› ›

时间线模式

编辑

时间线模式

编辑

时间线模式列出了使用“创建时间线”API 创建时间线或时间线模板所需的所有 JSON 字段和对象。

所有列、拖放区和筛选字段必须是 ECS 字段。

此屏幕截图将时间线 UI 组件映射到它们的 JSON 对象

标题 (title)
全局备注 (globalNotes)
数据视图 (dataViewId)
KQL 查询栏 (kqlQuery)
时间筛选器 (dateRange)
附加筛选器 (filters)
KQL 查询栏模式 (kqlMode)
拖放区 (每个子句都包含在其自己的 dataProviders 对象中)
列标题 (columns)
特定事件备注 (eventNotes)

名称	类型	描述
`columns`	columns[]	时间线的列。
`created`	浮点数	创建时间，使用 13 位数字纪元时间戳。
`createdBy`	字符串	创建时间线的用户。
`dataProviders`	dataProviders[]	包含拖放区查询子句的对象。
`dataViewId`	字符串	时间线数据视图的 ID，例如：`"dataViewId":"security-solution-default"`。
`dateRange`	dateRange	时间线的搜索时间段 `end`：搜索事件截止时间，使用 13 位数字纪元时间戳。 `start`：搜索事件起始时间，使用 13 位数字纪元时间戳。
`description`	字符串	时间线的描述。
`eventNotes`	eventNotes[]	添加到时间线中特定事件的备注。
`eventType`	字符串	时间线中显示的事件类型，可以是 `所有数据源` `Events`：仅限事件源 `Detection Alerts`：仅限检测告警
`favorite`	favorite[]	指示何时以及谁将时间线标记为收藏。
`filters`	filters[]	除了拖放区查询之外使用的筛选器。
`globalNotes`	globalNotes[]	添加到时间线的全局备注。
`kqlMode`	字符串	指示 KQL 查询栏是筛选拖放区查询结果还是搜索其他结果，其中 `filter`：筛选拖放区查询结果 `search`：显示其他搜索结果
`kqlQuery`	kqlQuery	KQL 查询栏查询。
`pinnedEventIds`	pinnedEventIds[]	固定到时间线搜索结果的事件 ID。
`savedObjectId`	字符串	时间线的已保存对象 ID。
`savedQueryId`	字符串	如果使用，则用于筛选或搜索拖放区查询结果的已保存查询 ID。
`sort`	sort	指示时间线网格中如何排序行的对象 `columnId` (字符串)：用于排序结果的列的 ID。 `sortDirection` (字符串)：排序方向，可以是 `desc` 或 `asc`。
`templateTimelineId`	字符串	时间线模板的唯一 ID (UUID)。对于时间线，值为 `null`。
`templateTimelineVersion`	整数	时间线模板版本号。对于时间线，值为 `null`。
`timelineType`	字符串	指示时间线是否是模板，其中 `default`：指示用于主动调查事件的时间线。 `template`：指示在时间线中调查检测规则告警时使用的时间线模板。
`title`	字符串	时间线的标题。
`updated`	浮点数	时间线上次更新时间，使用 13 位数字纪元时间戳。
`updatedBy`	字符串	上次更新时间线的用户。
`version`	字符串	时间线的版本。

columns 对象

编辑

名称	类型	描述
`aggregatable`	布尔值	指示字段是否可以在所有索引中聚合（用于在 UI 中排序列）。
`category`	字符串	字段所属的 ECS 字段集。
`description`	字符串	UI 列字段描述工具提示。
`example`	字符串	UI 列字段示例工具提示。
`indexes`	字符串	存在该字段且具有相同 Elasticsearch 类型的安全索引。`null` 表示所有安全索引都具有相同类型的字段。
`id`	字符串	ECS 字段名称，在 UI 中显示为列标题。
`type`	字符串	字段的类型。

dataProviders 对象

编辑

名称	类型	描述
`and`	dataProviders[]	使用 `AND` 逻辑的数组，包含拖放区查询子句。
`enabled`	布尔值	指示拖放区查询子句是否启用。
`excluded`	布尔值	指示拖放区查询子句是否使用 `NOT` 逻辑。
`id`	字符串	拖放区查询子句的唯一 ID。
`name`	字符串	拖放区查询子句的名称（从 UI 导出时间线时的子句值）。
`queryMatch`	queryMatch	拖放区查询子句 `field` (字符串)：用于搜索安全索引的字段。 `operator` (字符串)：子句的操作符，可以是 `:` - `field` 具有指定的 `value`。 `:*` - 字段存在。 `value` (字符串)：用于匹配结果的字段值。

eventNotes 对象

编辑

名称	类型	描述
`created`	浮点数	创建备注的时间，使用 13 位数字纪元时间戳。
`createdBy`	字符串	添加备注的用户。
`eventId`	字符串	添加备注的事件的 ID。
`note`	字符串	备注文本。
`noteId`	字符串	备注的 ID
`timelineId`	字符串	添加备注的时间线的 ID。
`updated`	浮点数	上次更新备注的时间，使用 13 位数字纪元时间戳。
`updatedBy`	字符串	上次更新备注的用户。
`version`	字符串	备注的版本。

favorite 对象

编辑

名称	类型	描述
`favoriteDate`	浮点数	将时间线标记为收藏的时间，使用 13 位数字纪元时间戳。
`fullName`	字符串	将时间线标记为收藏的用户的全名。
`keySearch`	字符串	`userName` 使用 Base64 编码。
`userName`	字符串	将时间线标记为收藏的用户的 Kibana 用户名。

filters 对象

编辑

名称	类型	描述
`exists`	字符串	指定字段的存在项查询 (`null` 表示未定义)。例如，`{"field":"user.name"}`。
`meta`	meta	筛选器详细信息 `alias` (字符串)：UI 筛选器名称。 `disabled` (布尔值)：指示筛选器是否禁用。 `key`(字符串)：字段名称或唯一字符串 ID。 `negate` (布尔值)：指示筛选器查询子句是否使用 `NOT` 逻辑。 `params` (字符串)：`phrase` 筛选器类型的值。 `type` (字符串)：筛选器的类型。例如，`exists` 和 `range`。有关筛选的更多信息，请参见 Query DSL。
`match_all`	字符串	指定字段的全匹配项查询 (`null` 表示未定义)。
`query`	字符串	DSL 查询 (`null` 表示未定义)。例如，`{"match_phrase":{"ecs.version":"1.4.0"}}`。
`range`	字符串	范围查询 (`null` 表示未定义)。例如，`{"@timestamp":{"gte":"now-1d","lt":"now"}}"`。

globalNotes 对象

编辑

名称	类型	描述
`created`	浮点数	创建备注的时间，使用 13 位数字纪元时间戳。
`createdBy`	字符串	添加备注的用户。
`note`	字符串	备注文本。
`noteId`	字符串	备注的 ID
`timelineId`	字符串	添加备注的时间线的 ID。
`updated`	浮点数	上次更新备注的时间，使用 13 位数字纪元时间戳。
`updatedBy`	字符串	上次更新备注的用户。
`version`	字符串	备注的版本。

kqlQuery 对象

编辑

名称	类型	描述
`filterQuery`	filterQuery	包含查询详细信息的对象 `kuery`：包含查询的子句和类型 `expression`(字符串)：查询的子句。 `kind` (字符串)：查询的类型，可以是 `kuery` 或 `lucene`。 `serializedQuery` (字符串)：JSON 格式表示的查询。

« Elastic 安全 ECS 字段参考告警模式 »