告警模式

@timestamp

@timestamp

ECS 字段，表示创建告警或最近更新告警的时间。

message

message

ECS 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

tags

tags

ECS 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

labels

labels

ECS 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

ecs.version

ecs.version

告警的 ECS 映射版本。

event.kind

event.kind

ECS 字段，对于告警文档，始终为 signal。

event.category

event.category

ECS 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

event.type

event.type

ECS 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

event.outcome

event.outcome

ECS 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

agent.*

agent.*

ECS agent.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

client.*

client.*

ECS client.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

cloud.*

cloud.*

ECS cloud.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

container.*

container.*

ECS container.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

data_stream.*

data_stream.*

ECS data_stream.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

注意：这些字段在源文档中可能是常量关键字，但会作为关键字复制到告警文档中。

destination.*

destination.*

ECS destination.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

dll.*

dll.*

ECS dll.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

dns.*

dns.*

ECS dns.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

error.*

error.*

ECS error.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

event.*

event.*

ECS event.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

注意：上述分类字段（event.kind、event.category、event.type、event.outcome）已在上面单独列出。

file.*

file.*

ECS file.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

group.*

group.*

ECS group.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

host.*

host.*

ECS host.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

http.*

http.*

ECS http.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

log.*

log.*

ECS log.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

network.*

network.*

ECS network.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

observer.*

observer.*

ECS observer.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

orchestrator.*

orchestrator.*

ECS orchestrator.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

organization.*

organization.*

ECS organization.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

package.*

package.*

ECS package.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

process.*

process.*

ECS process.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

registry.*

registry.*

ECS registry.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

related.*

related.*

ECS related.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

rule.*

rule.*

ECS rule.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

注意：这些字段与生成告警的检测规则无关。

server.*

server.*

ECS server.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

service.*

service.*

ECS service.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

source.*

source.*

ECS source.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

span.*

span.*

ECS span.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

threat.*

threat.*

ECS threat.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

tls.*

tls.*

ECS tls.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

trace.*

trace.*

ECS trace.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

transaction.*

transaction.*

ECS transaction.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

url.*

url.*

ECS url.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

user.*

user.*

ECS user.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

user_agent.*

user_agent.*

ECS user_agent.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

vulnerability.*

vulnerability.*

ECS vulnerability.* 字段，如果存在，则从源文档复制，用于自定义查询和指标匹配规则。

signal.ancestors.*

kibana.alert.ancestors.*

类型：对象

signal.depth

kibana.alert.depth

类型：长整型

不适用

kibana.alert.new_terms

生成此告警的新术语的值。

类型：关键字

signal.original_event.*

kibana.alert.original_event.*

类型：对象

signal.original_time

kibana.alert.original_time

从源事件复制的值（@timestamp）。

类型：日期

signal.reason

kibana.alert.reason

类型：关键字

signal.rule.author

kibana.alert.rule.author

创建规则的 author 的值。请参阅 配置高级规则设置。

类型：关键字

signal.rule.building_block_type

kibana.alert.building_block_type

生成此告警的规则中的 building_block_type 值。请参阅 配置高级规则设置。

类型：关键字

signal.rule.created_at

kibana.alert.rule.created_at

生成此告警的规则中的 created.at 值。

类型：日期

signal.rule.created_by

kibana.alert.rule.created_by

类型：关键字

signal.rule.description

kibana.alert.rule.description

类型：关键字

signal.rule.enabled

kibana.alert.rule.enabled

类型：关键字

signal.rule.false_positives

kibana.alert.rule.false_positives

类型：关键字

signal.rule.from

kibana.alert.rule.from

类型：关键字

signal.rule.id

kibana.alert.rule.uuid

类型：关键字

signal.rule.immutable

kibana.alert.rule.immutable

类型：关键字

signal.rule.interval

kibana.alert.rule.interval

类型：关键字

signal.rule.license

kibana.alert.rule.license

类型：关键字

signal.rule.max_signals

kibana.alert.rule.max_signals

类型：长整型

signal.rule.name

kibana.alert.rule.name

类型：关键字

signal.rule.note

kibana.alert.rule.note

类型：关键字

signal.rule.references

kibana.alert.rule.references

类型：关键字

signal.rule.risk_score

kibana.alert.risk_score

类型：浮点型

signal.rule.rule_id

kibana.alert.rule.rule_id

类型：关键字

signal.rule.rule_name_override

kibana.alert.rule.rule_name_override

类型：关键字

signal.rule.severity

kibana.alert.severity

告警严重性，由创建告警时的 rule_type 填充。必须具有 low、medium、high、critical 值。

类型：关键字

signal.rule.tags

kibana.alert.rule.tags

类型：关键字

signal.rule.threat.*

kibana.alert.rule.threat.*

类型：对象

signal.rule.timeline_id

kibana.alert.rule.timeline_id

类型：关键字

signal.rule.timeline_title

kibana.alert.rule.timeline_title

类型：关键字

signal.rule.timestamp_override

kibana.alert.rule.timestamp_override

类型：关键字

signal.rule.to

kibana.alert.rule.to

类型：关键字

signal.rule.type

kibana.alert.rule.type

类型：关键字

signal.rule.updated_at

kibana.alert.rule.updated_at

类型：日期

signal.rule.updated_by

kibana.alert.rule.updated_by

类型：关键字

signal.rule.version

kibana.alert.rule.version

表示规则版本的数字。

类型：关键字

不适用

kibana.alert.rule.revision

每次编辑规则时都会递增的数字。

类型：长整型

signal.status

kibana.alert.workflow_status

类型：关键字

不适用

kibana.alert.workflow_status_updated_at

上次更新告警状态的时间戳。

类型：日期

signal.threshold_result.*

kibana.alert.threshold_result.*

类型：对象

signal.group.id

kibana.alert.group.id

类型：关键字

signal.group.index

kibana.alert.group.index

类型：整型

signal.rule.index

kibana.alert.rule.parameters.index

类型：扁平化

signal.rule.language

kibana.alert.rule.parameters.language

类型：扁平化

signal.rule.query

kibana.alert.rule.parameters.query

类型：扁平化

signal.rule.risk_score_mapping

kibana.alert.rule.parameters.risk_score_mapping

类型：扁平化

signal.rule.saved_id

kibana.alert.rule.parameters.saved_id

类型：扁平化

signal.rule.severity_mapping

kibana.alert.rule.parameters.severity_mapping

类型：扁平化

signal.rule.threat_filters

kibana.alert.rule.parameters.threat_filters

类型：扁平化

signal.rule.threat_index

kibana.alert.rule.parameters.threat_index

指标索引的名称。

类型：扁平化

signal.rule.threat_indicator_path

kibana.alert.rule.parameters.threat_indicator_path

类型：扁平化

signal.rule.threat_language

kibana.alert.rule.parameters.threat_language

类型：扁平化

signal.rule.threat_mapping.*

kibana.alert.rule.parameters.threat_mapping.*

控制将在指标和源文档中比较哪些字段。

类型：扁平化

signal.rule.threat_query

kibana.alert.rule.parameters.threat_query

类型：扁平化

signal.rule.threshold.*

kibana.alert.rule.parameters.threshold.*

类型：扁平化

不适用

kibana.space_ids

类型：关键字

不适用

kibana.alert.rule.consumer

类型：关键字

不适用

kibana.alert.status

类型：关键字

不适用

kibana.alert.rule.category

类型：关键字

不适用

kibana.alert.rule.execution.uuid

类型：关键字

不适用

kibana.alert.rule.producer

类型：关键字

不适用

kibana.alert.rule.rule_type_id

类型：关键字

不适用

kibana.alert.suppression.terms.field

用于对告警进行分组以进行抑制的字段。

类型：关键字

不适用

kibana.alert.suppression.terms.value

抑制字段中的值。

类型：关键字

不适用

kibana.alert.suppression.start

抑制组中第一个文档的时间戳。

类型：日期

不适用

kibana.alert.suppression.end

抑制组中最后一个文档的时间戳。

类型：日期

不适用

kibana.alert.suppression.docs_count

被抑制的告警数量。

类型：长整型

不适用

kibana.alert.url

告警的可共享URL。

类型：长整型

不适用

kibana.alert.workflow_tags

添加到告警的标签列表。

此字段可以包含一个值数组，例如：["误报", "生产环境"]

类型：关键字

不适用

kibana.alert.workflow_assignee_ids

分配给告警的用户列表。

用户配置文件的唯一标识符 (UID) 数组，例如：["u_1-0CcWliOCQ9T2MrK5YDjhpxZ_AcxPKt3pwaICcnAUY_0, u_2-0CcWliOCQ9T2MrK5YDjhpxZ_AcxPKt3pwaICcnAUY_1"]

UID 链接到用户首次登录部署时自动创建的用户配置文件。这些配置文件包含姓名、电子邮件、个人资料头像和其他用户设置。

类型：string[]

不适用

kibana.alert.intended_timestamp

显示告警的预估时间戳，假设告警是在源事件最初发生时创建的。此字段中的值取决于规则的运行方式。

类型：日期

不适用

kibana.alert.rule.execution.type

显示告警是由手动运行还是计划运行创建的。值可以是manual或scheduled。

类型：关键字