› ›

时间线模式

时间线模式编辑

时间线模式列出了使用“创建时间线”API 创建时间线或时间线模板所需的所有 JSON 字段和对象。

所有列、放置区和筛选器字段必须是 ECS 字段。

此屏幕截图将时间线 UI 组件映射到其 JSON 对象。

标题 (title)
全局备注 (globalNotes)
数据视图 (dataViewId)
KQL 栏查询 (kqlQuery)
时间筛选器 (dateRange)
其他筛选器 (filters)
KQL 栏模式 (kqlMode)
放置区 (每个子句都包含在自己的 dataProviders 对象中)
列标题 (columns)
特定于事件的备注 (eventNotes)

名称	类型	描述
`columns`	columns[]	时间线的列。
`created`	浮点型	时间线创建的时间，使用 13 位 Epoch 时间戳。
`createdBy`	字符串	创建时间线的用户。
`dataProviders`	dataProviders[]	包含放置区查询子句的对象。
`dataViewId`	字符串	时间线数据视图的 ID，例如：`"dataViewId":"security-solution-default"`。
`dateRange`	dateRange	时间线的搜索时间段 `end`: 搜索事件的时间上限，使用 13 位 Epoch 时间戳。 `start`: 搜索事件的时间下限，使用 13 位 Epoch 时间戳。
`description`	字符串	时间线的描述。
`eventNotes`	eventNotes[]	添加到时间线中特定事件的备注。
`eventType`	字符串	时间线中显示的事件类型，可以是 `所有数据源` `Events`: 仅事件源 `Detection Alerts`: 仅检测警报
`favorite`	favorite[]	指示何时以及谁将时间线标记为收藏。
`filters`	filters[]	除了放置区查询之外使用的筛选器。
`globalNotes`	globalNotes[]	添加到时间线的全局备注。
`kqlMode`	字符串	指示 KQL 栏是筛选放置区查询结果还是搜索其他结果，其中 `filter`: 筛选放置区查询结果 `search`: 显示其他搜索结果
`kqlQuery`	kqlQuery	KQL 栏查询。
`pinnedEventIds`	pinnedEventIds[]	固定到时间线搜索结果的事件的 ID。
`savedObjectId`	字符串	时间线的已保存对象 ID。
`savedQueryId`	字符串	如果使用，则用于筛选或搜索放置区查询结果的已保存查询 ID。
`sort`	sort	指示时间线网格中如何排序行的对象 `columnId` (字符串): 用于排序结果的列的 ID。 `sortDirection` (字符串): 排序方向，可以是 `desc` 或 `asc`。
`templateTimelineId`	字符串	时间线模板的唯一 ID (UUID)。对于时间线，值为 `null`。
`templateTimelineVersion`	整数	时间线模板版本号。对于时间线，值为 `null`。
`timelineType`	字符串	指示时间线是否是模板，其中 `default`: 指示用于主动调查事件的时间线。 `template`: 指示在时间线中调查检测规则警报时使用的时间线模板。
`title`	字符串	时间线的标题。
`updated`	浮点型	时间线上次更新的时间，使用 13 位 Epoch 时间戳。
`updatedBy`	字符串	上次更新时间线的用户。
`version`	字符串	时间线的版本。

columns 对象编辑

名称	类型	描述
`aggregatable`	布尔型	指示该字段是否可以在所有索引中聚合（用于在 UI 中对列进行排序）。
`category`	字符串	字段所属的 ECS 字段集。
`description`	字符串	UI 列字段描述工具提示。
`example`	字符串	UI 列字段示例工具提示。
`indexes`	字符串	安全索引，其中存在字段，并且具有相同的 Elasticsearch 类型。当所有安全索引都具有相同类型的字段时，为 `null`。
`id`	字符串	ECS 字段名称，在 UI 中显示为列标题。
`type`	字符串	字段的类型。

dataProviders 对象编辑

名称	类型	描述
`and`	dataProviders[]	使用 `AND` 逻辑的放置区查询子句的数组。
`enabled`	布尔型	指示放置区查询子句是否已启用。
`excluded`	布尔型	指示放置区查询子句是否使用 `NOT` 逻辑。
`id`	字符串	放置区查询子句的唯一 ID。
`name`	字符串	放置区查询子句的名称（从 UI 中导出时间线时的子句值）。
`queryMatch`	queryMatch	放置区查询子句 `field` (字符串): 用于搜索安全索引的字段。 `operator` (字符串): 子句的运算符，可以是 `:` - `field` 具有指定的 `value`。 `:*` - 字段存在。 `value` (字符串): 用于匹配结果的字段值。

eventNotes 对象编辑

名称	类型	描述
`created`	浮点型	创建备注的时间，使用 13 位 Epoch 时间戳。
`createdBy`	字符串	添加备注的用户。
`eventId`	字符串	添加备注的事件的 ID。
`note`	字符串	备注的文本。
`noteId`	字符串	备注的 ID
`timelineId`	字符串	添加备注的时间线的 ID。
`updated`	浮点型	备注上次更新的时间，使用 13 位 Epoch 时间戳。
`updatedBy`	字符串	上次更新备注的用户。
`version`	字符串	备注的版本。

favorite 对象编辑

名称	类型	描述
`favoriteDate`	浮点型	将时间线标记为收藏的时间，使用 13 位 Epoch 时间戳。
`fullName`	字符串	将时间线标记为收藏的用户全名。
`keySearch`	字符串	`userName` 以 Base64 编码。
`userName`	字符串	将时间线标记为收藏的 Kibana 用户名。

filters 对象编辑

名称	类型	描述
`exists`	字符串	指定字段的存在项查询 (如果未定义，则为 `null`)。例如，`{"field":"user.name"}`。
`meta`	meta	筛选器详细信息 `alias` (字符串): UI 筛选器名称。 `disabled` (布尔型): 指示筛选器是否已禁用。 `key`(字符串): 字段名称或唯一字符串 ID。 `negate` (布尔型): 指示筛选器查询子句是否使用 `NOT` 逻辑。 `params` (字符串): `phrase` 筛选器类型的值。 `type` (字符串): 筛选器的类型。例如，`exists` 和 `range`。有关筛选的更多信息，请参阅 Query DSL。
`match_all`	字符串	指定字段的匹配所有项查询 (如果未定义，则为 `null`)。
`query`	字符串	DSL 查询 (如果未定义，则为 `null`)。例如，`{"match_phrase":{"ecs.version":"1.4.0"}}`。
`range`	字符串	范围查询 (如果未定义，则为 `null`)。例如，`{"@timestamp":{"gte":"now-1d","lt":"now"}}"`。

globalNotes 对象编辑

名称	类型	描述
`created`	浮点型	创建备注的时间，使用 13 位 Epoch 时间戳。
`createdBy`	字符串	添加备注的用户。
`note`	字符串	备注的文本。
`noteId`	字符串	备注的 ID
`timelineId`	字符串	添加备注的时间线的 ID。
`updated`	浮点型	备注上次更新的时间，使用 13 位 Epoch 时间戳。
`updatedBy`	字符串	上次更新备注的用户。
`version`	字符串	备注的版本。

kqlQuery 对象编辑

名称	类型	描述
`filterQuery`	filterQuery	包含查询详细信息的对象 `kuery`: 包含查询子句和类型的对象 `expression`(字符串): 查询的子句。 `kind` (字符串): 查询的类型，可以是 `kuery` 或 `lucene`。 `serializedQuery` (字符串): 以 JSON 格式表示的查询。

« Elastic Security ECS 字段参考警报模式 »