
- process_open_pipes.mode - 管道打开模式(r/w)
- rpm_package_files.mode - 来自信息数据库的文件权限模式
- wifi_status.mode - Wi-Fi 接口的当前操作模式
model - 关键字,text.text
- battery.model - 电池的型号
- block_devices.model - 块设备型号字符串标识符
- chassis_info.model - 机箱型号。
- cpu_info.model - CPU 型号。
- hardware_events.model - 硬件设备型号
- pci_devices.model - PCI 设备型号
- usb_devices.model - USB 设备型号字符串
- video_info.model - GPU 型号。
model_id - 关键字,text.text
- hardware_events.model_id - 十六进制编码的硬件型号标识符
- pci_devices.model_id - 十六进制编码的 PCI 设备型号标识符
- usb_devices.model_id - 十六进制编码的 USB 设备型号标识符
modified - 关键字,text.text
- authorizations.modified - 标签顶级密钥
- keychain_items.modified - 上次修改日期
modified_time - 关键字,number.long
- package_bom.modified_time - 安装文件的时间戳
- shellbags.modified_time - 目录修改时间。
- shimcache.modified_time - 文件修改时间。
module - 关键字,text.text
- windows_crashes.module - 进程中崩溃模块的路径
module_backtrace - 关键字,text.text
- kernel_panics.module_backtrace - 出现在崩溃模块回溯中的模块
module_path - 关键字,text.text
- services.module_path - ServiceDll 的路径
month - 关键字,text.text
- crontab.month - 作业的月份
- time.month - 当前月份(UTC)
mount_namespace_id - 关键字,text.text
- deb_packages.mount_namespace_id - 挂载命名空间 ID
- file.mount_namespace_id - 挂载命名空间 ID
- hash.mount_namespace_id - 挂载命名空间 ID
- npm_packages.mount_namespace_id - 挂载命名空间 ID
- os_version.mount_namespace_id - 挂载命名空间 ID
- rpm_packages.mount_namespace_id - 挂载命名空间 ID
mount_point - 关键字,text.text
- docker_volumes.mount_point - 挂载点
mountable - 关键字,number.long
- disk_events.mountable - 如果可挂载,则为 1,否则为 0
mtime - 关键字
- device_file.mtime - 上次修改时间
- file.mtime - 上次修改时间
- file_events.mtime - 上次修改时间
- gatekeeper_approved_apps.mtime - 上次修改时间
- process_events.mtime - UNIX 时间中的文件修改时间
- quicklook_cache.mtime - 解析的版本日期字段
- registry.mtime - 最近一次注册表写入的时间戳
mtu - 关键字,number.long
- interface_details.mtu - 网络 MTU
- lxd_networks.mtu - MTU 大小
- routes.mtu - 路由的最大传输单元
name - 关键字,text.text
- acpi_tables.name - ACPI 表名
- ad_config.name - macOS 特定的配置名称
- apparmor_events.name - 进程名称
- apparmor_profiles.name - 策略名称。
- apps.name - Name.app 文件夹的名称
- apt_sources.name - 存储库名称
- atom_packages.name - 包显示名称
- autoexec.name - 程序名称
- azure_instance_metadata.name - 虚拟机名称
- block_devices.name - 块设备名称
- browser_plugins.name - 插件显示名称
- chocolatey_packages.name - 包显示名称
- chrome_extensions.name - 扩展程序显示名称
- connected_displays.name - 显示器的名称。
- cups_destinations.name - 打印机的名称
- deb_packages.name - 包名称
- disk_encryption.name - 磁盘名称
- disk_events.name - 磁盘事件名称
- disk_info.name - 磁盘对象的标签。
- dns_cache.name - DNS 记录名称
- docker_container_mounts.name - 可选的挂载名称
- docker_container_networks.name - 网络名称
- docker_container_processes.name - 进程路径或简写 argv[0]
- docker_container_stats.name - 容器名称
- docker_containers.name - 容器名称
- docker_info.name - Docker 主机的名称
- docker_networks.name - 网络名称
- docker_volume_labels.name - 卷名称
- docker_volumes.name - 卷名称
- etc_protocols.name - 协议名称
- etc_services.name - 服务名称
- fan_speed_sensors.name - 风扇名称
- firefox_addons.name - 附加组件显示名称
- homebrew_packages.name - 软件包名称
- ie_extensions.name - 扩展程序显示名称
- iokit_devicetree.name - 设备节点名称
- iokit_registry.name - 节点的默认名称
- kernel_extensions.name - 扩展程序标签
- kernel_modules.name - 模块名称
- kernel_panics.name - 与崩溃线程对应的进程名称
- launchd.name - plist 文件名(由 launchd 使用)
- lxd_certificates.name - 证书名称
- lxd_instance_config.name - 实例名称
- lxd_instance_devices.name - 实例名称
- lxd_instances.name - 实例名称
- lxd_networks.name - 网络名称
- lxd_storage_pools.name - 存储池名称
- managed_policies.name - 策略密钥名称
- md_personalities.name - 内核支持的特性名称
- memory_map.name - 区域名称
- npm_packages.name - 软件包显示名称
- ntdomains.name - 对象的已知标签。
- nvram.name - 变量名称
- os_version.name - 发行版或产品名称
- osquery_events.name - 事件发布者或订阅者名称
- osquery_extensions.name - 扩展程序名称
- osquery_flags.name - 标志名称
- osquery_packs.name - 此查询包的指定名称
- osquery_registry.name - 插件项的名称
- osquery_schedule.name - 此查询的指定名称
- package_install_history.name - 软件包显示名称
- physical_disk_performance.name - 物理磁盘的名称
- pipes.name - 管道名称
- power_sensors.name - 电源名称
- processes.name - 进程路径或简写 argv[0]
- programs.name - 常用的产品名称。
- python_packages.name - 软件包显示名称
- registry.name - 注册表值项的名称
- rpm_packages.name - RPM 软件包名称
- safari_extensions.name - 扩展程序显示名称
- scheduled_tasks.name - 计划任务的名称
- services.name - 服务名称
- shared_folders.name - 文件夹对其他用户显示的共享名称
- shared_resources.name - 在运行 Windows 的计算机系统上设置为共享的路径的别名。
- startup_items.name - 启动项的名称
- system_controls.name - 完整的 sysctl MIB 名称
- temperature_sensors.name - 温度源的名称
- windows_firewall_rules.name - 规则的友好名称
- windows_optional_features.name - 功能的名称
- windows_search.name - 项目的名称
- windows_security_products.name - 产品名称
- wmi_bios_info.name - Bios 设置的名称
- wmi_cli_event_consumers.name - 使用者的唯一名称。
- wmi_event_filters.name - 事件筛选器的唯一标识符。
- wmi_script_event_consumers.name - 事件使用者的唯一标识符。
- xprotect_entries.name - XProtected 恶意软件的描述
- xprotect_reports.name - XProtected 恶意软件的描述
- ycloud_instance_metadata.name - 虚拟机的名称
- yum_sources.name - 存储库名称
name_constraints - 关键字,text.text
- curl_certificate.name_constraints - 名称约束
namespace - 关键字,text.text
- apparmor_events.namespace - AppArmor 命名空间
native - 关键字,number.long
- browser_plugins.native - 插件需要本地执行
net_namespace - 关键字,text.text
- docker_containers.net_namespace - 网络命名空间
- listening_ports.net_namespace - 网络命名空间的 inode 编号
- process_namespaces.net_namespace - 网络命名空间 inode
- process_open_sockets.net_namespace - 网络命名空间的 inode 编号
netmask - 关键字,text.text
- dns_resolvers.netmask - 地址(排序列表)网络掩码长度
- routes.netmask - 网络掩码长度
network_id - 关键字,text.text
- docker_container_networks.network_id - 网络 ID
network_name - 关键字,text.text
- wifi_networks.network_name - 网络名称
- wifi_status.network_name - 网络名称
- wifi_survey.network_name - 网络名称
network_rx_bytes - 关键字,number.long
- docker_container_stats.network_rx_bytes - 读取的网络字节总数
network_tx_bytes - 关键字,number.long
- docker_container_stats.network_tx_bytes - 传输的网络字节总数
new_administrator_name - 关键字,text.text
- security_profile_info.new_administrator_name - 确定本地计算机上管理员帐户的名称
new_guest_name - 关键字,text.text
- security_profile_info.new_guest_name - 确定本地计算机上 Guest 帐户的名称
next_run_time - 关键字,number.long
- scheduled_tasks.next_run_time - 计划下次运行任务的时间戳
nice - 关键字,number.long
- cpu_time.nice - 在低优先级(nice)的用户模式下花费的时间
- docker_container_processes.nice - 进程 nice 级别(-20 到 20,默认为 0)
- processes.nice - 进程 nice 级别(-20 到 20,默认为 0)
no_proxy - 关键字,text.text
- docker_info.no_proxy - 不应使用代理的域扩展名列表,以逗号分隔
node - 关键字,text.text
- augeas.node - 配置项的节点路径
node_ref_number - 关键字,text.text
- ntfs_journal_events.node_ref_number - 将日志记录与文件名关联的序号
noise - 关键字,number.long
- wifi_status.noise - 当前噪声测量值 (dBm)
- wifi_survey.noise - 当前噪声测量值 (dBm)
not_valid_after - 关键字,text.text
- certificates.not_valid_after - 证书到期日期
not_valid_before - 关键字,text.text
- certificates.not_valid_before - 有效日期的下限
nr_raid_disks - 关键字,number.long
- md_devices.nr_raid_disks - 组成阵列的分区或磁盘设备数量
ntime - 关键字,text.text
- bpf_process_events.ntime - 从 BPF 获取的 n 秒正常运行时间时间戳
- bpf_socket_events.ntime - 从 BPF 获取的 n 秒正常运行时间时间戳
num_procs - 关键字,number.long
- docker_container_stats.num_procs - 处理器数量
number - 关键字,number.long
- etc_protocols.number - 协议编号
- oem_strings.number - 结构的字符串索引
- smbios_tables.number - 表条目编号
number_memory_devices - 关键字,number.long
- memory_arrays.number_memory_devices - 阵列上的内存设备数量
number_of_cores - 关键字,text.text
- cpu_info.number_of_cores - CPU 的核心数量。
number_of_efficiency_cores - 关键字,number.long
- cpu_info.number_of_efficiency_cores - CPU 的能效核心数量。仅在 Apple Silicon 上可用
number_of_performance_cores - 关键字,number.long
- cpu_info.number_of_performance_cores - CPU 的性能核心数量。仅在 Apple Silicon 上可用
object_name - 关键字,text.text
- winbaseobj.object_name - 对象名称
object_path - 关键字,text.text
- systemd_units.object_path - 此单元的对象路径
object_type - 关键字,text.text
- winbaseobj.object_type - 对象类型
obytes - 关键字,number.long
- interface_details.obytes - 输出字节数
odrops - 关键字,number.long
- interface_details.odrops - 输出丢弃数
oerrors - 关键字,number.long
- interface_details.oerrors - 输出错误数
offer - 关键字,text.text
- azure_instance_metadata.offer - 虚拟机映像的套餐信息(仅限 Azure 映像库虚拟机)
offset - 关键字,number.long
- device_partitions.offset -
- process_memory_map.offset - 映射路径中的偏移量
oid - 关键字,text.text
- system_controls.oid - 控制 MIB
old_path - 关键字,text.text
- ntfs_journal_events.old_path - 旧路径(仅限重命名)
on_demand - 关键字,text.text
- launchd.on_demand - 已弃用的密钥,由 keep_alive 替换
on_disk - 关键字,number.long
- processes.on_disk - 进程路径是否存在,是=1,否=0,未知=-1
online - 关键字,number.long
- connected_displays.online - 显示器的在线状态。如果显示器在线,则此字段为 1;如果显示器离线,则此字段为 0。
online_cpus - 关键字,number.long
- docker_container_stats.online_cpus - 在线 CPU
oom_kill_disable - 关键字,number.long
- docker_info.oom_kill_disable - 如果禁用内存不足终止,则为 1。否则为 0
opackets - 关键字,number.long
- interface_details.opackets - 输出数据包数
opaque_version - 关键字,text.text
- gatekeeper.opaque_version - Gatekeeper 的 gkopaque.bundle 版本
operation - 关键字,text.text
- apparmor_events.operation - 进程请求的权限
- process_file_events.operation - 操作类型
- windows_update_history.operation - 更新操作
option - 关键字,text.text
- ad_config.option - 选项的规范名称
- ssh_configs.option - 选项和值
option_name - 关键字,text.text
- cups_destinations.option_name - 选项名称
option_value - 关键字,text.text
- cups_destinations.option_value - 选项值
optional - 关键字,number.long
- xprotect_entries.optional - 匹配此 XProtect 名称的任何身份/模式
optional_permissions - 关键字,text.text
- chrome_extensions.optional_permissions - 扩展程序可选需要的权限
optional_permissions_json - 关键字,text.text
- chrome_extensions.optional_permissions_json - 扩展程序可选需要的 JSON 编码权限
options - 关键字,text.text
- authorized_keys.options - 可选的登录选项列表
- dns_resolvers.options - 解析器选项
- nfs_shares.options - 在导出共享上设置的选项字符串
organization - 关键字,text.text
- curl_certificate.organization - 颁发给的组织
organization_unit - 关键字,text.text
- curl_certificate.organization_unit - 颁发给的组织单位
original_filename - 关键字,text.text
- file.original_filename - (仅可执行文件)原始文件名
original_parent - 关键字,number.long
- es_process_events.original_parent - 重新设置父进程时的原始父进程 ID
original_program_name - 关键字,text.text
- authenticode.original_program_name - 发布者已签名的原始程序名称
os - 关键字,text.text
- docker_info.os - 操作系统
- docker_version.os - 操作系统
- lxd_images.os - 镜像基于的操作系统
- lxd_instances.os - 此实例的操作系统
os_type - 关键字,text.text
- azure_instance_metadata.os_type - Linux 或 Windows
- docker_info.os_type - 操作系统类型
os_version - 关键字,text.text
- kernel_panics.os_version - 操作系统版本
other - 关键字,text.text
- md_devices.other - 与 /proc/mdstat 中的数组关联的其他信息
other_run_times - 关键字,text.text
- prefetch.other_run_times - 预取文件中的其他执行时间。
ouid - 关键字,number.long
- apparmor_events.ouid - 对象所有者的用户 ID
outiface - 关键字,text.text
- iptables.outiface - 规则的输出接口。
outiface_mask - 关键字,text.text
- iptables.outiface_mask - 规则的输出接口掩码。
output_bit - 关键字,number.long
- cpuid.output_bit - 用于特征值的寄存器值中的位
output_register - 关键字,text.text
- cpuid.output_register - 用于特征值的寄存器
output_size - 关键字,number.long
- osquery_schedule.output_size - 查询结果行生成的累积总字节数
overflows - 关键字,text.text
- process_events.overflows - 溢出的结构列表
owned - 关键字,number.long
- tpm_info.owned - TPM 已拥有
owner - 关键字,text.text
- windows_search.owner - 项目的所有者
owner_gid - 关键字,number.long
- process_events.owner_gid - 文件所有者组 ID
owner_uid - 关键字,number.long
- process_events.owner_uid - 文件所有者用户 ID
- shared_memory.owner_uid - 所有进程的用户 ID
owner_uuid - 关键字,number.long
- osquery_registry.owner_uuid - 扩展路由 UUID(核心为 0)
package - 关键字,text.text
- portage_keywords.package - 软件包名称
- portage_packages.package - 软件包名称
- portage_use.package - 软件包名称
- rpm_package_files.package - RPM 软件包名称
package_filename - 关键字,text.text
- package_receipts.package_filename - 原始 .pkg 文件的文件名
package_group - 关键字,text.text
- rpm_packages.package_group - 软件包组
package_id - 关键字,text.text
- package_install_history.package_id - 标签 packageIdentifiers
- package_receipts.package_id - 软件包域标识符
packets - 关键字,number.long
- iptables.packets - 此规则的匹配数据包数。
packets_received - 关键字,number.long
- lxd_networks.packets_received - 此网络上接收到的数据包数
packets_sent - 关键字,number.long
- lxd_networks.packets_sent - 此网络上发送的数据包数
page_ins - 关键字,number.long
- virtual_memory_info.page_ins - 来自分页程序的页面请求总数。
page_outs - 关键字,number.long
- virtual_memory_info.page_outs - 已分页出的页面总数。
parent - 关键字
- apparmor_events.parent - 父进程 PID
- block_devices.parent - 块设备父名称
- bpf_process_events.parent - 父进程 ID
- bpf_socket_events.parent - 父进程 ID
- crashes.parent - 崩溃进程的父 PID
- docker_container_processes.parent - 进程父级的 PID
- es_process_events.parent - 父进程 ID
- es_process_file_events.parent - 父进程 ID
- iokit_devicetree.parent - 父设备注册表 ID
- iokit_registry.parent - 父注册表 ID
- process_events.parent - 进程父级的 PID,如果无法确定,则为 -1。
- processes.parent - 进程父级的 PID
parent_process_sequence_number - 关键字,number.long
- process_etw_events.parent_process_sequence_number - 父进程序列号 - 仅在 ProcessStart 事件中出现
parent_ref_number - 关键字,text.text
- ntfs_journal_events.parent_ref_number - 将日志记录与文件名父目录相关联的序号
part_number - 关键字,text.text
- memory_devices.part_number - 内存设备的制造商特定序列号
partial - 关键字
- ntfs_journal_events.partial - 如果路径或 old_path 仅包含文件或文件夹名称,则设置为 1
- process_file_events.partial - 如果这是部分事件(即:此进程在我们启动 osquery 之前已存在),则为 True
partition - 关键字,text.text
- device_file.partition - 分区号
- device_hash.partition - 分区号
- device_partitions.partition - 分区号或描述
partition_row_position - 关键字,number.long
- memory_device_mapped_addresses.partition_row_position - 标识地址分区行中引用的内存设备的位置
partition_width - 关键字,number.long
- memory_array_mapped_addresses.partition_width - 为此结构的地址分区形成单行内存的内存设备数量
partitions - 关键字,number.long
- disk_info.partitions - 磁盘上检测到的分区数。
partner_fd - 关键字,number.long
- process_open_pipes.partner_fd - 伙伴端共享管道的文件描述符
partner_mode - 关键字,text.text
- process_open_pipes.partner_mode - 伙伴端共享管道的模式
partner_pid - 关键字,number.long
- process_open_pipes.partner_pid - 共享特定管道的伙伴进程的进程 ID
passpoint - 关键字,number.long
- wifi_networks.passpoint - 如果支持 Passpoint,则为 1,否则为 0
password_complexity - 关键字,number.long
- security_profile_info.password_complexity - 确定密码是否必须满足一系列强密码准则
password_history_size - 关键字,number.long
- security_profile_info.password_history_size - 在可以重复使用旧密码之前,必须与用户帐户关联的唯一新密码的数量
password_last_set_time - 关键字,number.double
- account_policy_data.password_last_set_time - 上次更改密码的时间
password_status - 关键字,text.text
- shadow.password_status - 密码状态
patch - 关键字,number.long
- os_version.patch - 可选的补丁版本
path - 关键字,text.text
- alf_exceptions.path - 例外可执行文件的路径
- apparmor_profiles.path - 唯一的、与 aa 状态兼容的策略标识符。
- appcompat_shims.path - 这是 SDB 数据库的路径。
- apps.path - 绝对和完整的 Name.app 路径
- atom_packages.path - 软件包的 package.json 路径
- augeas.path - 配置文件的路径
- authenticode.path - 必须提供路径或目录
- autoexec.path - 可执行文件的路径
- background_activities_moderator.path - 应用程序文件路径。
- bpf_process_events.path - 二进制路径
- bpf_socket_events.path - 已执行文件的路径
- browser_plugins.path - 插件包的路径
- carves.path - 请求的 carve 的路径
- certificates.path - Keychain 或 PEM 包的路径
- chocolatey_packages.path - 此软件包所在的路径
- chrome_extension_content_scripts.path - 扩展文件夹的路径
- chrome_extensions.path - 扩展文件夹的路径
- crashes.path - 崩溃进程的路径
- crontab.path - 已解析的文件
- device_file.path - 设备节点内的逻辑路径
- disk_events.path - 访问的 DMG 文件的路径
- docker_container_fs_changes.path - 相对于根文件系统的文件或目录路径
- docker_containers.path - 容器路径
- es_process_events.path - 已执行文件的路径
- es_process_file_events.path - 已执行文件的路径
- extended_attributes.path - 绝对文件路径
- file.path - 绝对文件路径
- firefox_addons.path - 插件包路径
- gatekeeper_approved_apps.path - 允许运行的可执行文件路径
- hardware_events.path - 分配的本地设备路径(可选)
- hash.path - 必须提供路径或目录
- homebrew_packages.path - 软件包安装路径
- ie_extensions.path - 可执行文件路径
- kernel_extensions.path - 扩展包的可选路径
- kernel_info.path - 内核路径
- kernel_panics.path - 日志文件位置
- keychain_acls.path - 授权应用程序的路径
- keychain_items.path - 包含项目的钥匙串路径
- launchd.path - 守护进程或代理程序 plist 的路径
- launchd_overrides.path - 守护进程或代理程序 plist 的路径
- listening_ports.path - UNIX 域套接字的路径
- magic.path - 目标文件的绝对路径
- mdfind.path - 从 Spotlight 返回的文件路径
- mdls.path - 文件路径
- mounts.path - 已挂载设备路径
- npm_packages.path - 此模块所在的路径
- ntfs_acl_permissions.path - 文件或目录的路径。
- ntfs_journal_events.path - 路径
- office_mru.path - 文件路径
- osquery_extensions.path - 扩展的 Thrift 连接或库路径
- package_bom.path - 软件包清单 (BOM) 的路径
- package_receipts.path - 收据 plist 的路径
- plist.path - (必需)从 plist 读取首选项
- prefetch.path - 预取文件路径。
- process_etw_events.path - 已执行二进制文件的路径
- process_events.path - 已执行文件的路径
- process_file_events.path - 与事件关联的路径
- process_memory_map.path - 映射文件或映射类型的路径
- process_open_files.path - 描述符的文件系统路径
- process_open_sockets.path - 对于 UNIX 套接字 (family=AF_UNIX),域路径
- processes.path - 已执行二进制文件的路径
- python_packages.path - 此模块所在的路径
- quicklook_cache.path - 文件路径
- registry.path - 值的完整路径
- rpm_package_files.path - 软件包中的文件路径
- safari_extensions.path - 扩展 XAR 包的路径
- sandboxes.path - 沙箱容器目录的路径
- scheduled_tasks.path - 要运行的可执行文件的路径
- services.path - 服务可执行文件的路径
- shared_folders.path - 本地系统上共享文件夹的绝对路径
- shared_resources.path - Windows 共享的本地路径。
- shellbags.path - 目录名称。
- shimcache.path - 这是已执行文件的路径。
- signature.path - 必须提供路径或目录
- socket_events.path - 已执行文件的路径
- startup_items.path - 启动项的路径
- suid_bin.path - 二进制文件路径
- system_extensions.path - 系统扩展的原始路径
- user_events.path - 事件提供的路径
- user_ssh_keys.path - 密钥文件路径
- userassist.path - 应用程序文件路径。
- windows_crashes.path - 崩溃进程的可执行文件路径
- windows_search.path - 项目的完整路径。
- yara.path - 已扫描的路径
pci_class - 关键字,文本
- pci_devices.pci_class - PCI 设备类
pci_class_id - 关键字,文本
- pci_devices.pci_class_id - 十六进制格式的 PCI 设备类 ID
pci_slot - 关键字,文本
- interface_details.pci_slot - PCI 插槽号
- pci_devices.pci_slot - PCI 设备使用的插槽
pci_subclass - 关键字,文本
- pci_devices.pci_subclass - PCI 设备子类
pci_subclass_id - 关键字,文本
- pci_devices.pci_subclass_id - 十六进制格式的 PCI 设备子类
pem - 关键字,文本
- curl_certificate.pem - 证书 PEM 格式
percent_disk_read_time - 关键字,长整型
- physical_disk_performance.percent_disk_read_time - 选定磁盘驱动器忙于处理读取请求所经过时间的百分比
percent_disk_time - 关键字,长整型
- physical_disk_performance.percent_disk_time - 选定磁盘驱动器忙于处理读取或写入请求所经过时间的百分比
percent_disk_write_time - 关键字,长整型
- physical_disk_performance.percent_disk_write_time - 选定磁盘驱动器忙于处理写入请求所经过时间的百分比
percent_idle_time - 关键字,长整型
- physical_disk_performance.percent_idle_time - 在采样间隔期间磁盘处于空闲状态的时间百分比
percent_processor_time - 关键字,长整型
- processes.percent_processor_time - 返回此进程的所有线程使用处理器执行指令所经过的时间(以 100 纳秒为单位)。
percent_remaining - 关键字,长整型
- battery.percent_remaining - 电池耗尽前剩余电量的百分比
percentage_encrypted - 关键字,长整型
- bitlocker_info.percentage_encrypted - 驱动器已加密部分的百分比。
perf_ctl - 关键字,长整型
- msr.perf_ctl - 处理器的性能设置。
perf_status - 关键字,长整型
- msr.perf_status - 处理器的性能状态。
period - 关键字,文本
- load_average.period - 计算平均值的周期。
permanent - 关键字,文本
- arp_cache.permanent - 1 表示真,0 表示假
permissions - 关键字,文本
- chrome_extensions.permissions - 扩展程序所需的权限
- kernel_keys.permissions - 密钥权限,表示为四个十六进制字节,从左到右分别包含所有者、用户、组和其他权限。
- process_memory_map.permissions - r=读取,w=写入,x=执行,p=私有(写时复制)
- shared_memory.permissions - 内存段权限
- suid_bin.permissions - 二进制文件权限
permissions_json - 关键字,文本
- chrome_extensions.permissions_json - 扩展程序所需的 JSON 编码权限
persistent - 关键字,长整型
- chrome_extensions.persistent - 如果扩展程序在所有选项卡中都持久存在,则为 1,否则为 0
persistent_volume_id - 关键字,文本
- bitlocker_info.persistent_volume_id - 驱动器的持久 ID。
personal_hotspot - 关键字,长整型
- wifi_networks.personal_hotspot - 如果此网络是个人热点,则为 1,否则为 0
pgroup - 关键字,长整型
- docker_container_processes.pgroup - 进程组
- processes.pgroup - 进程组
physical_adapter - 关键字,长整型
- interface_details.physical_adapter - 指示适配器是物理适配器还是逻辑适配器。
physical_memory - 关键字,长整型
- system_info.physical_memory - 总物理内存(以字节为单位)
physical_presence_version - 关键字,文本
- tpm_info.physical_presence_version - 物理存在接口的版本
pid - 关键字,长整型
- apparmor_events.pid - 进程 ID
- asl.pid - 发送进程 ID,编码为字符串。自动设置。
- bpf_process_events.pid - 进程 ID
- bpf_socket_events.pid - 进程 ID
- crashes.pid - 崩溃进程的进程(或线程)ID
- docker_container_processes.pid - 进程 ID
- docker_containers.pid - 初始进程的标识符
- es_process_events.pid - 进程(或线程)ID
- es_process_file_events.pid - 进程(或线程)ID
- last.pid - 进程(或线程)ID
- listening_ports.pid - 进程(或线程)ID
- logged_in_users.pid - 进程(或线程)ID
- lxd_instances.pid - 实例的进程 ID
- osquery_info.pid - 进程(或线程/句柄)ID
- pipes.pid - 管道所属进程的进程 ID
- process_envs.pid - 进程(或线程)ID
- process_etw_events.pid - 进程 ID
- process_events.pid - 进程(或线程)ID
- process_file_events.pid - 进程 ID
- process_memory_map.pid - 进程(或线程)ID
- process_namespaces.pid - 进程(或线程)ID
- process_open_files.pid - 进程(或线程)ID
- process_open_pipes.pid - 进程 ID
- process_open_sockets.pid - 进程(或线程)ID
- processes.pid - 进程(或线程)ID
- running_apps.pid - 应用程序的 PID
- seccomp_events.pid - 进程 ID
- services.pid - 服务的进程 ID
- shared_memory.pid - 上次使用该段的进程 ID
- socket_events.pid - 进程(或线程)ID
- unified_log.pid - 创建条目的进程的 PID
- user_events.pid - 进程(或线程)ID
- windows_crashes.pid - 崩溃进程的进程 ID
- windows_eventlog.pid - 发出事件记录的进程 ID
pid_namespace - 关键字,文本
- docker_containers.pid_namespace - PID 命名空间
- process_namespaces.pid_namespace - PID 命名空间 inode
pid_with_namespace - 关键字,长整型
- apt_sources.pid_with_namespace - 包含命名空间的 PID
- authorized_keys.pid_with_namespace - 包含命名空间的 PID
- crontab.pid_with_namespace - 包含命名空间的 PID
- deb_packages.pid_with_namespace - 包含命名空间的 PID
- dns_resolvers.pid_with_namespace - 包含命名空间的 PID
- etc_hosts.pid_with_namespace - 包含命名空间的 PID
- file.pid_with_namespace - 包含命名空间的 PID
- groups.pid_with_namespace - 包含命名空间的 PID
- hash.pid_with_namespace - 包含命名空间的 PID
- npm_packages.pid_with_namespace - 包含命名空间的 PID
- os_version.pid_with_namespace - 包含命名空间的 PID
- python_packages.pid_with_namespace - 包含命名空间的 PID
- rpm_packages.pid_with_namespace - 包含命名空间的 PID
- suid_bin.pid_with_namespace - 包含命名空间的 PID
- user_ssh_keys.pid_with_namespace - 包含命名空间的 PID
- users.pid_with_namespace - 包含命名空间的 PID
- yara.pid_with_namespace - 包含命名空间的 PID
- yum_sources.pid_with_namespace - 包含命名空间的 PID
pids - 关键字,长整型
- docker_container_stats.pids - 进程数量
pixels - 关键字,文本
- connected_displays.pixels - 显示器的像素数。
pk_hash - 关键字,文本
- keychain_items.pk_hash - 关联公钥的哈希值(subjectPublicKey 的 SHA1,请参阅 RFC 8520 4.2.1.2)
placement_group_id - 关键字,文本
- azure_instance_metadata.placement_group_id - 虚拟机规模集的放置组
platform - 关键字,text.text
- os_version.platform - 操作系统平台或 ID
- osquery_packs.platform - 此查询支持的平台
platform_binary - 关键字,number.long
- es_process_events.platform_binary - 指示二进制文件是否是 Apple 签名二进制文件(1)或不是(0)
platform_fault_domain - 关键字,text.text
- azure_instance_metadata.platform_fault_domain - 虚拟机运行所在的容错域
platform_info - 关键字,number.long
- msr.platform_info - 平台信息。
platform_like - 关键字,text.text
- os_version.platform_like - 紧密相关的平台
platform_mask - 关键字,number.long
- osquery_info.platform_mask - osquery 平台位掩码
platform_update_domain - 关键字,text.text
- azure_instance_metadata.platform_update_domain - 虚拟机运行所在的更新域
plugin - 关键字,text.text
- authorization_mechanisms.plugin - 授权插件名称
pnp_device_id - 关键字,text.text
- disk_info.pnp_device_id - 驱动器在系统上的唯一标识符。
point_to_point - 关键字,text.text
- interface_addresses.point_to_point - 接口的 PtP 地址
policies - 关键字,text.text
- curl_certificate.policies - 证书策略
policy - 关键字,text.text
- iptables.policy - 应用于此规则的策略。
policy_constraints - 关键字,text.text
- curl_certificate.policy_constraints - 策略约束
policy_content - 关键字,text.text
- password_policy.policy_content - 策略内容
policy_description - 关键字,text.text
- password_policy.policy_description - 策略描述
policy_identifier - 关键字,text.text
- password_policy.policy_identifier - 策略标识符
policy_mappings - 关键字,text.text
- curl_certificate.policy_mappings - 策略映射
port - 关键字,number.long
- docker_container_ports.port - 容器内的端口
- etc_services.port - 服务端口号
- listening_ports.port - 传输层端口
possibly_hidden - 关键字,number.long
- wifi_networks.possibly_hidden - 如果网络可能是隐藏网络,则为 1,否则为 0
ppid - 关键字,number.long
- process_etw_events.ppid - 父进程 ID
- process_file_events.ppid - 父进程 ID
pre_cpu_kernelmode_usage - 关键字,number.long
- docker_container_stats.pre_cpu_kernelmode_usage - 上次读取的 CPU 内核模式使用率
pre_cpu_total_usage - 关键字,number.long
- docker_container_stats.pre_cpu_total_usage - 上次读取的 CPU 总使用率
pre_cpu_usermode_usage - 关键字,number.long
- docker_container_stats.pre_cpu_usermode_usage - 上次读取的 CPU 用户模式使用率
pre_online_cpus - 关键字,number.long
- docker_container_stats.pre_online_cpus - 上次读取的在线 CPU 数量
pre_system_cpu_usage - 关键字,number.long
- docker_container_stats.pre_system_cpu_usage - 上次读取的 CPU 系统使用率
predicate - 关键字,text.text
-
unified_log.predicate - 要搜索的谓词(请参阅
log help predicates),请注意,这将合并到从列约束创建的谓词中
prefix - 关键字,text.text
- homebrew_packages.prefix - Homebrew 安装前缀
preread - 关键字,number.long
- docker_container_stats.preread - 上次读取统计信息的 UNIX 时间
principal - 关键字,text.text
- ntfs_acl_permissions.principal - ACE 应用到的用户或组。
printer_sharing - 关键字,number.long
- sharing_preferences.printer_sharing - 如果启用了打印机共享,则为 1,否则为 0
priority - 关键字,text.text
- deb_packages.priority - 软件包优先级
privileged - 关键字,text.text
- authorization_mechanisms.privileged - 如果具有特权,它将以 root 用户身份运行,否则将以匿名用户身份运行
- docker_containers.privileged - 容器是否具有特权
probe_error - 关键字,number.long
- bpf_process_events.probe_error - 如果无法捕获一个或多个缓冲区,则设置为 1
- bpf_socket_events.probe_error - 如果无法捕获一个或多个缓冲区,则设置为 1
process - 关键字,text.text
- alf_explicit_auths.process - 明确允许的进程名称
- unified_log.process - 生成条目的进程的名称
process_being_tapped - 关键字,number.long
- event_taps.process_being_tapped - 目标应用程序的进程 ID
process_sequence_number - 关键字,number.long
- process_etw_events.process_sequence_number - 进程序列号 - 仅在 ProcessStart 事件中出现
process_type - 关键字,text.text
- launchd.process_type - 密钥描述了作业的预期用途
process_uptime - 关键字,number.long
- windows_crashes.process_uptime - 进程的正常运行时间(以秒为单位)
processes - 关键字,number.long
- lxd_instances.processes - 此实例内运行的进程数
processing_time - 关键字,number.long
- cups_jobs.processing_time - 作业处理所需的时间
processor_number - 关键字,number.long
- msr.processor_number - /proc/cpuinfo 中报告的处理器编号
processor_type - 关键字,text.text
- cpu_info.processor_type - 处理器类型,例如中央处理器、数学协处理器或视频处理器。
product_id - 关键字,text.text
- connected_displays.product_id - 显示器的产品 ID。
product_name - 关键字,text.text
- tpm_info.product_name - TPM 的产品名称
product_version - 关键字,text.text
- file.product_version - 文件产品版本
profile - 关键字,text.text
- apparmor_events.profile - Apparmor 配置文件名称
- chrome_extensions.profile - 包含此扩展程序的 Chrome 配置文件的名称
profile_domain - 关键字,number.long
- windows_firewall_rules.profile_domain - 如果规则配置文件类型为域,则为 1
profile_path - 关键字,text.text
- chrome_extension_content_scripts.profile_path - 配置文件路径
- chrome_extensions.profile_path - 配置文件路径
- logon_sessions.profile_path - 登录会话的主目录。
profile_private - 关键字,number.long
- windows_firewall_rules.profile_private - 如果规则配置文件类型为专用,则为 1
profile_public - 关键字,number.long
- windows_firewall_rules.profile_public - 如果规则配置文件类型为公共,则为 1
program - 关键字,text.text
- launchd.program - 目标程序的路径
program_arguments - 关键字,text.text
- launchd.program_arguments - 传递给程序的命令行参数
propagation - 关键字,text.text
- docker_container_mounts.propagation - 挂载传播
properties - 关键字,text.text
- windows_search.properties - 其他属性值 JSON
protected - 关键字,number.long
- app_schemes.protected - 如果此处理程序受 macOS 保护(保留),则为 1,否则为 0
protection_disabled - 关键字,number.long
- carbon_black_info.protection_disabled - 如果传感器配置为报告篡改事件
protection_status - 关键字,number.long
- bitlocker_info.protection_status - 驱动器的 BitLocker 保护状态。
protection_type - 关键字,text.text
- processes.protection_type - 进程的保护类型
protocol - 关键字
- bpf_socket_events.protocol - 网络协议 ID
- etc_services.protocol - 传输协议(TCP/UDP)
- iptables.protocol - 协议编号标识。
- listening_ports.protocol - 传输协议(TCP/UDP)
- process_open_sockets.protocol - 传输协议(TCP/UDP)
- socket_events.protocol - 网络协议 ID
- usb_devices.protocol - USB 设备协议
- windows_firewall_rules.protocol - 规则的 IP 协议
provider - 关键字,text.text
- drivers.provider - 驱动程序提供程序
provider_guid - 关键字,text.text
- windows_eventlog.provider_guid - 事件的提供程序 GUID
- windows_events.provider_guid - 事件的提供程序 GUID
provider_name - 关键字,text.text
- windows_eventlog.provider_name - 事件的提供程序名称
- windows_events.provider_name - 事件的提供程序名称
pseudo - 关键字,number.long
- process_memory_map.pseudo - 如果路径是伪路径,则为 1,否则为 0
public - 关键字,number.long
- lxd_images.public - 镜像是否为公共镜像(1)或不是(0)
publisher - 关键字,text.text
- azure_instance_metadata.publisher - 虚拟机镜像的发布者
- osquery_events.publisher - 关联发布者的名称
- programs.publisher - 产品供应商的名称。
purgeable - 关键字,number.long
- virtual_memory_info.purgeable - 可清除页的总数。
purged - 关键字,number.long
- virtual_memory_info.purged - 已清除页的总数。
query - 关键字,text.text
- mdfind.query - 用于查找文件的查询
- osquery_schedule.query - 要运行的确切查询
- windows_search.query - Windows 搜索查询
- wmi_event_filters.query - Windows Management Instrumentation 查询语言 (WQL) 事件查询,用于指定消费者通知的事件集以及通知的特定条件。
query_language - 关键字,text.text
- wmi_event_filters.query_language - 查询所使用的查询语言。
queue_directories - 关键字,text.text
- launchd.queue_directories - 与 watch_paths 类似,但仅限于非空目录
raid_disks - 关键字,number.long
- md_devices.raid_disks - 阵列中已配置的 RAID 磁盘数
raid_level - 关键字,number.long
- md_devices.raid_level - 阵列当前的 RAID 级别
rapl_energy_status - 关键字,number.long
- msr.rapl_energy_status - 运行时平均功耗限制能量状态。
rapl_power_limit - 关键字,number.long
- msr.rapl_power_limit - 运行时平均功耗限制功率限制。
rapl_power_units - 关键字,number.long
- msr.rapl_power_units - 运行时平均功耗限制功率单位。
reactivated - 关键字,number.long
- virtual_memory_info.reactivated - 重新激活的页面总数。
read - 关键字,number.long
- docker_container_stats.read - 读取统计信息的 UNIX 时间
readonly - 关键字,number.long
- nfs_shares.readonly - 如果共享以只读方式导出,则为 1,否则为 0
readonly_rootfs - 关键字,number.long
- docker_containers.readonly_rootfs - 根文件系统是否以只读方式挂载
record_timestamp - 关键字,text.text
- ntfs_journal_events.record_timestamp - 日志记录时间戳
record_usn - 关键字,text.text
- ntfs_journal_events.record_usn - 用于标识日志记录的更新序列号
recovery_finish - 关键字,text.text
- md_devices.recovery_finish - 恢复活动的估计持续时间
recovery_progress - 关键字,text.text
- md_devices.recovery_progress - 恢复活动的进度
recovery_speed - 关键字,text.text
- md_devices.recovery_speed - 恢复活动的速度
redirect_accept - 关键字,number.long
- interface_ipv6.redirect_accept - 接受 ICMP 重定向消息
ref_pid - 关键字,number.long
- asl.ref_pid - 由 launchd 代理的消息的引用 PID
ref_proc - 关键字,text.text
- asl.ref_proc - 由 launchd 代理的消息的引用进程
referenced - 关键字,number.long
- chrome_extension_content_scripts.referenced - 如果此扩展程序被配置文件的首选项文件引用,则为 1
- chrome_extensions.referenced - 如果此扩展程序被配置文件的首选项文件引用,则为 1
referenced_identifier - 关键字,text.text
- chrome_extensions.referenced_identifier - 扩展程序标识符,由首选项文件指定。如果扩展程序不在配置文件中,则为空。
refreshes - 关键字,number.long
- osquery_events.refreshes - 仅限发布者:运行循环重启次数
refs - 关键字,number.long
- kernel_extensions.refs - 引用计数
region - 关键字,text.text
- ec2_instance_metadata.region - 启动此实例的 AWS 区域
registers - 关键字,text.text
- crashes.registers - 系统寄存器的值
- kernel_panics.registers - 以空格分隔的寄存器:值对行
- windows_crashes.registers - 系统寄存器的值
registry - 关键字,text.text
- osquery_registry.registry - osquery 注册表的名称
registry_hive - 关键字,text.text
- logged_in_users.registry_hive - HKEY_USERS 注册表配置单元
registry_path - 关键字,text.text
- ie_extensions.registry_path - 扩展程序标识符
relative_path - 关键字,text.text
- wmi_cli_event_consumers.relative_path - 类或实例的相对路径。
- wmi_event_filters.relative_path - 类或实例的相对路径。
- wmi_filter_consumer_binding.relative_path - 类或实例的相对路径。
- wmi_script_event_consumers.relative_path - 类或实例的相对路径。
release - 关键字,text.text
- apt_sources.release - 发行版名称
- lxd_images.release - 镜像所基于的操作系统发行版本
- rpm_packages.release - 软件包发行版
remediation_path - 关键字,text.text
- windows_security_products.remediation_path - 修复路径
remote_address - 关键字,text.text
- bpf_socket_events.remote_address - 与套接字关联的远程地址
- process_open_sockets.remote_address - 套接字远程地址
- socket_events.remote_address - 与套接字关联的远程地址
remote_addresses - 关键字,text.text
- windows_firewall_rules.remote_addresses - 规则的远程地址
remote_apple_events - 关键字,number.long
- sharing_preferences.remote_apple_events - 如果启用了远程 Apple 事件,则为 1,否则为 0
remote_login - 关键字,number.long
- sharing_preferences.remote_login - 如果启用了远程登录,则为 1,否则为 0
remote_management - 关键字,number.long
- sharing_preferences.remote_management - 如果启用了远程管理,则为 1,否则为 0
remote_port - 关键字,number.long
- bpf_socket_events.remote_port - 远程网络协议端口号
- process_open_sockets.remote_port - 套接字远程端口
- socket_events.remote_port - 远程网络协议端口号
remote_ports - 关键字,text.text
- windows_firewall_rules.remote_ports - 规则的远程端口
removable - 关键字,number.long
- usb_devices.removable - 如果 USB 设备是可移动的,则为 1,否则为 0
repository - 关键字,text.text
- portage_packages.repository - 使用 ebuild 的存储库
request_id - 关键字,text.text
- carves.request_id - 雕刻请求的标识值(例如,计划查询名称、分布式请求等)
requested_mask - 关键字,text.text
- apparmor_events.requested_mask - 请求的访问掩码
requirement - 关键字,text.text
- gatekeeper_approved_apps.requirement - 代码签名要求语言
reservation_id - 关键字,text.text
- ec2_instance_metadata.reservation_id - 预留的 ID
reshape_finish - 关键字,text.text
- md_devices.reshape_finish - 重构活动的估计持续时间
reshape_progress - 关键字,text.text
- md_devices.reshape_progress - 重构活动的进度
reshape_speed - 关键字,text.text
- md_devices.reshape_speed - 重构活动的速度
resident_size - 关键字,number.long
- docker_container_processes.resident_size - 进程使用的私有内存字节数
- processes.resident_size - 进程使用的私有内存字节数
resolution - 关键字,text.text
- connected_displays.resolution - 显示器的分辨率。
resource_group_name - 关键字,text.text
- azure_instance_metadata.resource_group_name - 虚拟机的资源组
response_code - 关键字,number.long
- curl.response_code - 响应的 HTTP 状态代码
responsible - 关键字,text.text
- crashes.responsible - 导致崩溃进程的进程
result - 关键字,text.text
- authenticode.result - 签名检查结果
- curl.result - HTTP 响应正文
result_code - 关键字,text.text
- windows_update_history.result_code - 更新操作的结果
resync_finish - 关键字,text.text
- md_devices.resync_finish - 重新同步活动的估计持续时间
resync_progress - 关键字,text.text
- md_devices.resync_progress - 重新同步活动的进度
resync_speed - 关键字,text.text
- md_devices.resync_speed - 重新同步活动的速度
retain_count - 关键字,number.long
- iokit_devicetree.retain_count - 设备引用计数
- iokit_registry.retain_count - 节点引用计数
revision - 关键字,text.text
- deb_packages.revision - 软件包修订版
- hardware_events.revision - 设备修订版(可选)
- platform_info.revision - BIOS 主版本和次版本
roaming - 关键字,number.long
- wifi_networks.roaming - 如果支持漫游,则为 1,否则为 0
roaming_profile - 关键字,text.text
- wifi_networks.roaming_profile - 描述漫游配置文件,通常是 Single、Dual 或 Multi 之一
root - 关键字,text.text
- processes.root - 进程虚拟根目录
root_dir - 关键字,text.text
- docker_info.root_dir - Docker 根目录
root_directory - 关键字,text.text
- launchd.root_directory - 用于指定在启动之前要 chroot 到哪个目录的键
root_volume_uuid - 关键字,text.text
- time_machine_destinations.root_volume_uuid - 备份卷的根 UUID
rotation - 关键字,text.text
- connected_displays.rotation - 显示器的方向。
round_trip_time - 关键字,number.long
- curl.round_trip_time - 完成请求所花费的时间
rowid - 关键字,number.long
- quicklook_cache.rowid - Quicklook 文件 rowid 键
rssi - 关键字,number.long
- wifi_status.rssi - 当前接收到的信号强度指示 (dbm)
- wifi_survey.rssi - 当前接收到的信号强度指示 (dbm)
rtadv_accept - 关键字,number.long
- interface_ipv6.rtadv_accept - 接受 ICMP 路由器播发
rule_details - 关键字,text.text
- sudoers.rule_details - 规则定义
run_at_load - 关键字,text.text
- launchd.run_at_load - 程序是否应在启动加载时运行
run_count - 关键字,number.long
- prefetch.run_count - 应用程序已运行的次数。
rw - 关键字,number.long
- docker_container_mounts.rw - 如果是读/写,则为 1。否则为 0
scheme - 关键字,text.text
- app_schemes.scheme - 方案/协议的名称
scope - 关键字,text.text
- selinux_settings.scope - SELinuxFS 挂载点内密钥所在的位置。
screen_sharing - 关键字,number.long
- sharing_preferences.screen_sharing - 如果启用了屏幕共享,则为 1,否则为 0
script - 关键字,text.text
- chrome_extension_content_scripts.script - 扩展程序使用的内容脚本
script_block_count - 关键字,number.long
- powershell_events.script_block_count - 此脚本的脚本块总数
script_block_id - 关键字,text.text
- powershell_events.script_block_id - 此块所属的 powershell 脚本的唯一 GUID
script_file_name - 关键字,text.text
- wmi_script_event_consumers.script_file_name - 读取脚本文本的文件的名称,旨在替代在 ScriptText 属性中指定脚本文本。
script_name - 关键字,text.text
- powershell_events.script_name - Powershell 脚本的名称
script_path - 关键字,text.text
- powershell_events.script_path - Powershell 脚本的路径
script_text - 关键字,text.text
- powershell_events.script_text - Powershell 脚本的文本内容
- wmi_script_event_consumers.script_text - 以脚本引擎已知的语言表示的脚本文本。如果 ScriptFileName 属性不为 NULL,则此属性必须为 NULL。
scripting_engine - 关键字,text.text
- wmi_script_event_consumers.scripting_engine - 要使用的脚本引擎的名称,例如,*VBScript*。此属性不能为空。
sdb_id - 关键字,text.text
- appcompat_shims.sdb_id - SDB 的唯一 GUID。
sdk - 关键字,text.text
- browser_plugins.sdk - 用于编译插件的构建 SDK
- safari_extensions.sdk - 用于编译扩展的 Bundle SDK
sdk_version - 关键字,text.text
- osquery_extensions.sdk_version - 用于构建扩展的 osquery SDK 版本
seconds - 关键字,number.long
- time.seconds - UTC 中的当前秒数
- uptime.seconds - 运行时间(以秒为单位)
section - 关键字,text.text
- deb_packages.section - 软件包部分
secure_boot - 关键字,number.long
- secureboot.secure_boot - 是否启用了安全启动
secure_mode - 关键字,number.long
- secureboot.secure_mode - 基于 Intel 的 macOS 的安全模式:0 禁用,1 完全安全,2 中等安全
secure_process - 关键字,number.long
- processes.secure_process - 进程安全 (IUM) 是=1,否=0
security_breach - 关键字,text.text
- chassis_info.security_breach - 机箱的物理状态,例如入侵成功、入侵尝试等。
security_groups - 关键字,text.text
- ec2_instance_metadata.security_groups - 以逗号分隔的安全组名称列表
security_options - 关键字,text.text
- docker_containers.security_options - 容器安全选项列表
security_type - 关键字,text.text
- wifi_networks.security_type - 此网络上的安全类型
- wifi_status.security_type - 此网络上的安全类型
self_signed - 关键字,number.long
- certificates.self_signed - 如果是自签名,则为 1,否则为 0
sender - 关键字,text.text
- asl.sender - 发送方的标识字符串。默认为进程名称。
- unified_log.sender - 生成条目的二进制映像的名称
sensor_backend_server - 关键字,text.text
- carbon_black_info.sensor_backend_server - Carbon Black 服务器
sensor_id - 关键字,number.long
- carbon_black_info.sensor_id - Carbon Black 传感器的传感器 ID
sensor_ip_addr - 关键字,text.text
- carbon_black_info.sensor_ip_addr - 传感器的 IP 地址
seq_num - 关键字,number.long
- es_process_events.seq_num - 每个事件的序列号
- es_process_file_events.seq_num - 每个事件的序列号
serial - 关键字,text.text
- certificates.serial - 证书序列号
- chassis_info.serial - 机箱的序列号。
- disk_info.serial - 磁盘的序列号。
- hardware_events.serial - 设备序列号(可选)
- usb_devices.serial - USB 设备串行连接
serial_number - 关键字,text.text
- authenticode.serial_number - 证书序列号
- battery.serial_number - 电池的唯一序列号
- connected_displays.serial_number - 显示器的序列号。(可能不是唯一的)
- curl_certificate.serial_number - 证书序列号
- kernel_keys.serial_number - 密钥的序列号。
- memory_devices.serial_number - 内存设备的序列号
serial_port_enabled - 关键字,text.text
- ycloud_instance_metadata.serial_port_enabled - 指示是否为 VM 启用了串行端口
series - 关键字,text.text
- video_info.series - GPU 的系列。
server_name - 关键字,text.text
- lxd_cluster.server_name - LXD 服务器节点的名称
- lxd_cluster_members.server_name - LXD 服务器节点的名称
server_selection - 关键字,text.text
- windows_update_history.server_selection - 指示哪个服务器提供更新的值
server_version - 关键字,text.text
- docker_info.server_version - 服务器版本
service - 关键字,text.text
- drivers.service - 驱动程序服务名称(如果存在)
- interface_details.service - 网络适配器使用的服务的名称。
- iokit_devicetree.service - 如果设备符合 IOService,则为 1,否则为 0
service_exit_code - 关键字,number.long
- services.service_exit_code - 服务在启动或停止时出错时返回的特定于服务的错误代码
service_id - 关键字,text.text
- windows_update_history.service_id - 不是 Windows 更新的更新服务的标识符
service_key - 关键字,text.text
- drivers.service_key - 驱动程序服务注册表项
service_name - 关键字,text.text
- windows_firewall_rules.service_name - 应用程序的服务名称属性
service_type - 关键字,text.text
- services.service_type - 服务类型:OWN_PROCESS、SHARE_PROCESS 和可能是交互式(可以与桌面交互)
ses - 关键字,number.long
- seccomp_events.ses - 调用已分析进程的会话的会话 ID
session_id - 关键字,number.long
- logon_sessions.session_id - 终端服务会话标识符。
- process_etw_events.session_id - 会话 ID
- winbaseobj.session_id - 终端服务会话 ID
session_owner - 关键字,text.text
- authorizations.session_owner - 标记顶级密钥
set - 关键字,number.long
- memory_devices.set - 标识内存设备是否是一组设备中的一个。值为 0 表示没有设置关联。
setup_mode - 关键字,number.long
- secureboot.setup_mode - 是否启用了设置模式
severity - 关键字,number.long
- syslog_events.severity - Syslog 严重级别
sgid - 关键字
- docker_container_processes.sgid - 保存的组 ID
- process_events.sgid - 进程启动时的保存组 ID
- process_file_events.sgid - 使用文件的进程的保存组 ID
- processes.sgid - 未签名的保存组 ID
sha1 - 关键字,text.text
- apparmor_profiles.sha1 - 标识此策略的唯一哈希值。
- certificates.sha1 - 原始证书内容的 SHA1 哈希值
- device_hash.sha1 - 提供的 inode 数据的 SHA1 哈希值
- file_events.sha1 - 更改后文件的 SHA1
- hash.sha1 - 提供的文件系统数据的 SHA1 哈希值
- rpm_packages.sha1 - 软件包内容的 SHA1 哈希值
sha1_fingerprint - 关键字,text.text
- curl_certificate.sha1_fingerprint - SHA1 指纹
sha256 - 关键字,text.text
- carves.sha256 - 已提取存档的 SHA256 校验和
- device_hash.sha256 - 提供的 inode 数据的 SHA256 哈希值
- file_events.sha256 - 更改后文件的 SHA256
- hash.sha256 - 提供的文件系统数据的 SHA256 哈希值
- rpm_package_files.sha256 - 来自 RPM 信息数据库的 SHA256 文件摘要
sha256_fingerprint - 关键字,text.text
- curl_certificate.sha256_fingerprint - SHA-256 指纹
shard - 关键字,number.long
- osquery_packs.shard - 分片限制,1-100,0 表示无限制
share - 关键字,text.text
- nfs_shares.share - 共享的文件系统路径
shared - 关键字,text.text
- authorizations.shared - 标记顶级密钥
shell - 关键字,text.text
- users.shell - 用户配置的默认 shell
shell_only - 关键字,number.long
- osquery_flags.shell_only - 该标志是否仅限 shell?
shmid - 关键字,number.long
- shared_memory.shmid - 共享内存段 ID
sid - 关键字,text.text
- background_activities_moderator.sid - 用户 SID。
- certificates.sid - SID
- logged_in_users.sid - 用户的唯一安全标识符
- office_mru.sid - 用户 SID
- shellbags.sid - 用户 SID
- userassist.sid - 用户 SID。
sig - 关键字,number.long
- seccomp_events.sig - seccomp 发送到进程的信号值
sig_group - 关键字,text.text
- yara.sig_group - 使用的签名组
sigfile - 关键字,text.text
- yara.sigfile - 使用的签名文件
signature - 关键字,text.text
- curl_certificate.signature - 签名
signature_algorithm - 关键字,text.text
- curl_certificate.signature_algorithm - 签名算法
signatures_up_to_date - 关键字,number.long
- windows_security_products.signatures_up_to_date - 如果产品签名是最新的,则为 1,否则为 0
signed - 关键字,number.long
- drivers.signed - 驱动程序是否已签名
- signature.signed - 如果文件已签名,则为 1,否则为 0
signing_algorithm - 关键字,text.text
- certificates.signing_algorithm - 使用的签名算法
signing_id - 关键字,text.text
- es_process_events.signing_id - 进程的签名标识符
sigrule - 关键字,text.text
- yara.sigrule - 使用的签名字符串
sigurl - 关键字,text.text
- yara.sigurl - 签名 URL
size - 关键字
- acpi_tables.size - 已编译表数据的大小
- block_devices.size - 块设备大小(以块为单位)
- carves.size - 已雕刻存档的大小
- cups_jobs.size - 打印作业的大小
- deb_packages.size - 软件包大小(以字节为单位)
- device_file.size - 文件大小(以字节为单位)
- disk_events.size - 分区大小(以字节为单位)
- docker_image_history.size - 指令大小(以字节为单位)
- file.size - 文件大小(以字节为单位)
- file_events.size - 文件大小(以字节为单位)
- kernel_extensions.size - 扩展使用的有线内存字节数
- kernel_modules.size - 模块内容的大小
- logical_drives.size - 驱动器的总空间大小(以字节为单位)(失败时为 -1)。
- lxd_images.size - 镜像大小(以字节为单位)
- lxd_storage_pools.size - 存储池的大小
- md_devices.size - 阵列大小(以块为单位)
- memory_devices.size - 内存设备大小(以兆字节为单位)
- package_bom.size - 预期文件大小
- platform_info.size - 固件大小(以字节为单位)
- portage_packages.size - 软件包的大小
- prefetch.size - 应用程序文件大小。
- quicklook_cache.size - 已解析的版本大小字段
- rpm_package_files.size - 从 RPM 信息数据库获取的预期文件大小(以字节为单位)
- rpm_packages.size - 软件包大小(以字节为单位)
- shared_memory.size - 大小(以字节为单位)
- smbios_tables.size - 表条目大小(以字节为单位)
- smc_keys.size - 报告的数据大小(以字节为单位)
- windows_search.size - 项目大小(以字节为单位)。
size_bytes - 关键字,number.long
- docker_images.size_bytes - 镜像大小(以字节为单位)
sku - 关键字,text.text
- azure_instance_metadata.sku - 虚拟机镜像的 SKU
- chassis_info.sku - 库存单位编号(如果有)。
slot - 关键字
- md_drives.slot - 磁盘的插槽位置
- portage_packages.slot - 软件包使用的插槽
smbios_tag - 关键字,text.text
- chassis_info.smbios_tag - 机箱的指定资产标签号。
socket - 关键字
- listening_ports.socket - 套接字句柄或 inode 编号
- process_open_sockets.socket - 套接字句柄或 inode 编号
- socket_events.socket - 本地路径(仅限 UNIX 域套接字)
socket_designation - 关键字,text.text
- cpu_info.socket_designation - 为给定 CPU 分配的电路板上的插槽。
soft_limit - 关键字,text.text
- ulimit_info.soft_limit - 当前限制值
softirq - 关键字,number.long
- cpu_time.softirq - 为软中断服务花费的时间
sort - 关键字,text.text
- windows_search.sort - Windows API 的排序方式
source - 关键字,text.text
- apt_sources.source - 源文件
- autoexec.source - autoexec 项目的源表
- deb_packages.source - 软件包来源
- docker_container_mounts.source - 主机上的源路径
- lxd_storage_pools.source - 存储池来源
- package_install_history.source - 安装来源:通常是安装程序进程名称
- routes.source - 路由来源
- rpm_packages.source - 源 RPM 软件包名称(可选)
- shellbags.source - Shellbags 源注册表文件
- startup_items.source - 包含启动项的目录或 plist
- sudoers.source - 包含给定规则的源文件
- windows_events.source - 事件的来源或通道
source_path - 关键字,text.text
- systemd_units.source_path - (可能生成的)单元配置文件的路径
source_url - 关键字,text.text
- firefox_addons.source_url - 安装该插件的 URL
space_total - 关键字,number.long
- lxd_storage_pools.space_total - 此存储池的总可用存储空间(以字节为单位)
space_used - 关键字,number.long
- lxd_storage_pools.space_used - 已使用的存储空间(以字节为单位)
spare_disks - 关键字,number.long
- md_devices.spare_disks - 阵列中空闲磁盘的数量
spec_version - 关键字,text.text
- tpm_info.spec_version - TPM 支持的可信计算组规范
speculative - 关键字,number.long
- virtual_memory_info.speculative - 推测页的总数。
speed - 关键字,number.long
- interface_details.speed - 当前带宽的估计值(以比特/秒为单位)。
src_ip - 关键字,text.text
- iptables.src_ip - 源 IP 地址。
src_mask - 关键字,text.text
- iptables.src_mask - 源 IP 地址掩码。
src_port - 关键字,text.text
- iptables.src_port - 协议源端口。
ssh_config_file - 关键字,text.text
- ssh_configs.ssh_config_file - ssh_config 文件的路径
ssh_public_key - 关键字,text.text
- ec2_instance_metadata.ssh_public_key - SSH 公钥。仅当在实例启动时提供时才可用
- ycloud_instance_metadata.ssh_public_key - SSH 公钥。仅当在实例启动时提供时才可用
ssid - 关键字,text.text
- wifi_networks.ssid - 网络的 SSID 八位字节
- wifi_status.ssid - 网络的 SSID 八位字节
- wifi_survey.ssid - 网络的 SSID 八位字节
stack_trace - 关键字,text.text
- crashes.stack_trace - 堆栈跟踪中最新的帧
- windows_crashes.stack_trace - 堆栈跟踪中的多个堆栈帧
start - 关键字,text.text
- memory_map.start - 内存区域的起始地址
- process_memory_map.start - 虚拟起始地址(十六进制)
start_interval - 关键字,text.text
- launchd.start_interval - 运行频率(以秒为单位)
start_on_mount - 关键字,text.text
- launchd.start_on_mount - 每次挂载文件系统时运行守护程序或代理
start_time - 关键字,number.long
- docker_container_processes.start_time - 自启动以来的进程启动时间(以秒为单位)(非休眠)
- osquery_info.start_time - 进程启动时的 UNIX 时间(以秒为单位)
- processes.start_time - 自 Epoch 以来的进程启动时间(以秒为单位),如果出错则为 -1
start_type - 关键字,text.text
- services.start_type - 服务启动类型:BOOT_START、SYSTEM_START、AUTO_START、DEMAND_START、DISABLED
started_at - 关键字,text.text
- docker_containers.started_at - 容器启动时间(字符串形式)
starting_address - 关键字,text.text
- memory_array_mapped_addresses.starting_address - 映射到物理内存阵列的内存范围的物理起始地址(以千字节为单位)
- memory_device_mapped_addresses.starting_address - 映射到物理内存阵列的内存范围的物理起始地址(以千字节为单位)
state - 关键字
- alf_exceptions.state - 防火墙例外状态
- battery.state - 以下之一:“交流电源”表示电池已连接到外部电源,“电池电源”表示电池正在使用内部电源,“离线”表示电池已离线或不再连接
- chrome_extensions.state - 如果此扩展程序已启用,则为 1
- docker_container_processes.state - 进程状态
- docker_containers.state - 容器状态(已创建、正在重启、正在运行、正在移除、已暂停、已退出、已失效)
- lxd_networks.state - 网络状态
- md_drives.state - 驱动器的状态
- process_open_sockets.state - TCP 套接字状态
- processes.state - 进程状态
- scheduled_tasks.state - 计划任务的状态
- system_extensions.state - 系统扩展状态
- windows_optional_features.state - 安装状态值。1 == 已启用,2 == 已禁用,3 == 不存在
- windows_security_products.state - 防护状态
state_timestamp - 关键字,text.text
- windows_security_products.state_timestamp - 产品状态的时间戳
stateful - 关键字,number.long
- lxd_instances.stateful - 实例是否有状态(1)或无状态(0)
statename - 关键字,text.text
- windows_optional_features.statename - 安装状态名称。*已启用*、*已禁用*、*不存在*
status - 关键字,text.text
- carves.status - 雕刻的状态,可以是 STARTING、PENDING、SUCCESS 或 FAILED
- chassis_info.status - 如果可用,则提供各种运行或非运行状态,例如 OK、Degraded 和 Pred Fail。
- deb_packages.status - 软件包状态
- docker_containers.status - 容器状态信息
- kernel_modules.status - 内核模块状态
- lxd_cluster_members.status - 节点状态(在线/离线)
- lxd_instances.status - 实例状态(运行中、已停止等)
- md_devices.status - 阵列的当前状态
- ntdomains.status - 域对象的当前状态。
- process_events.status - OpenBSM 属性:进程状态
- services.status - 服务当前状态:已停止、正在启动、正在停止、正在运行、正在继续、正在暂停、已暂停
- shared_memory.status - 目标/附加状态
- shared_resources.status - 指示对象当前状态的字符串。
- socket_events.status - succeeded(成功)、failed(失败)、in_progress(在非阻塞套接字上 connect())或 no_client(在非阻塞套接字上为空 accept())
- startup_items.status - 启动状态;启用或禁用
stderr_path - 关键字,text.text
- launchd.stderr_path - 将 stderr 通过管道传输到目标路径
stdout_path - 关键字,text.text
- launchd.stdout_path - 将 stdout 通过管道传输到目标路径
steal - 关键字,number.long
- cpu_time.steal - 在虚拟化环境中运行时,在其他操作系统中花费的时间
stealth_enabled - 关键字,number.long
- alf.stealth_enabled - 如果启用了隐身模式,则为 1,否则为 0
stibp_support_enabled - 关键字,number.long
- kva_speculative_info.stibp_support_enabled - Windows 使用 STIBP。
storage - 关键字,number.long
- unified_log.storage - 条目的存储类别
storage_driver - 关键字,text.text
- docker_info.storage_driver - 存储驱动程序
store - 关键字,text.text
- certificates.store - 证书系统存储
store_id - 关键字,text.text
- certificates.store_id - 存在于服务/用户存储中。包含 WinAPI 提供的原始存储 ID。
store_location - 关键字,text.text
- certificates.store_location - 证书系统存储位置
strings - 关键字,text.text
- yara.strings - 匹配字符串
- yara_events.strings - 匹配字符串
sub_state - 关键字,text.text
- systemd_units.sub_state - 低级单元激活状态,值取决于单元类型
subclass - 关键字,text.text
- usb_devices.subclass - USB 设备子类
subject - 关键字,text.text
- certificates.subject - 证书识别名(已弃用,请使用 subject2)
subject2 - 关键字,text.text
- certificates.subject2 - 证书识别名
subject_alternative_names - 关键字,text.text
- curl_certificate.subject_alternative_names - 主体备用名称
subject_info_access - 关键字,text.text
- curl_certificate.subject_info_access - 主体信息访问
subject_key_id - 关键字,text.text
- certificates.subject_key_id - SKID,一个可选包含的 SHA1
subject_key_identifier - 关键字,text.text
- curl_certificate.subject_key_identifier - 主体密钥标识符
subject_name - 关键字,text.text
- authenticode.subject_name - 证书主题名称
subkey - 关键字,text.text
- plist.subkey - 中间密钥路径,包括列表/字典
- preferences.subkey - 中间密钥路径,包括列表/字典
subnet - 关键字,text.text
- docker_networks.subnet - 网络子网
subscription_id - 关键字,text.text
- azure_instance_metadata.subscription_id - 虚拟机的 Azure 订阅
subscriptions - 关键字,number.long
- osquery_events.subscriptions - 发布者接收或订阅者使用的订阅数量
subsystem - 关键字,text.text
- system_controls.subsystem - 子系统 ID,控制类型
- unified_log.subsystem - 使用的 os_log_t 的子系统
subsystem_model - 关键字,text.text
- pci_devices.subsystem_model - PCI 设备子系统的设备描述
subsystem_model_id - 关键字,text.text
- pci_devices.subsystem_model_id - PCI 设备子系统的型号 ID
subsystem_vendor - 关键字,text.text
- pci_devices.subsystem_vendor - PCI 设备子系统的供应商
subsystem_vendor_id - 关键字,text.text
- pci_devices.subsystem_vendor_id - PCI 设备子系统的供应商 ID
success - 关键字,number.long
- socket_events.success - 已弃用。请改用 status 列
suid - 关键字
- docker_container_processes.suid - 保存的用户 ID
- process_events.suid - 进程启动时保存的用户 ID
- process_file_events.suid - 使用该文件的进程的已保存用户 ID
- processes.suid - 未签名的已保存用户 ID
summary - 关键字,text.text
- chocolatey_packages.summary - 软件包提供的摘要
- python_packages.summary - 软件包提供的摘要
superblock_state - 关键字,text.text
- md_devices.superblock_state - 超级块的状态
superblock_update_time - 关键字,number.long
- md_devices.superblock_update_time - 上次更新的 Unix 时间戳
superblock_version - 关键字,text.text
- md_devices.superblock_version - 超级块的版本
support_url - 关键字,text.text
- windows_update_history.support_url - 更新的特定于语言的支持信息的超链接
swap_cached - 关键字,number.long
- memory_info.swap_cached - 用作缓存内存的交换量(以字节为单位)
swap_free - 关键字,number.long
- memory_info.swap_free - 可用的交换空间总量(以字节为单位)
swap_ins - 关键字,number.long
- virtual_memory_info.swap_ins - 已被交换到磁盘的压缩页面总数。
swap_limit - 关键字,number.long
- docker_info.swap_limit - 如果启用了交换限制支持,则为 1。否则为 0
swap_outs - 关键字,number.long
- virtual_memory_info.swap_outs - 已从磁盘交换回的压缩页面总数。
swap_total - 关键字,number.long
- memory_info.swap_total - 可用的交换空间总量(以字节为单位)
symlink - 关键字,number.long
- file.symlink - 如果路径是符号链接,则为 1,否则为 0
syscall - 关键字,text.text
- bpf_process_events.syscall - 系统调用名称
- bpf_socket_events.syscall - 系统调用名称
- process_events.syscall - 系统调用名称:fork、vfork、clone、execve、execveat
- seccomp_events.syscall - 系统调用类型
system - 关键字,number.long
- cpu_time.system - 在系统模式下花费的时间
system_cpu_usage - 关键字,number.long
- docker_container_stats.system_cpu_usage - CPU 系统使用率
system_model - 关键字,text.text
- kernel_panics.system_model - 物理系统型号,例如 MacBookPro12,1 (Mac-E43C1C25D4880AD6)
system_time - 关键字,number.long
- osquery_schedule.system_time - 执行所花费的系统总时间(以毫秒为单位)
- processes.system_time - 在内核空间中花费的 CPU 时间(以毫秒为单位)
tag - 关键字,text.text
- syslog_events.tag - 系统日志标签
tags - 关键字,text.text
- docker_image_history.tags - 逗号分隔的标签列表
- docker_images.tags - 逗号分隔的存储库标签列表
- yara.tags - 匹配标签
- yara_events.tags - 匹配标签
tapping_process - 关键字,number.long
- event_taps.tapping_process - 创建事件点击的应用程序的进程 ID。
target - 关键字
- fan_speed_sensors.target - 目标速度
- iptables.target - 适用于此规则的目标。
target_name - 关键字,text.text
- prometheus_metrics.target_name - 普罗米修斯目标的地址
target_path - 关键字,text.text
- file_events.target_path - 与事件关联的路径
- yara_events.target_path - 扫描的路径
task - 关键字,number.long
- windows_eventlog.task - 与事件关联的任务值
- windows_events.task - 与事件关联的任务值
team - 关键字,text.text
- system_extensions.team - 签名团队 ID
team_id - 关键字,text.text
- es_process_events.team_id - 进程的团队标识符
team_identifier - 关键字,text.text
- signature.team_identifier - 密封到签名中的团队签名标识符
temporarily_disabled - 关键字,number.long
- wifi_networks.temporarily_disabled - 如果此网络暂时禁用,则为 1,否则为 0
terminal - 关键字,text.text
- user_events.terminal - 网络协议 ID
threads - 关键字,number.long
- docker_container_processes.threads - 进程使用的线程数
- processes.threads - 进程使用的线程数
throttled - 关键字,number.long
- virtual_memory_info.throttled - 已限制页面的总数。
tid - 关键字,number.long
- bpf_process_events.tid - 线程 ID
- bpf_socket_events.tid - 线程 ID
- unified_log.tid - 生成条目的线程的 tid
- windows_crashes.tid - 崩溃线程的线程 ID
- windows_eventlog.tid - 发出事件记录的线程 ID
time - 关键字
- apparmor_events.time - UNIX 时间中的执行时间
- asl.time - Unix 时间戳。自动设置
- bpf_process_events.time - UNIX 时间中的执行时间
- bpf_socket_events.time - UNIX 时间中的执行时间
- carves.time - 开始雕刻的时间
- disk_events.time - UNIX 时间中出现/消失的时间
- docker_container_processes.time - 累计 CPU 时间。[DD-]HH:MM:SS 格式
- es_process_events.time - UNIX 时间中的执行时间
- es_process_file_events.time - UNIX 时间中的执行时间
- file_events.time - 文件事件的时间
- hardware_events.time - 硬件事件的时间
- kernel_panics.time - 事件的格式化时间
- last.time - 条目时间戳
- logged_in_users.time - 生成条目的时间
- ntfs_journal_events.time - 文件事件的时间
- package_install_history.time - 将标签日期标记为 UNIX 时间戳
- powershell_events.time - osquery 事件发布者收到事件的时间戳
- process_etw_events.time - Unix 格式的事件时间戳
- process_events.time - UNIX 时间中的执行时间
- process_file_events.time - UNIX 时间中的执行时间
- seccomp_events.time - UNIX 时间中的执行时间
- selinux_events.time - UNIX 时间中的执行时间
- shell_history.time - 条目时间戳。它可能不存在,默认值为 0。
- socket_events.time - UNIX 时间中的执行时间
- syslog_events.time - 当前 Unix 时间戳
- user_events.time - 以 UNIX 时间表示的执行时间
- user_interaction_events.time - 时间
- windows_events.time - 收到事件的时间戳
- xprotect_reports.time - 隔离警报时间
- yara_events.time - 扫描时间
time_nano_sec - 关键字,number.long
- asl.time_nano_sec - 纳秒时间。
time_range - 关键字,text.text
- windows_eventlog.time_range - 用于选择性过滤事件的系统时间
time_windows - 关键字,number.long
- process_etw_events.time_windows - Windows 格式的事件时间戳
timeout - 关键字,text.text
- authorizations.timeout - 顶级键标签
- curl_certificate.timeout - 将此值设置为完成 TLS 握手的超时时间(以秒为单位)(默认值为 4 秒,使用 0 表示无超时)
- kernel_keys.timeout - 密钥过期前的剩余时间,以人类可读的形式表示。字符串 perm 表示密钥是永久性的(无超时)。字符串 expd 表示密钥已过期。
timestamp - 关键字,text.text
- time.timestamp - 当前时间戳(日志格式),采用 UTC 时间
- unified_log.timestamp - 与条目关联的 Unix 时间戳
- windows_eventlog.timestamp - 用于选择性过滤事件的时间戳
timestamp_ms - 关键字,number.long
- prometheus_metrics.timestamp_ms - 收集数据的 Unix 时间戳(以毫秒为单位)
timezone - 关键字,text.text
- time.timezone - 报告时间的时区(硬编码为 UTC)
title - 关键字,text.text
- cups_jobs.title - 打印作业的标题
- windows_update_history.title - 更新的标题
token_elevation_status - 关键字,number.long
- process_etw_events.token_elevation_status - 主令牌提升状态 - 仅在 ProcessStart 事件中出现
token_elevation_type - 关键字,text.text
- process_etw_events.token_elevation_type - 主令牌提升类型 - 仅在 ProcessStart 事件中出现
total_seconds - 关键字,number.long
- uptime.total_seconds - 总计正常运行时间(以秒为单位)
total_size - 关键字,number.long
- docker_container_processes.total_size - 虚拟内存总大小
- processes.total_size - 虚拟内存总大小
total_width - 关键字,number.long
- memory_devices.total_width - 此内存设备的总宽度(以位为单位),包括任何校验位或纠错位
transaction_id - 关键字,number.long
- file_events.transaction_id - 批量更新期间使用的 ID
- yara_events.transaction_id - 批量更新期间使用的 ID
translated - 关键字,number.long
- processes.translated - 指示进程是否在 Rosetta 转换环境下运行,yes=1,no=0,error=-1。
transmit_rate - 关键字,text.text
- wifi_status.transmit_rate - 当前传输速率
tries - 关键字,text.text
- authorizations.tries - 顶级键标签
tty - 关键字,text.text
- last.tty - 输入终端
- logged_in_users.tty - 设备名称
turbo_disabled - 关键字,number.long
- msr.turbo_disabled - Turbo 功能是否已禁用。
turbo_ratio_limit - 关键字,number.long
- msr.turbo_ratio_limit - Turbo 功能比率限制。
type - 关键字,text.text
- apparmor_events.type - 事件类型
- appcompat_shims.type - SDB 数据库的类型。
- block_devices.type - 块设备类型字符串
- bpf_socket_events.type - 套接字类型
- crashes.type - 崩溃日志类型
- device_file.type - 文件状态
- device_firmware.type - 设备类型
- device_partitions.type -
- disk_encryption.type - 加密类型和模式的描述(如果可用)
- disk_info.type - 磁盘的接口类型。
- dns_cache.type - DNS 记录类型
- dns_resolvers.type - 地址类型:sortlist、nameserver、search
- docker_container_mounts.type - 挂载类型(绑定、卷)
- docker_container_ports.type - 协议(tcp、udp)
- docker_volumes.type - 卷类型
- file.type - 文件状态
- firefox_addons.type - 扩展、插件、网络应用
- hardware_events.type - 硬件和硬件事件的类型
- interface_addresses.type - 地址类型。dhcp、manual、auto、other、unknown 之一
- interface_details.type - 接口类型(包括虚拟接口)
- kernel_keys.type - 密钥类型。
- keychain_items.type - 钥匙串项类型(类)
- last.type - 条目类型,根据 ut_type 类型 (utmp.h)
- logged_in_users.type - 登录类型
- logical_drives.type - 已弃用(始终为 *Unknown*)。
- lxd_certificates.type - 证书类型
- lxd_networks.type - 网络类型
- mounts.type - 已挂载设备类型
- ntfs_acl_permissions.type - 访问控制条目的访问模式类型。
- nvram.type - 数据类型(CFData、CFString 等)
- osquery_events.type - 发布者或订阅者
- osquery_extensions.type - SDK 扩展类型:core、extension 或 module
- osquery_flags.type - 标志类型
- process_etw_events.type - 事件类型(ProcessStart、ProcessStop)
- process_open_pipes.type - 管道类型:命名管道与未命名/匿名管道
- registry.type - 注册表值的类型,如果项是子项,则为 *subkey*
- routes.type - 路由类型
- selinux_events.type - 事件类型
- shared_resources.type - 正在共享的资源类型。类型包括:磁盘驱动器、打印队列、进程间通信 (IPC) 和常规设备。
- smbios_tables.type - 表条目类型
- smc_keys.type - SMC 报告的类型文字类型
- startup_items.type - 启动项或登录项
- system_controls.type - 数据类型
- ulimit_info.type - 要限制的系统资源
- user_events.type - 进程套接字的文件描述
- users.type - 帐户是漫游(域)、本地还是系统配置文件
- windows_crashes.type - 崩溃日志类型
- windows_search.type - 项目类型
- windows_security_products.type - 安全产品类型
- xprotect_meta.type - 插件或扩展
type_name - 关键字,text.text
- last.type_name - 条目类型名称,根据 ut_type 类型 (utmp.h)
- shared_resources.type_name - *type* 列的人类可读值
uid - 关键字
- account_policy_data.uid - 用户 ID
- asl.uid - 发送日志消息的 UID(由服务器设置)。
- atom_packages.uid - 拥有插件的本地用户
- authorized_keys.uid - authorized_keys 文件的本地所有者
- bpf_process_events.uid - 用户 ID
- bpf_socket_events.uid - 用户 ID
- browser_plugins.uid - 拥有插件的本地用户
- chrome_extension_content_scripts.uid - 拥有扩展程序的本地用户
- chrome_extensions.uid - 拥有扩展程序的本地用户
- crashes.uid - 崩溃进程的用户 ID
- device_file.uid - 所有者用户 ID
- disk_encryption.uid - 当前已验证的用户(如果可用)
- docker_container_processes.uid - 用户 ID
- es_process_events.uid - 进程的用户 ID
- file.uid - 所有者用户 ID
- file_events.uid - 所有者用户 ID
- firefox_addons.uid - 拥有插件的本地用户
- kernel_keys.uid - 密钥所有者的用户 ID。
- known_hosts.uid - known_hosts 文件的本地所有者
- launchd_overrides.uid - 应用于覆盖的 User ID,0 应用于所有
- package_bom.uid - 文件或目录的预期用户
- password_policy.uid - 策略的用户 ID,-1 表示全局策略
- process_events.uid - 进程启动时的用户 ID
- process_file_events.uid - 执行操作的进程的 uid
- processes.uid - 无符号用户 ID
- safari_extensions.uid - 拥有扩展程序的本地用户
- seccomp_events.uid - 启动已分析进程的用户的用户 ID
- shell_history.uid - Shell 历史记录所有者
- ssh_configs.uid - ssh_config 文件的本地所有者
- user_events.uid - 用户 ID
- user_groups.uid - 用户 ID
- user_ssh_keys.uid - 拥有密钥文件的本地用户
- users.uid - 用户 ID
uid_signed - 关键字,number.long
- users.uid_signed - 用户 ID,为 int64 有符号整数(Apple)
umci_policy_status - 关键字,text.text
- hvci_status.umci_policy_status - 用户模式代码完整性安全设置的状态。如果遇到错误,则返回 UNKNOWN。
uncompressed - 关键字,number.long
- virtual_memory_info.uncompressed - 未压缩页的总数。
uninstall_string - 关键字,text.text
- programs.uninstall_string - 卸载程序的路径和文件名。
unique_chip_id - 关键字,text.text
- ibridge_info.unique_chip_id - iBridge 控制器的唯一 ID
unit_file_state - 关键字,text.text
-
systemd_units.unit_file_state - 单元文件是否已启用,例如
enabled、masked、disabled等
unix_time - 关键字,number.long
- time.unix_time - 当前 UNIX 时间,采用 UTC 时间
unmask - 关键字,number.long
- portage_keywords.unmask - 软件包是否已取消屏蔽
unused_devices - 关键字,text.text
- md_devices.unused_devices - 未使用的设备
update_id - 关键字,text.text
- windows_update_history.update_id - 更新的修订无关标识符
update_revision - 关键字,number.long
- windows_update_history.update_revision - 更新的修订号
update_source_alias - 关键字,text.text
- lxd_images.update_source_alias - 更新源服务器上映像的别名
update_source_certificate - 关键字,text.text
- lxd_images.update_source_certificate - 更新源服务器的证书
update_source_protocol - 关键字,text.text
- lxd_images.update_source_protocol - 用于从源服务器更新映像信息和导入映像的协议
update_source_server - 关键字,text.text
- lxd_images.update_source_server - 用于映像更新的服务器
update_url - 关键字,text.text
- chrome_extensions.update_url - 扩展程序提供的更新 URI
- safari_extensions.update_url - 扩展程序提供的更新 URI
upid - 关键字,number.long
- processes.upid - 从不重复使用的 64 位 pid。如果我们无法从系统中收集它们,则返回 -1。
uploaded_at - 关键字,text.text
- lxd_images.uploaded_at - 映像上传的 ISO 时间
upn - 关键字,text.text
- logon_sessions.upn - 登录会话所有者的用户主体名称 (UPN)。
uppid - 关键字,number.long
- processes.uppid - 从不重复使用的 64 位父进程 ID。如果我们无法从系统中收集到它们,则返回 -1。
uptime - 关键字,number.long
- apparmor_events.uptime - 系统运行时间中的执行时间
- kernel_panics.uptime - 内核崩溃时的系统运行时间(以纳秒为单位)
- process_events.uptime - 系统运行时间中的执行时间
- process_file_events.uptime - 系统运行时间中的执行时间
- seccomp_events.uptime - 系统运行时间中的执行时间
- selinux_events.uptime - 系统运行时间中的执行时间
- socket_events.uptime - 系统运行时间中的执行时间
- user_events.uptime - 系统运行时间中的执行时间
url - 关键字,text.text
- curl.url - 请求的 URL
- lxd_cluster_members.url - 节点的 URL
usage - 关键字,number.long
- kernel_keys.usage - 指向此密钥的线程数和打开文件引用数。
usb_address - 关键字,number.long
- usb_devices.usb_address - USB 设备使用的地址
usb_port - 关键字,number.long
- usb_devices.usb_port - USB 设备使用的端口
use - 关键字,text.text
- memory_arrays.use - 阵列所使用的功能
- portage_use.use - 已为软件包启用的 USE 标志
used_by - 关键字,text.text
- kernel_modules.used_by - 模块反向依赖项
- lxd_networks.used_by - 使用此网络的容器的 URL
user - 关键字
- cpu_time.user - 在用户模式下花费的时间
- cups_jobs.user - 打印作业的用户
- docker_container_processes.user - 用户名
- logged_in_users.user - 用户登录名
- logon_sessions.user - 拥有登录会话的安全主体帐户名。
- sandboxes.user - 沙箱所有者
- systemd_units.user - 配置的用户(如果有)
user_account - 关键字,text.text
- services.user_account - 服务进程运行时将以其登录的帐户名。此名称可以采用 Domain\UserName 的形式。如果该帐户属于内置域,则名称可以采用 .\UserName 的形式。
user_account_control - 关键字,text.text
- windows_security_center.user_account_control - Windows 中用户帐户控制 (UAC) 功能的运行状况
user_action - 关键字,text.text
- xprotect_reports.user_action - 用户在收到提示后采取的操作
user_agent - 关键字,text.text
- curl.user_agent - 用于请求的用户代理字符串
user_namespace - 关键字,text.text
- docker_containers.user_namespace - 用户命名空间
- process_namespaces.user_namespace - 用户命名空间 inode
user_time - 关键字,number.long
- osquery_schedule.user_time - 执行所花费的总用户时间(以毫秒为单位)
- processes.user_time - 在用户空间中花费的 CPU 时间(以毫秒为单位)
user_uuid - 关键字,text.text
- disk_encryption.user_uuid - 已认证用户的 UUID(如果可用)
username - 关键字,text.text
- certificates.username - 用户名
- es_process_events.username - 用户名
- last.username - 条目用户名
- launchd.username - 以此用户名运行此守护程序或代理
- managed_policies.username - 策略仅适用于此用户
- preferences.username - (可选)读取特定用户的首选项
- process_etw_events.username - 用户权限 - 主令牌用户名
- rpm_package_files.username - 来自信息数据库的文件默认用户名
- shadow.username - 用户名
- startup_items.username - 与启动项关联的用户
- suid_bin.username - 二进制文件所有者用户名
- users.username - 用户名
- windows_crashes.username - 运行崩溃进程的用户的用户名
uses_pattern - 关键字,number.long
- xprotect_entries.uses_pattern - 使用匹配模式而不是标识
uts_namespace - 关键字,text.text
- docker_containers.uts_namespace - UTS 命名空间
- process_namespaces.uts_namespace - uts 命名空间 inode
uuid - 关键字,text.text
- block_devices.uuid - 块设备通用唯一标识符
- disk_encryption.uuid - 磁盘通用唯一标识符
- disk_events.uuid - DMG 内的卷的 UUID(如果可用)
- managed_policies.uuid - 分配给策略集的可选 UUID
- osquery_extensions.uuid - 为通信分配的临时 ID
- osquery_info.uuid - 系统提供的唯一 ID
- system_info.uuid - 系统提供的唯一 ID
- users.uuid - 用户的 UUID(Apple)或 SID(Windows)
valid_from - 关键字,text.text
- curl_certificate.valid_from - 有效期开始日期
valid_to - 关键字,text.text
- curl_certificate.valid_to - 有效期结束日期
value - 关键字,text.text
- ad_config.value - 变量类型选项值
- augeas.value - 配置项的值
- azure_instance_tags.value - 标记值
- cpuid.value - 位值或字符串
- default_environment.value - 环境变量的值
- docker_container_envs.value - 环境变量值
- docker_container_labels.value - 可选标签值
- docker_image_labels.value - 可选标签值
- docker_network_labels.value - 可选标签值
- docker_volume_labels.value - 可选标签值
- ec2_instance_tags.value - 标记值
- extended_attributes.value - 从属性解析的信息
- launchd_overrides.value - 覆盖值
- lxd_instance_config.value - 配置参数值
- lxd_instance_devices.value - 设备信息参数值
- managed_policies.value - 策略值
- mdls.value - 存储在元数据键中的值
- nvram.value - 原始变量数据
- oem_strings.value - OEM 字符串的值
- osquery_flags.value - 标志值
- plist.value - 大多数 CF 类型的字符串值
- power_sensors.value - 功率(以瓦特为单位)
- preferences.value - 大多数 CF 类型的字符串值
- process_envs.value - 环境变量值
- selinux_settings.value - 活动值。
- smc_keys.value - 键值的类型编码表示形式
- wmi_bios_info.value - Bios 设置的值
valuetype - 关键字,text.text
- mdls.valuetype - 存储在值中的 CoreFoundation 数据类型
variable - 关键字,text.text
- default_environment.variable - 环境变量的名称
vbs_status - 关键字,text.text
- hvci_status.vbs_status - 基于虚拟化的安全设置的状态。如果遇到错误,则返回 UNKNOWN。
vendor - 关键字,text.text
- block_devices.vendor - 块设备供应商字符串
- disk_events.vendor - 磁盘事件供应商字符串
- hardware_events.vendor - 硬件设备供应商
- pci_devices.vendor - PCI 设备供应商
- platform_info.vendor - 平台代码供应商
- rpm_packages.vendor - 软件包供应商
- usb_devices.vendor - USB 设备供应商字符串
vendor_id - 关键字,text.text
- connected_displays.vendor_id - 显示器的供应商 ID。
- hardware_events.vendor_id - 十六进制编码的硬件供应商标识符
- pci_devices.vendor_id - 十六进制编码的 PCI 设备供应商标识符
- usb_devices.vendor_id - 十六进制编码的 USB 设备供应商标识符
vendor_syndrome - 关键字,text.text
- memory_error_info.vendor_syndrome - 与错误访问关联的供应商特定 ECC 症状或 CRC 数据
version - 关键字,text.text
- alf.version - 应用层防火墙版本
- apt_sources.version - 存储库源版本
- atom_packages.version - 软件包提供的版本
- authorizations.version - 标签顶级密钥
- azure_instance_metadata.version - 虚拟机映像的版本
- bitlocker_info.version - 驱动器的 FVE 元数据版本。
- browser_plugins.version - 插件简短版本
- chocolatey_packages.version - 软件包提供的版本
- chrome_extension_content_scripts.version - 扩展程序提供的版本
- chrome_extensions.version - 扩展程序提供的版本
- crashes.version - 崩溃进程的版本信息
- curl_certificate.version - 版本号
- deb_packages.version - 软件包版本
- device_firmware.version - 固件版本
- docker_version.version - Docker 版本
- drivers.version - 驱动程序版本
- es_process_events.version - EndpointSecurity 事件的版本
- es_process_file_events.version - EndpointSecurity 事件的版本
- firefox_addons.version - 附加组件提供的版本字符串
- gatekeeper.version - Gatekeeper 的 gke.bundle 版本
- homebrew_packages.version - 当前*链接的*版本
- hvci_status.version - Device Guard 版本的版本号。
- ie_extensions.version - 可执行文件的版本
- intel_me_info.version - Intel ME 版本
- kernel_extensions.version - 扩展程序版本
- kernel_info.version - 内核版本
- npm_packages.version - 软件包提供的版本
- office_mru.version - Office 应用程序版本号
- os_version.version - 适用于演示的漂亮操作系统版本
- osquery_extensions.version - 扩展程序的版本
- osquery_info.version - osquery 工具包版本
- osquery_packs.version - 此查询将在其上运行的最低 osquery 版本
- package_install_history.version - 软件包显示版本
- package_receipts.version - 已安装的软件包版本
- platform_info.version - 平台代码版本
- portage_keywords.version - 受 use 标志影响的版本,为空表示所有版本
- portage_packages.version - 受 use 标志影响的版本,为空表示所有版本
- portage_use.version - 已安装软件包的版本
- programs.version - 产品版本信息。
- python_packages.version - 软件包提供的版本
- rpm_packages.version - 软件包版本
- safari_extensions.version - 扩展程序长版本
- system_extensions.version - 系统扩展程序版本
- usb_devices.version - USB 设备版本号
- windows_crashes.version - 发生崩溃的进程的文件版本信息
video_mode - 关键字,text.text
- video_info.video_mode - 显示器的当前分辨率。
virtual_process - 关键字,number.long
- processes.virtual_process - 进程是虚拟的(例如系统、注册表、vmmem),是=1,否=0
visible - 关键字,number.long
- firefox_addons.visible - 如果插件显示在浏览器中,则为 1,否则为 0
visible_alarm - 关键字,text.text
- chassis_info.visible_alarm - 如果为 TRUE,则机架配有可视警报。
vm_id - 关键字,text.text
- azure_instance_metadata.vm_id - 虚拟机的唯一标识符
- azure_instance_tags.vm_id - 虚拟机的唯一标识符
vm_scale_set_name - 关键字,text.text
- azure_instance_metadata.vm_scale_set_name - 虚拟机规模集名称
vm_size - 关键字,text.text
- azure_instance_metadata.vm_size - 虚拟机大小
voltage - 关键字,number.long
- battery.voltage - 电池当前电压,单位为 mV
volume_creation - 关键字,text.text
- prefetch.volume_creation - 卷创建时间。
volume_id - 关键字,number.long
- quicklook_cache.volume_id - 从 fs_id 解析的卷 ID
volume_serial - 关键字,text.text
- file.volume_serial - 卷序列号
- prefetch.volume_serial - 卷序列号。
volume_size - 关键字,number.long
- platform_info.volume_size - (可选)固件卷大小
wall_time - 关键字,number.long
- osquery_schedule.wall_time - 执行所花费的总实际时间(以秒为单位)(已弃用),hidden=True
wall_time_ms - 关键字,number.long
- osquery_schedule.wall_time_ms - 执行所花费的总实际时间(以毫秒为单位)
warning - 关键字,number.long
- shadow.warning - 密码过期前提醒用户的天数
was_captive_network - 关键字,number.long
- wifi_networks.was_captive_network - 如果此网络以前是强制网络,则为 1,否则为 0
watch_paths - 关键字,text.text
- launchd.watch_paths - 如果路径被修改,则启动守护进程或代理的密钥
watcher - 关键字,number.long
- osquery_info.watcher - 可选的 watcher 进程的进程(或线程/句柄)ID
weekday - 关键字,text.text
- time.weekday - UTC 当前星期几
win32_exit_code - 关键字,number.long
- services.win32_exit_code - 服务在启动或停止时用来报告错误的错误代码
win_timestamp - 关键字,number.long
- time.win_timestamp - 时间戳值,单位为 100 纳秒
windows_security_center_service - 关键字,text.text
- windows_security_center.windows_security_center_service - Windows 安全中心服务的运行状况
wired - 关键字,number.long
- virtual_memory_info.wired - 锁定页面的总数。
wired_size - 关键字,number.long
- docker_container_processes.wired_size - 进程使用的不可分页内存字节数
- processes.wired_size - 进程使用的不可分页内存字节数
working_directory - 关键字,text.text
- launchd.working_directory - 用于指定在启动前要切换到的目录的密钥
working_disks - 关键字,number.long
- md_devices.working_disks - 阵列中正常工作的磁盘数
world - 关键字,number.long
- portage_packages.world - 如果软件包位于 world 文件中
writable - 关键字,number.long
- disk_events.writable - 如果可写,则为 1,否则为 0
xpath - 关键字,text.text
- windows_eventlog.xpath - 用于过滤事件的自定义查询
year - 关键字,number.long
- time.year - UTC 当前年份
zero_fill - 关键字,number.long
- virtual_memory_info.zero_fill - 零填充页面的总数。
zone - 关键字,text.text
- azure_instance_metadata.zone - 虚拟机的可用区
- ycloud_instance_metadata.zone - 虚拟机的可用区