安全数据湖 信息模型架构

alert_definitions_version

2020.14092348

关键字

表示正在使用的签名集合（如反病毒等）版本或标识值

alert_category

恶意软件、木马、勒索软件

关键字

未来：考虑到厂商会有自己的分类，我们如何定义该字段？或者无需担忧？可能移至衍生字段并仅设置允许值

alert_indicator

malware.exe, http://badsite

关键字

与触发告警事件相关的文件名、URL、数据包片段或其他特征

alert_response_level

0, 1, 2

字节

表示针对告警/威胁采取响应行动类型的数值。0=无操作（允许、忽略），1=阻止（拦截、隔离），2=清除（删除）。该数值可用于检测未拦截威胁，因产品可能对单一威胁记录多个事件。

alert_signature

关键字

厂商提供的告警文本描述

alert_signature_id

关键字

厂商特定的告警签名唯一标识符（例如Snort签名中的1:1905345:5）

alert_severity

严重、高、中、低、信息性

关键字

警报严重程度

alert_severity_level

1-5

字节

源消息严重性评级的数字表示：1=信息性，2=低，3=中，4=高，5=严重

application_name

Facebook、SQL、windows_rdp

关键字（ 标准化：仅小写 )

应用程序名称，可以是网络流量的第7层应用名称、认证服务/程序名称等

application_response_time

关键字

应用程序响应请求所需时间

application_sso_signonmode

关键字

单点登录（SSO）事件中用于访问应用程序的方法

application_sso_target_name

关键字

对于SSO事件，这是被访问应用程序的名称

关联类别

关键字

待定：不确定此字段是否有用

关联哈希值

6f9efb466e043b9f3635827ce446e13c

关键字

日志消息中所有关联的md5、sha1、sha256、sha512及imp哈希值

关联主机

10.1.2.3,corpdc01,corpdc01.corpdomain.local

关键字

未来计划：复制日志消息中的主机标识信息（IP、主机名等），尚未实现

关联IP

10.1.2.3,fe80:5cc3:11:4::2c

IP地址

日志消息关联的IP地址

关联MAC

a0:b4:44:01:a9:d1

关键字

日志消息关联的MAC地址（冒号分隔且小写）

关联会话ID

0xa72c

关键字

日志消息关联的会话ID

关联用户ID

999,S-1-5-18

关键字

该字段将映射到与用户上下文相关的所有用户ID值（uids、SIDs等）。该字段可能最终会从用户框架中填充。

关联用户名

administrator,administrator@corp.local

关键字（ 规范化:仅小写 )

任何关联/替代用户ID或电子邮件，可以是多个值的集合。

… _as_number

15169

关键字

唯一编号。ASN用于标识互联网上的每个网络

… _as_organization

Bitdefender

关键字

组织名称

… _as_isp

关键字

与IP地址关联的ISP

… _as_domain

关键字

与IP地址关联的域名

container_id

关键字

唯一容器ID

container_name

关键字

容器名称

container_namespace

关键字

容器运行的命名空间

destination_application_name

facebook, twitter

关键字

描述目标应用程序

destination_bytes_sent

203948

长整型

由目标发送至源的网络字节数。某些数据源可能将其显示为源接收字节数、接收字节数或类似名称。

destination_device_model

iPad

关键字

设备型号名称

destination_device_vendor

Apple, ASUS

关键字

设备厂商名称

destination_domain

corp.local

关键字（标准化：仅小写）

目标域上下文

destination_hostname

corpdc01

关键字（标准化：仅小写）

destination_ip

10.1.2.3, fe80:5cc3:11:4::2c

IP地址

IPv4和IPv6地址

destination_nat_ip

10.1.2.3, fe80:5cc3:11:4::2c

IP地址

由执行NAT功能的网络设备分配的转换后IP地址

目的NAT端口

2356

整数

由执行NAT功能的网络设备分配的转换后网络端口

目的操作系统名称

iOS, Android

关键字

操作系统名称

目的操作系统版本

iOS 10.0

关键字

操作系统版本号

目的端发送数据包数

73458324

长整型

传输至目的端点的数据包数量

目的端口

80, 443

整数

与网络连接端口关联的服务端口，范围0-65535

目的端口IANA名称

ssh, ftp

关键字

与网络应用关联的IANA注册服务名称。Illuminate Core将使用此值来定义 目的端口 在包含 目的IP 定义的事件中（若 目的端口 尚未定义）

目标区域

us-east-1

关键字

源设备所在区域的名称

目标ID

09VX93DD

关键字

目标的标识值（如序列号）

目标类型

关键字

目标设备信息（如型号）

目标虚拟机名称

关键字

虚拟系统名称（勿与主机名混淆）

目标虚拟系统UUID

1f5398c7-4d84-4499-84ee-d5e9246c52f8

关键字

目标虚拟系统唯一标识符

目标区域

内部

关键字

目标所属网络区域

destination_as_*

参见： as_*字段

destination_category

关键字

未来：来自实体映射

destination_geo_*

参见： geo_* 字段

destination_location_name

美国芝加哥，数据中心01，俾斯麦-财务部

关键字

该字段来源于企业内部网络定义或可用的地理位置字段

destination_mac

a0:b4:44:01:a9:d1

关键字

主机的MAC地址，冒号分隔且为小写

destination_priority

严重、高、中、低

关键字

未来：来自实体映射

destination_priority_level

4-Jan

字节

表示目标设备优先级的数值，1=低，2=中，3=高，4=严重

destination_reference

IPv4、IPv6、主机名、FQDN

关键字（规范化：仅小写）

自动从以下字段映射： destination_ip , destination_hostname , destination_target , destination_vm_name , desination_mac

email_attachment_file_name

attachment.exe

数组

附件的文件名。

email_attachment_file_size

1024

长整型

附件的字节大小。

email_bcc

stefan@example.com

关键字

密件抄送收件人/目的地的电子邮件地址。

email_cc

stefan@example.com

关键字

抄送收件人/目的地的电子邮件地址。

email_delivered_to

joe@example.com

关键字

这 Delivered-To 邮件头字段。

email_direction

入站、出站、横向

keyword

指示观察到的邮件流向。必须是入站、出站或横向之一，如果供应商提供的网络方向不同，应映射到这些值。

email_from

stefan@example.com

keyword

根据RFC 5322，指定负责实际传输/发送消息的地址。

email_message_id

<CAD78=PvAb+iLQ6x+221MGa-22@mail.gmail.com>

keyword

全局唯一的消息标识符。

email_raw_header

keyword

邮件认证头。

email_reply_to

stefan@example.com

keyword

根据RFC 5322中 Reply-To 头的值，回复应发送到的地址。

email_size

234

long

邮件的大小，以字节为单位。

email_subject

回复：转发：测试

keyword

邮件主题。

email_to

stefan@example.com

keyword

收件人/目的地的电子邮件地址。

email_uid

123456789A

keyword

电子邮件软件内部用于追踪消息的唯一标识符。

email_x_originating_ip

192.168.2.3

array

X-Originating-IP标头，标识电子邮件的原始IP地址(es)。

email_xmailer

spambot

keyword

创建并发送电子邮件的工具。

event_action

已阻止, 已允许, scan_start , scan_end , scan_pause , scan_cancel , scan_resume

keyword

日志（如防火墙日志或杀毒代理日志）中描述的操作行为

event_code

4624, 1

long

厂商定义的表示源消息类型的数字事件（如微软的EventCode/Event ID）。该字段作为数值处理以支持范围查询，前导零将被移除

event_created

2020-02-20 08:23:15.102, 1602080607

date

事件实际发生时间或原始事件消息创建时间

event_duration

10293874

long

所描述事件的持续时间（秒）

event_end

2021-03-26T11:25:13.113

date

日志消息中描述事件的结束时间，通常与具有持续时间的事件相关联

event_error_code

0xC00008

keyword

厂商提供的与当前消息相关的错误代码

event_error_description

ERROR_ACCESS_DENIED, Not Found

keyword

与当前消息关联的错误描述

事件ID

0023425, 90EF8

关键字

供应商提供的消息类型标识符。该标识符类似于 事件代码 但以横向字符串值形式映射。不支持范围搜索，且ID值不会以任何方式修改。

事件日志名称

安全日志, auth.log

关键字

日志引用，例如'Security'、'auth.log'等——这与 供应商子类型 不同，因其更多指向日志采集的原始来源。

事件日志路径

/var/log/syslog

关键字

日志文件源的完整路径

事件观察主机名

SERVER01.server01.corp.internal

关键字/仅小写

生成消息（如警报）的系统主机名或FQDN，例如基于网络流量检查的IDS或IPS。

事件观察器ID

234cd78sc

关键字

观察设备的唯一ID、序列号等

事件观察器IP

10.1.2.3, fe80:5cc3:11:4::2c

IP

事件观察器的IP地址

事件观察器UID

keyword

与事件观察者关联的唯一标识符（如序列号或资产ID）

event_received_time

2020-02-20 08:00:00, 1602080607

date

事件被报告主机接收的日期/时间。通常适用于通过集中式日志服务器转发的日志。

event_repeat_count

5, 3, 9185

long

消息被重复的次数统计

event_reporter

SERVER01.server01.corp.internal

keyword

将消息传递至安全数据湖的系统主机名或IP Security Data Lake - 如WEC服务器、syslog收集器等

event_source

LAPTOP01,laptop01.corp.internal

keyword

生成事件的源系统主机名或IP

event_source_api_version

keyword

通过API收集日志的源系统API版本

event_source_product

windows, linux, okta

keyword

负责生成事件的系统，例如“windows”、“okta”等

event_start

2020-02-20 08:00:00, 1602080607

date

日志消息中描述事件的开始时间，通常与具有持续时间的事件相关联。

event_uid

1123523564, 0122e2b3-9923-11ea-ab51-061b68b4ca16

keyword

与单个事件/消息关联的唯一标识（例如Windows事件日志中的“记录编号”、 Security Data Lake 消息ID）

event_outcome

成功, 失败

keyword

由 event_action .

event_severity

严重, 高, 中, 低, 信息

keyword

若仅定义了 event_severity_level ，该字段将由Illuminate Core自动添加。可从不使用相同严重性定义的供应商级别映射而来。

event_severity_level

1-5

byte

源消息严重性评级的数字表示：1=信息，2=低，3=中，4=高，5=严重。当仅定义 event_severity 时，该字段将由Illuminate核心自动添加。

file_company

微软

关键字

从文件元数据中提取的关联公司名称

file_compile_time

日期

二进制文件的编译日期/时间

file_contents

关键字

文件内容

file_description

WMI

关键字

文件描述

file_is_executable

真，假

布尔值

标识文件是否可执行

file_is_signed

1

布尔值

标识文件是否经过数字签名

file_name

file.zip, file.exe, file

关键字

文件名（不含路径）

文件路径

C:\\temp\\file.exe

关键字

完整路径及文件名

文件产品名称

关键字

文件随附的产品名称

文件产品版本

关键字

文件随附的产品版本

文件签名状态

有效

关键字

文件签名状态

文件签署者

Microsoft Windows

关键字

文件签署者名称

文件大小

23894713

长整型

文件大小（字节）

文件类型

gzip压缩数据，application/pdf

关键字

文件内容描述

文件版本

10.0.14393.4169 (rs1_release.210107-1130)

关键词

文件版本

… _geo_city

汉堡、休斯顿

关键词

城市名称

… _geo_continent

美洲

关键词

大洲名称

… _geo_country_iso

US、DE、CA

关键词

国家ISO Alpha-2代码

… _geo_country

美国、加拿大

关键词

国家名称

… _geo_coordinates

34.1186,-118.3004

keyword

纬度、经度坐标

… _geo_name

汉堡, 德国

keyword

地理位置名称，可通过组合其他字段值派生

… _geo_state

汉堡

keyword

州/省名称

gim_event_type_code

100000

长整型

该字段在标准化流程中分配。基于此字段，消息将被赋予类别、子类别和类型字段。

gim_event_category

进程、审计、认证

关键字

关联日志消息所属的类别。消息类别是对具有共同字段的相关消息进行的分组。

gim_event_class

终端、协议

关键字

这是一个可选字段，用于关联类别。例如，进程和服务类别属于终端类别的一部分 gim_event_class 等。

gim_event_type

网络连接

关键字

对关联日志消息中描述事件的说明。

gim_event_subcategory

凭证验证、进程

关键字

类别下事件的次级分组，其中单个事件具有许多共同特征。

hash_md5

4c583e00d47108f809282d5d595f5fb0

关键字

MD5哈希值

hash_sha1

5d4d04eff6aba8467ebd26c43008ab028203be35

keyword

SHA1哈希值

hash_sha256

keyword

SHA256哈希值

hash_sha512

keyword

SHA512哈希值

hash_imphash

0c2803c4e9a2102c4dc65963dad36cdf

keyword

IMP哈希值

host_device

\\Device\\HarddiskVolume2

keyword

系统连接设备（驱动器/网络适配器）的标识符

host_hostname

corpdc01, corpdc01.local, lab01.corpdomain.com

keyword (标准化:仅小写)

NetBIOS或DNS主机名

host_id

关键词

主机唯一标识符（如微软系统的SID）

主机IP

10.1.2.3, fe80:5cc3:11:4::2c

IP

IPv4及IPv6地址

主机IPv6

fe80:5cc3:11:4::2c

IP

IPv6地址

主机MAC

02:a1:f9:c2:d5:04

关键词

主机的MAC地址（冒号分隔且小写）

主机引用

127.0.0.1, corpdc01, corpdc01.local, lab01.corpdomain.com

关键词（标准化:仅小写）

映射自 主机IP 或 主机名 按此顺序排列——为未同时提供两种信息的消息提供统一引用字段（注：此字段不支持CIDR搜索）

主机区域

us-east-1

关键词

源设备所在区域名称

主机类型版本

关键词

主机的操作系统版本

虚拟防火墙主机名

关键字/仅小写

对于作为分区服务运行的防火墙，此为逻辑设备名称

host_virtfw_id

关键字

对于作为分区服务运行的防火墙，此为逻辑设备的ID值

host_virtfw_uid

关键字

唯一标识符（如代表虚拟主机的UUID值）

host_vm_name

关键字

虚拟系统名称（勿与主机名混淆）

host_as_*

参见： as_*字段

host_category

关键字

未来：来自实体映射

host_geo_*

参见： geo_*字段

host_location_name

芝加哥，美国，数据中心01，俾斯麦-财务部

关键字

该字段源自企业内部网络定义或可用的地理位置字段

host_priority

严重、高、中、低

关键字

未来：来自实体映射

主机优先级级别

2

字节

表示主机设备优先级的数值，1=低，2=中，3=高，4=严重

主机引用

IPv4、IPv6、主机名、完全限定域名

关键字（标准化：仅小写）

自动从以下字段映射： 主机IP , 主机主机名 , 主机虚拟机名称 , 主机MAC地址

主机类型

关键字

机器“类型”

HTTP应用

facebook

关键字

第七层应用名称

http字节数

29347485

长整型

请求与响应字节数总和

http内容类型

application/octet-stream

关键字

HTTP内容的MIME类型 HTTP内容

http头部

关键字

HTTP头部完整列表

http主机

Host: wwww.mycorp.local

关键字

请求中的host:…头部（若存在）

http来源

http://mycorp.local/

关键字

“referer”头部值（若存在）

http请求字节数

239478

长整型

请求大小

http请求方法

GET, POST

关键字

HTTP请求方法

http请求路径

/path/to/resource?option=test

关键字

需在8192字符处检查字段长度/截断（考虑utf-8编码）。部分观点认为路径不应包含“查询”（最后一个“/”后的文本），但该值可能包含此部分。

http_response_bytes

498274

长整型

响应体大小

http_response

OK, 永久移动

关键字

根据响应代码映射的文本响应

http_response_code

200, 404, 500

整数

服务器数字响应代码

http_uri

https://www.graylog.org, https://www.graylog.org/blog, https://www.mycorp.local/workspaces/team#posts

关键字

完整请求字符串；需在8192字符处检查字段长度/截断（考虑utf-8编码）

http_uri_category

可疑, 游戏

关键字

关联网站/URL的分类

http_uri_stem

Default.htm

关键字

请求的目标。例如：http://www.test.com/test.jsp?hello=y 的URI主干是/test.jsp

http_uri_query

hello=y

关键字

客户端尝试执行的查询。例如 http://www.test.com/test.jsp?hello=y 中的查询是 hello=y

http_user_agent

Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:74.0) Gecko/20100101 Firefox/74.0)

keyword

用户代理字符串

http_user_agent_name

Firefox

keyword

通常基于用户代理分析尝试识别浏览器客户端

http_user_agent_os

Windows 10

keyword

用户代理的操作系统

http_version

1.0, 1.1, 2.0

keyword

HTTP版本

http_xff

X-Forwarded-For: 10.1.2.3

keyword

HTTP x-forwarded-for 头值。未来：可能映射为IP，需要考虑不同的呈现方式。

http_request_path_analyzed

** 待定

需要审查HTTP路径的最佳分析器配置/考虑截断

http_uri_analyzed

ftp://ftp01.server.internal/file.tar.gz, https://www.graylog.org, https://www.graylog.org/blog

text/standard

当需要对URL进行分词时可选复制。未来：需研究最佳分析器配置/考虑截断处理

http_uri_length

9283

long

HTTP用户代理的字符串长度

http_user_agent_analyzed

text/standard

这是 http_user_agent 字段经过文本分析处理的副本

http_user_agent_length

54

long

原始用户代理的字符串长度

network_application

facebook, instagram

keyword/loweronly

应用程序名称 - Facebook等

network_bytes

71238

long

连接期间传输的字节数（可通过累加发送/接收字节数计算） 源端发送字节数 / 目的端发送字节数 ) —— 部分厂商可能将此字段报告为 数据包长度

接收网络字节数

已弃用 - 请使用 目的端发送字节数

已弃用字段引用

发送网络字节数

已弃用 - 请使用 源端发送字节数

已弃用字段引用

网络社区ID

关键字

参见: https://github.com/corelight/community-id-spec

网络连接持续时间

0:23:45

关键字

网络连接建立的持续时间

网络连接唯一标识符

CMdzit1AMNsmfAIiQc

关键字

网络连接的唯一标识值

网络数据字节数

71238

长整型

数据载荷的总字节数

网络方向

入站、出站、横向

关键字

表示观测到的网络流方向。必须是入站或出站，若供应商提供的网络方向描述不同，应映射为这些值。

网络转发IP

10.1.2.3, fe80:5cc3:11:4::2c

IP

与网络事件关联的转发IP地址

网络头部字节数

71238

长整型

数据包头信息的总字节数

网络IANA编号

6, 17, 41

整数

https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml

网络ICMP类型

回显请求、超时

关键字

https://www.iana.org/assignments/icmp-parameters/icmp-parameters.xhtml

网络内部数据

待定

嵌套或封装的网络数据

入站网络接口

gi0/1

关键字/仅小写

接收流量的接口名称

出站网络接口

gi0/1

关键字/仅小写

发送流量的接口名称

网络IP版本

4, 6

关键字

IPv4或IPv6

网络名称

待定

网络上下文的逻辑或描述性名称

网络数据包

71238

长整型

连接期间传输的数据包计数，可通过累加发送/接收的数据包计算得出（ 源端发送数据包 / 目的端发送数据包 )

网络接收数据包

已弃用 - 使用 目的端发送数据包

已弃用字段引用

网络发送数据包

已弃用 - 使用 源端发送数据包

已弃用字段引用

网络协议

ipv4, ipv6, icmp

关键字/仅小写

协议名称，建议采用 https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml

网络传输层协议

udp, tcp

关键字/仅小写

数据包/连接的传输层协议

网络隧道类型

gre, ipsec

关键字/仅小写

隧道类型

网络隧道持续时间

2093847

长整型

隧道持续时间的秒数

网络类型

待定 - 可能不需要 网络协议

用于指定自定义网络类型的可选字段

policy_id

6da61e4c-84a8-4136-900d-f86c09bb3774

关键字

策略的唯一标识符

policy_uid

关键字

policy_name

admin-user-template

关键字

策略名称

privilege_assigned_category

elevated_privilege

关键字

可用于为相关权限添加补充元数据的标签类值。此处分配值'elevated_privilege'用于标识当privilege_id字段列出的属性或角色表明该权限允许在系统上执行敏感任务时的情况。

privilege_assigned_id

ffd52fa5-98dc-465c-991d-fc073eb59f8f

关键字

权限属性或角色的标识，这是合规内容所使用的字段。

privilege_assigned_name

SeDebugPrivilege

keyword

权限的简短描述性名称，并非所有系统都会生成此字段。

privilege_category

built_in

keyword

可用于为相关权限添加补充元数据的标签类型值。此处分配了'elevated_privilege'值，用于标识当privilege_id字段中列出的属性或角色表明该权限允许在系统上执行敏感任务时的情况。

privilege_id

c430b396-e693-46cc-96f3-db01bf8bb62a

keyword

权限属性或角色的标识，这是合规内容所使用的字段。

privilege_name

攻击模拟管理员

keyword

权限的简短描述性名称，并非所有系统都会生成此字段。

privilege_removed_category

built_in

keyword

可用于为相关权限添加补充元数据的标签类型值。此处分配了'elevated_privilege'值，用于标识当privilege_id字段中列出的属性或角色表明该权限允许在系统上执行敏感任务时的情况。

privilege_removed_id

c430b396-e693-46cc-96f3-db01bf8bb62a

keyword

权限属性或角色的标识，这是合规内容所使用的字段。

privilege_removed_name

SeLoadDriverPrivilege

keyword

权限的简短描述性名称，并非所有系统都会生成此字段。

process_description

WMI命令行工具

keyword

已执行进程的描述

process_command_line

c:\\tmp\\runme.exe, /tmp/runme

keyword/loweronly

已执行进程的完整命令行

process_command_line_length

29347

long

命令行 process_command_line的长度

process_id

2045,0x3e7

keyword/loweronly

与执行进程关联的进程标识符

process_integrity_level

medium, high, trusted

keyword

执行进程的完整性级别

process_parent_command_line

c:\\tmp\\runme.exe, /tmp/runme

keyword/loweronly

父进程的完整命令行

process_parent_id

2045,0x3e7

keyword/loweronly

与父进程关联的进程标识符

process_parent_name

whoami, whoami.exe

keyword/loweronly

父进程文件名（不含路径）

process_parent_path

C:\\Windows\\system32\\whoami.exe, /usr/bin/whoami

keyword/loweronly

父进程的完整路径

process_parent_uid

{73123815-5caa-4e39-90dc-d25d4013bf15}

keyword

父进程的GUID或唯一标识符（非 process_id

process_name

whoami, whoami.exe

keyword/loweronly

已执行进程的文件名（不含路径）

process_path

C:\\Windows\\system32\\whoami.exe, /usr/bin/whoami

keyword/loweronly

已执行进程的完整路径

process_target_id

2045,0x3e7

keyword

针对目标进程执行某项操作时，该目标进程的进程ID

process_target_name

whoami, whoami.exe

keyword

针对目标进程执行某项操作时，该目标进程的名称

process_target_path

C:\\Windows\\system32\\whoami.exe, /usr/bin/whoami

keyword

针对目标进程执行某项操作时，该目标进程的完整路径及名称

process_target_uid

{73123815-5caa-4e39-90dc-d25d4013bf15}

keyword

针对运行中目标进程执行某项操作时，该目标进程的唯一标识符

process_uid

{73123815-5caa-4e39-90dc-d25d4013bf15}

keyword

已执行进程的GUID或唯一标识符（非 process_id

process_working_directory

C:\\Windows\\Temp

关键字

进程被调用时的当前工作目录

query_class

IN

关键字

名称查询的类别，通常DNS为IN

query_record_type

A, AAAA, MX, SRV

关键字

请求的记录类型

query_record_type_code

1, 3, 5

关键字

IANA分配的请求记录类型代码

query_request

www.graylog.org

关键字

DNS请求中待解析的名称

query_request_length

25

长整型

名称解析请求的长度

query_response

关键字

域名解析应答

query_response_length

25

长

域名解析响应长度

query_result

NXDOMAIN, NOERROR

关键字

域名解析请求状态

query_result_code

0, 3

关键字

IANA分配的DNS返回码

rule_id

6da61e4c-84a8-4136-900d-f86c09bb3774

关键字

规则唯一标识符

rule_name

admin-user-template

关键字

规则名称（例如：出站Web流量）

service_name

graylog-server.service, sshd, graylog-sidecar

关键字

服务名称

service_version

1.0.1054

关键字

服务或底层应用的版本号

service_state

running, started, stopped

关键字

服务状态

session_id

关键字

供应商提供的唯一标识符，可以是随机字母数字字符串、十六进制值、GUID值等

source_bytes_sent

29834710

长整型

源端发送的网络字节数，部分数据源可能将其显示为源端发送字节数、发送字节数或类似名称。

source_device_model

iPad

关键词

设备型号名称

source_device_vendor

苹果、华硕

关键词

设备厂商名称

source_hostname

corpdc01, corpdc01.local, lab01.corpdomain.com

关键词（规范化处理：仅小写）

NetBIOS或DNS主机名，已转换为小写

source_id

09VX93DD

关键词

源端标识值（如序列号）

source_ip

10.1.2.3, fe80:5cc3:11:4::2c

IP地址

IPv4和IPv6地址

source_ipv6

fe80:5cc3:11:4::2c

IP地址

仅限IPv6地址

源NATIP

10.1.2.3, fe80:5cc3:11:4::2c

IP

由执行NAT功能的网络设备分配的转换后IP地址

源NAT端口

2384

整数

由执行NAT功能的网络设备分配的转换后网络端口

源操作系统名称

IOS, Android

关键词

操作系统名称

源操作系统版本

IOS 10.0

关键词

操作系统版本号

源发送数据包数

23094823

长整型

源端发送的数据包计数

源端口

45392

整数

数字端口号，范围0-65535

源端口IANA名称

ssh, ftp

关键词

与网络应用关联的IANA注册服务名称。Illuminate Core将使用此值进行定义 源端口 在具有 源IP 若未定义 源端口 时定义

源区域

us-east-1

关键字

源设备所在区域的名称

源类型

关键字

源设备信息（如型号）

源虚拟机名称

关键字

虚拟系统名称（勿与主机名混淆）

源虚拟系统UUID

关键字

源区域

关键字

源AS_*

参见： AS_*字段

源类别

关键字

未来：来自实体映射

source_geo_*

参见： geo_*字段

source_location_name

美国芝加哥，数据中心01，俾斯麦-金融

keyword

该字段来源于企业内部网络定义或可用的地理位置字段

source_mac

a0:b4:44:01:a9:d1

keyword

主机的MAC地址，冒号分隔且为小写

source_priority

严重、高、中、低

keyword

未来：来自实体映射

source_priority_level

4-Jan

byte

表示源设备优先级的数值，1=低，2=中，3=高，4=严重

source_reference

IPv4,IPv6, 主机名,完全限定域名

keyword (normalized:loweronly)

自动从以下字段映射： source_ip , source_hostname , source_vm_name , source_mac

威胁类别

恶意软件

木马

关键词

检测到威胁

真、假

关键词

是否检测到威胁

追踪ID

关键词

关联多事件的唯一ID

追踪调用

关键词

与进程调用相关的堆栈追踪

user_command

关键字

user_command_path

关键字

user_domain

mycorp.internal

关键字

AD或LDAP域

user_email

user@mycorp.internal

关键字

用户ID

关键字

映射为SID或UID等

用户名

关键字（标准化：仅小写）

用户会话ID

0x534, 1055

关键字

用户登录会话标识符

用户类别

VIP、默认账户、财务、技术支持

关键字

未来：来自实体映射

映射用户名

内置\管理员

关键字（标准化：仅小写）

当用户身份从一个消息本身之外的数据源映射而来时，将写入此字段。此处会解析Windows知名SID。

用户优先级

关键、高、中、低

关键字

未来：来自实体映射

用户优先级数值

4-1月

字节

表示用户账户优先级的数值，1=低，2=中，3=高，4=关键

用户类型

用户、计算机、已知SID、组、{任意供应商提供的值}

关键字

实验性字段** 该字段仍在研究中——需要考察winlogbeats/nxlog在不同配置下提供的SID解析功能，并考虑不同技术对“类型”的使用

vendor_alert_severity

严重, 高, 中, 低

keyword

当消息为警报时，此处为供应商提供的警报严重性文本描述

vendor_alert_severity_level

4, 3, 2, 1

integer

当消息为警报时，此处为供应商提供的警报严重性数值

vendor_authentication_provider

Active Directory

keyword

供应商定义的操作 - 提供凭证验证服务的简要描述

vendor_credential_type

password, token

keyword

供应商定义的凭证类型

vendor_event_action

allow, deny, pass, fail

keyword

供应商定义的操作 - 应简短（通常为单字）描述事件所采取的操作。该值需与源日志完全一致（包括大小写）。

vendor_event_category

Removable Media, Registry, File System

keyword

供应商定义的事件类别

vendor_event_description

keyword

供应商提供的操作详细描述（比 vendor_event_action

vendor_event_outcome

block, drop, report, allow, reject

keyword

消息中定义操作的供应商定义结果

vendor_event_outcome_reason

关键字

供应商提供的详细说明，描述消息所涉及供应商操作及/或结果的原因

供应商事件严重性

严重、高、中、低、信息性

关键字

供应商定义的严重性评级文字描述

供应商事件严重性等级

0, 1, 5, 10

整数

供应商定义的该事件数字型严重性评级

供应商私有IP

IP地址

供应商私有IPv6

IP地址

供应商公有IP

IP地址

供应商公有IPv6

IP地址

供应商登录协议

关键字

供应商子类型

入侵检测系统、DNSmasq、内核、威胁

关键字

供应商定义的日志子类型——不同于 事件日志名称 因其更多指向日志消息的主题或类别

供应商怀疑威胁

关键字

供应商交易ID

关键字

供应商交易类型

关键字

供应商用户类型

关键字