@timestamp
|
@timestamp
|
ECS 字段,表示创建或最近更新警报的时间。 |
message
|
message
|
如果存在,来自源文档的 ECS 字段,用于自定义查询和指标匹配规则。 |
tags
|
tags
|
如果存在,来自源文档的 ECS 字段,用于自定义查询和指标匹配规则。 |
labels
|
labels
|
如果存在,来自源文档的 ECS 字段,用于自定义查询和指标匹配规则。 |
ecs.version
|
ecs.version
|
警报的 ECS 映射版本。 |
event.kind
|
event.kind
|
ECS 字段,对于警报文档始终为 signal。 |
event.category
|
event.category
|
如果存在,来自源文档的 ECS 字段,用于自定义查询和指标匹配规则。 |
event.type
|
event.type
|
如果存在,来自源文档的 ECS 字段,用于自定义查询和指标匹配规则。 |
event.outcome
|
event.outcome
|
如果存在,来自源文档的 ECS 字段,用于自定义查询和指标匹配规则。 |
agent.*
|
agent.*
|
如果存在,来自源文档的 ECS agent.* 字段,用于自定义查询和指标匹配规则。 |
client.*
|
client.*
|
如果存在,来自源文档的 ECS client.* 字段,用于自定义查询和指标匹配规则。 |
cloud.*
|
cloud.*
|
如果存在,来自源文档的 ECS cloud.* 字段,用于自定义查询和指标匹配规则。 |
container.*
|
container.*
|
如果存在,来自源文档的 ECS container.* 字段,用于自定义查询和指标匹配规则。 |
data_stream.*
|
data_stream.*
|
如果存在,来自源文档的 ECS data_stream.* 字段,用于自定义查询和指标匹配规则。
注意:这些字段在源文档中可能是常量关键字,但作为关键字被复制到警报文档中。 |
destination.*
|
destination.*
|
如果存在,来自源文档的 ECS destination.* 字段,用于自定义查询和指标匹配规则。 |
dll.*
|
dll.*
|
如果存在,来自源文档的 ECS dll.* 字段,用于自定义查询和指标匹配规则。 |
dns.*
|
dns.* |
如果存在,来自源文档的 ECS dns.* 字段,用于自定义查询和指标匹配规则。 |
error.*
|
error.*
|
如果存在,来自源文档的 ECS error.* 字段,用于自定义查询和指标匹配规则。 |
event.*
|
event.*
|
如果存在,来自源文档的 ECS event.* 字段,用于自定义查询和指标匹配规则。
注意:上面的分类字段(event.kind、event.category、event.type、event.outcome)在上面单独列出。 |
file.*
|
file.*
|
如果存在,来自源文档的 ECS file.* 字段,用于自定义查询和指标匹配规则。 |
group.*
|
group.*
|
如果存在,来自源文档的 ECS group.* 字段,用于自定义查询和指标匹配规则。 |
host.*
|
host.*
|
如果存在,来自源文档的 ECS host.* 字段,用于自定义查询和指标匹配规则。 |
http.*
|
http.*
|
如果存在,来自源文档的 ECS http.* 字段,用于自定义查询和指标匹配规则。 |
log.*
|
log.*
|
如果存在,来自源文档的 ECS log.* 字段,用于自定义查询和指标匹配规则。 |
network.*
|
network.*
|
如果存在,来自源文档的 ECS network.* 字段,用于自定义查询和指标匹配规则。 |
observer.*
|
observer.*
|
如果存在,来自源文档的 ECS observer.* 字段,用于自定义查询和指标匹配规则。 |
orchestrator.*
|
orchestrator.*
|
如果存在,来自源文档的 ECS orchestrator.* 字段,用于自定义查询和指标匹配规则。 |
organization.*
|
organization.*
|
如果存在,来自源文档的 ECS organization.* 字段,用于自定义查询和指标匹配规则。 |
package.*
|
package.*
|
如果存在,来自源文档的 ECS package.* 字段,用于自定义查询和指标匹配规则。 |
process.*
|
process.*
|
如果存在,来自源文档的 ECS process.* 字段,用于自定义查询和指标匹配规则。 |
registry.*
|
registry.*
|
如果存在,来自源文档的 ECS registry.* 字段,用于自定义查询和指标匹配规则。 |
related.*
|
related.*
|
如果存在,来自源文档的 ECS related.* 字段,用于自定义查询和指标匹配规则。 |
rule.*
|
rule.*
|
如果存在,来自源文档的 ECS rule.* 字段,用于自定义查询和指标匹配规则。
注意:这些字段与生成警报的检测规则无关。 |
server.*
|
server.*
|
如果存在,来自源文档的 ECS server.* 字段,用于自定义查询和指标匹配规则。 |
service.*
|
service.*
|
如果存在,来自源文档的 ECS service.* 字段,用于自定义查询和指标匹配规则。 |
source.*
|
source.*
|
如果存在,来自源文档的 ECS source.* 字段,用于自定义查询和指标匹配规则。 |
span.*
|
span.*
|
如果存在,来自源文档的 ECS span.* 字段,用于自定义查询和指标匹配规则。 |
threat.*
|
threat.*
|
如果存在,来自源文档的 ECS threat.* 字段,用于自定义查询和指标匹配规则。 |
tls.*
|
tls.*
|
如果存在,来自源文档的 ECS tls.* 字段,用于自定义查询和指标匹配规则。 |
trace.*
|
trace.*
|
如果存在,来自源文档的 ECS trace.* 字段,用于自定义查询和指标匹配规则。 |
transaction.*
|
transaction.*
|
如果存在,来自源文档的 ECS transaction.* 字段,用于自定义查询和指标匹配规则。 |
url.*
|
url.*
|
如果存在,来自源文档的 ECS url.* 字段,用于自定义查询和指标匹配规则。 |
user.*
|
user.*
|
如果存在,来自源文档的 ECS user.* 字段,用于自定义查询和指标匹配规则。 |
user_agent.*
|
user_agent.*
|
如果存在,来自源文档的 ECS user_agent.* 字段,用于自定义查询和指标匹配规则。 |
vulnerability.*
|
vulnerability.*
|
如果存在,来自源文档的 ECS vulnerability.* 字段,用于自定义查询和指标匹配规则。 |
signal.ancestors.*
|
kibana.alert.ancestors.*
|
类型:对象 |
signal.depth
|
kibana.alert.depth
|
类型:长整型 |
N/A |
kibana.alert.new_terms
|
生成此警报的新术语的值。
类型:关键字 |
signal.original_event.*
|
kibana.alert.original_event.*
|
类型:对象 |
signal.original_time
|
kibana.alert.original_time
|
从源事件 (@timestamp) 复制的值。
类型:日期 |
signal.reason
|
kibana.alert.reason
|
类型:关键字 |
signal.rule.author
|
kibana.alert.rule.author
|
创建规则的 author 的值。请参考 配置高级规则设置。
类型:关键字 |
signal.rule.building_block_type
|
kibana.alert.building_block_type
|
生成此警报的规则的 building_block_type 值。请参考 配置高级规则设置。
类型:关键字 |
signal.rule.created_at
|
kibana.alert.rule.created_at
|
生成此警报的规则的 created.at 值。
类型:日期 |
signal.rule.created_by
|
kibana.alert.rule.created_by
|
类型:关键字 |
signal.rule.description
|
kibana.alert.rule.description
|
类型:关键字 |
signal.rule.enabled
|
kibana.alert.rule.enabled
|
类型:关键字 |
signal.rule.false_positives
|
kibana.alert.rule.false_positives
|
类型:关键字 |
signal.rule.from
|
kibana.alert.rule.from
|
类型:关键字 |
signal.rule.id
|
kibana.alert.rule.uuid
|
类型:关键字 |
signal.rule.immutable
|
kibana.alert.rule.immutable
|
类型:关键字 |
signal.rule.interval
|
kibana.alert.rule.interval
|
类型:关键字 |
signal.rule.license
|
kibana.alert.rule.license
|
类型:关键字 |
signal.rule.max_signals
|
kibana.alert.rule.max_signals
|
类型:长整型 |
signal.rule.name
|
kibana.alert.rule.name
|
类型:关键字 |
signal.rule.note
|
kibana.alert.rule.note
|
类型:关键字 |
signal.rule.references
|
kibana.alert.rule.references
|
类型:关键字 |
signal.rule.risk_score
|
kibana.alert.risk_score
|
类型:浮点型 |
signal.rule.rule_id
|
kibana.alert.rule.rule_id
|
类型:关键字 |
signal.rule.rule_name_override
|
kibana.alert.rule.rule_name_override
|
类型:关键字 |
signal.rule.severity
|
kibana.alert.severity
|
警报严重性,由警报创建时的 rule_type 填充。必须具有 low、medium、high、critical 的值。
类型:关键字 |
signal.rule.tags
|
kibana.alert.rule.tags
|
类型:关键字 |
signal.rule.threat.*
|
kibana.alert.rule.threat.*
|
类型:对象 |
signal.rule.timeline_id
|
kibana.alert.rule.timeline_id
|
类型:关键字 |
signal.rule.timeline_title
|
kibana.alert.rule.timeline_title
|
类型:关键字 |
signal.rule.timestamp_override
|
kibana.alert.rule.timestamp_override
|
类型:关键字 |
signal.rule.to
|
kibana.alert.rule.to
|
类型:关键字 |
signal.rule.type
|
kibana.alert.rule.type
|
类型:关键字 |
signal.rule.updated_at
|
kibana.alert.rule.updated_at
|
类型:日期 |
signal.rule.updated_by
|
kibana.alert.rule.updated_by
|
类型:关键字 |
signal.rule.version
|
kibana.alert.rule.version
|
表示规则版本的数字。
类型:关键字 |
N/A |
kibana.alert.rule.revision
|
每次编辑规则时都会递增的数字。
类型:长整型 |
signal.status
|
kibana.alert.workflow_status
|
类型:关键字 |
N/A |
kibana.alert.workflow_status_updated_at
|
警报状态最后更新的时间戳。
类型:日期 |
signal.threshold_result.*
|
kibana.alert.threshold_result.*
|
类型:对象 |
signal.group.id
|
kibana.alert.group.id
|
类型:关键字 |
signal.group.index
|
kibana.alert.group.index
|
类型:整型 |
signal.rule.index
|
kibana.alert.rule.parameters.index
|
类型:扁平化 |
signal.rule.language
|
kibana.alert.rule.parameters.language
|
类型:扁平化 |
signal.rule.query
|
kibana.alert.rule.parameters.query
|
类型:扁平化 |
signal.rule.risk_score_mapping
|
kibana.alert.rule.parameters.risk_score_mapping
|
类型:扁平化 |
signal.rule.saved_id
|
kibana.alert.rule.parameters.saved_id
|
类型:扁平化 |
signal.rule.severity_mapping
|
kibana.alert.rule.parameters.severity_mapping
|
类型:扁平化 |
signal.rule.threat_filters
|
kibana.alert.rule.parameters.threat_filters
|
类型:扁平化 |
signal.rule.threat_index
|
kibana.alert.rule.parameters.threat_index
|
指标索引的名称。
类型:扁平化 |
signal.rule.threat_indicator_path
|
kibana.alert.rule.parameters.threat_indicator_path
|
类型:扁平化 |
signal.rule.threat_language
|
kibana.alert.rule.parameters.threat_language
|
类型:扁平化 |
signal.rule.threat_mapping.*
|
kibana.alert.rule.parameters.threat_mapping.*
|
控制将在指标和源文档中比较的字段。
类型:扁平化 |
signal.rule.threat_query
|
kibana.alert.rule.parameters.threat_query
|
类型:扁平化 |
signal.rule.threshold.*
|
kibana.alert.rule.parameters.threshold.*
|
类型:扁平化 |
N/A |
kibana.space_ids
|
类型:关键字 |
N/A |
kibana.alert.rule.consumer
|
类型:关键字 |
N/A |
kibana.alert.status
|
类型:关键字 |
N/A |
kibana.alert.rule.category
|
类型:关键字 |
N/A |
kibana.alert.rule.execution.uuid
|
类型:关键字 |
N/A |
kibana.alert.rule.producer
|
类型:关键字 |
N/A |
kibana.alert.rule.rule_type_id
|
类型:关键字 |
N/A |
kibana.alert.suppression.terms.field
|
用于对警报进行分组以进行抑制的字段。
类型:关键字 |
N/A |
kibana.alert.suppression.terms.value
|
抑制字段中的值。
类型:关键字 |
N/A |
kibana.alert.suppression.start
|
抑制组中第一个文档的时间戳。
类型:日期 |
N/A |
kibana.alert.suppression.end
|
抑制组中最后一个文档的时间戳。
类型:日期 |
N/A |
kibana.alert.suppression.docs_count
|
被抑制警报的数量。
类型:长整型 |
N/A |
kibana.alert.url
|
警报的可共享 URL。
类型:长整型
|
N/A |
kibana.alert.workflow_tags
|
添加到警报的标签列表。
此字段可以包含一个值数组,例如:["False Positive", "production"]
类型:关键字
|
N/A |
kibana.alert.workflow_assignee_ids
|
分配给警报的用户列表。
用户配置文件的唯一标识符 (UID) 数组,例如:["u_1-0CcWliOCQ9T2MrK5YDjhpxZ_AcxPKt3pwaICcnAUY_0, u_2-0CcWliOCQ9T2MrK5YDjhpxZ_AcxPKt3pwaICcnAUY_1"]
UID 与用户配置文件链接,这些配置文件在用户首次登录部署时自动创建。这些配置文件包含姓名、电子邮件、个人资料头像和其他用户设置。
类型:string[]
|