› ›

时间线模式

编辑

时间线模式

编辑

时间线模式列出了使用创建时间线 API 创建时间线或时间线模板所需的所有 JSON 字段和对象。

所有列、放置区和筛选器字段都必须是 ECS 字段。

此屏幕截图将时间线 UI 组件映射到其 JSON 对象

标题 (title)
全局注释 (globalNotes)
数据视图 (dataViewId)
KQL 查询栏 (kqlQuery)
时间筛选器 (dateRange)
其他筛选器 (filters)
KQL 栏模式 (kqlMode)
放置区（每个子句都包含在其自己的 dataProviders 对象中）
列标题 (columns)
特定于事件的注释 (eventNotes)

名称	类型	描述
`columns`	columns[]	时间线的列。
`created`	浮点数	使用 13 位 Epoch 时间戳创建时间线的时间。
`createdBy`	字符串	创建时间线的用户。
`dataProviders`	dataProviders[]	包含放置区查询子句的对象。
`dataViewId`	字符串	时间线的数据视图 ID，例如：`"dataViewId":"security-solution-default"`。
`dateRange`	dateRange	时间线的搜索期间 `end`：搜索事件截止的时间，使用 13 位 Epoch 时间戳。 `start`：搜索事件的开始时间，使用 13 位 Epoch 时间戳。
`description`	字符串	时间线的描述。
`eventNotes`	eventNotes[]	添加到时间线中特定事件的注释。
`eventType`	字符串	在时间线中显示的事件类型，可以是 `所有数据源` `Events`：仅事件源 `Detection Alerts`：仅检测告警
`favorite`	favorite[]	指示何时以及谁将时间线标记为收藏。
`filters`	filters[]	除了放置区查询之外使用的筛选器。
`globalNotes`	globalNotes[]	添加到时间线的全局注释。
`kqlMode`	字符串	指示 KQL 栏是筛选放置区查询结果还是搜索其他结果，其中 `filter`：筛选放置区查询结果 `search`：显示其他搜索结果
`kqlQuery`	kqlQuery	KQL 栏查询。
`pinnedEventIds`	pinnedEventIds[]	固定到时间线搜索结果的事件 ID。
`savedObjectId`	字符串	时间线的保存对象 ID。
`savedQueryId`	字符串	如果使用，则用于筛选或搜索放置区查询结果的保存查询 ID。
`sort`	sort	指示时间线网格中行排序方式的对象 `columnId`（字符串）：用于对结果进行排序的列的 ID。 `sortDirection`（字符串）：排序方向，可以是 `desc` 或 `asc`。
`templateTimelineId`	字符串	时间线模板的唯一 ID (UUID)。对于时间线，该值为 `null`。
`templateTimelineVersion`	整数	时间线模板版本号。对于时间线，该值为 `null`。
`timelineType`	字符串	指示时间线是否为模板，其中 `default`：指示用于主动调查事件的时间线。 `template`：指示在时间线中调查检测规则告警时使用的时间线模板。
`title`	字符串	时间线的标题。
`updated`	浮点数	上次更新时间线的时间，使用 13 位 Epoch 时间戳。
`updatedBy`	字符串	上次更新时间线的用户。
`version`	字符串	时间线的版本。

columns 对象

编辑

名称	类型	描述
`aggregatable`	布尔值	指示是否可以在所有索引中聚合该字段（用于在 UI 中对列进行排序）。
`category`	字符串	该字段所属的 ECS 字段集。
`description`	字符串	UI 列字段描述工具提示。
`example`	字符串	UI 列字段示例工具提示。
`indexes`	字符串	该字段存在且具有相同 Elasticsearch 类型的安全索引。当所有安全索引都具有相同类型的字段时为 `null`。
`id`	字符串	ECS 字段名称，在 UI 中显示为列标题。
`type`	字符串	字段的类型。

dataProviders 对象

编辑

名称	类型	描述
`and`	dataProviders[]	使用 `AND` 逻辑包含放置区查询子句的数组。
`enabled`	布尔值	指示是否启用放置区查询子句。
`excluded`	布尔值	指示放置区查询子句是否使用 `NOT` 逻辑。
`id`	字符串	id
`放置区查询子句的唯一 ID。`	字符串	name
`放置区查询子句的名称（从 UI 导出时间线时子句的值）。`	放置区查询子句的名称（从 UI 导出时间线时子句的值）。	queryMatch 放置区查询子句 `field`（字符串）：用于搜索安全索引的字段。 `operator`（字符串）：子句的运算符，可以是 `:` - `field` 具有指定的 `value`。 `:*` - 该字段存在。

`value`（字符串）：用于匹配结果的字段值。

编辑

名称	类型	描述
`created`	浮点数	eventNotes 对象
`createdBy`	字符串	created
`创建注释的时间，使用 13 位 Epoch 时间戳。`	字符串	createdBy
`添加注释的用户。`	字符串	eventId
`添加注释的事件的 ID。`	字符串	note
`注释的文本。`	字符串	noteId
`updated`	浮点数	注释的 ID
`updatedBy`	字符串	timelineId
`version`	字符串	添加注释的时间线的 ID。

updated

编辑

名称	类型	描述
`上次更新注释的时间，使用 13 位 Epoch 时间戳。`	浮点数	updatedBy
`上次更新注释的用户。`	字符串	version
`注释的版本。`	字符串	favorite 对象
`favoriteDate`	字符串	将时间线标记为收藏的时间，使用 13 位 Epoch 时间戳。

fullName

编辑

名称	类型	描述
`将时间线标记为收藏的用户的全名。`	字符串	keySearch
`以 Base64 编码的 userName。`	以 Base64 编码的 `userName`。	userName 将时间线标记为收藏的用户的 Kibana 用户名。 filters 对象 exists 指定字段的存在项查询（未定义时为 `null`）。例如，`{"field":"user.name"}`。 meta 筛选器详细信息
`alias（字符串）：UI 筛选器名称。`	字符串	`disabled`（布尔值）：指示是否禁用筛选器。
`key（字符串）：字段名称或唯一字符串 ID。`	字符串	`negate`（布尔值）：指示筛选器查询子句是否使用 `NOT` 逻辑。
`params（字符串）：phrase 筛选器类型的值。`	字符串	`type`（字符串）：筛选器类型。例如，`exists` 和 `range`。有关筛选的更多信息，请参阅查询 DSL。

match_all

编辑

名称	类型	描述
`created`	浮点数	eventNotes 对象
`createdBy`	字符串	created
`添加注释的用户。`	字符串	eventId
`添加注释的事件的 ID。`	字符串	note
`注释的文本。`	字符串	noteId
`updated`	浮点数	注释的 ID
`updatedBy`	字符串	timelineId
`version`	字符串	添加注释的时间线的 ID。

指定字段的匹配所有项查询（未定义时为 `null`）。

编辑

名称	类型	描述
`query`	query	DSL 查询（未定义时为 `null`）。例如，`{"match_phrase":{"ecs.version":"1.4.0"}}`。 range 范围查询（未定义时为 `null`）。例如，`{"@timestamp":{"gte":"now-1d","lt":"now"}}"`。 globalNotes 对象 kqlQuery 对象

« Elastic Security ECS 字段参考告警模式 »

时间线模式

时间线模式

columns 对象

dataProviders 对象

value（字符串）：用于匹配结果的字段值。

updated

fullName

match_all

指定字段的匹配所有项查询（未定义时为 null）。

`value`（字符串）：用于匹配结果的字段值。

指定字段的匹配所有项查询（未定义时为 `null`）。