安全数据湖 信息模型架构

alert_definitions_version

2020.14092348

关键字

表示正在使用的特征库（如杀毒软件等）版本的版本号或标识值

alert_category

恶意软件、木马、勒索软件

关键字

未来考虑：考虑到各厂商会有自己的分类标准，如何定义该字段？或者无需顾虑？可能移至衍生字段并设置允许值

alert_indicator

malware.exe, http://badsite

关键字

与触发告警事件相关的文件名、URL、数据包片段或其他特征物

alert_response_level

0, 1, 2

字节

表示针对告警/威胁采取响应行动类型的数值。0=无操作（允许、忽略），1=阻止（拦截、隔离），2=根除（删除）。通过数值运算可检测未拦截威胁（产品可能为单个威胁记录多个事件）。

alert_signature

关键字

厂商提供的告警文本描述

alert_signature_id

关键字

厂商特定的告警特征唯一标识符（例如Snort规则的1:1905345:5）

alert_severity

严重、高、中、低、信息

关键字

警报严重性

警报严重性等级

1-5

字节

源消息严重性评级的数字表示：1=信息性，2=低，3=中，4=高，5=严重

应用程序名称

Facebook, SQL, windows_rdp

关键字（ 标准化：仅小写 )

应用程序名称，可以是网络流量的第7层应用名称、认证服务/程序名称等

应用程序响应时间

关键字

应用程序对请求作出响应所需的时间

应用程序单点登录模式

关键字

对于单点登录（SSO）事件，这是用于访问应用程序的方法

应用程序单点登录目标名称

关键字

对于SSO事件，这是被访问的应用程序名称

associated_category

keyword

待定：不确定此字段是否有用

associated_hash

6f9efb466e043b9f3635827ce446e13c

keyword

日志消息中所有关联的md5、sha1、sha256、sha512、imp哈希值

associated_host

10.1.2.3,corpdc01,corpdc01.corpdomain.local

keyword

未来计划：复制日志消息中任何标识主机信息（IP、主机名等），目前尚未实现。

associated_ip

10.1.2.3,fe80:5cc3:11:4::2c

ip

日志消息关联的IP地址

associated_mac

a0:b4:44:01:a9:d1

keyword

日志消息关联的MAC地址（冒号分隔且小写）

associated_session_id

0xa72c

keyword

日志消息关联的会话ID

associated_user_id

999,S-1-5-18

keyword

该字段将映射到与用户上下文关联的所有用户ID值（uid、SID等）。未来可能通过用户框架自动填充。

associated_user_name

administrator,administrator@corp.local

keyword ( normalized:loweronly )

任何关联/替代的用户ID或电子邮件，可以是多个值的集合。

… _as_number

15169

keyword

唯一编号。ASN标识互联网上的每个网络

… _as_organization

Bitdefender

keyword

组织名称

… _as_isp

keyword

与IP地址关联的ISP

… _as_domain

关键字

与IP地址关联的域名

container_id

关键字

唯一容器ID

container_name

关键字

容器名称

container_namespace

关键字

容器运行的命名空间

destination_application_name

facebook, twitter

关键字

描述目标应用程序

destination_bytes_sent

203948

长整型

由目标发送至源端的网络字节数。某些数据源可能将其表示为源端接收字节数、接收字节数或类似名称。

目标设备型号

iPad

关键字

设备型号名称

目标设备厂商

苹果、华硕

关键字

设备厂商名称

目标域名

corp.local

关键字（标准化处理：仅小写）

目标域名上下文

目标主机名

corpdc01

关键字（标准化处理：仅小写）

目标IP地址

10.1.2.3, fe80:5cc3:11:4::2c

IP地址

IPv4及IPv6地址

目标NAT转换IP

10.1.2.3, fe80:5cc3:11:4::2c

IP地址

由执行NAT功能的网络设备分配的转换后IP地址

目标NAT转换端口

2356

整数

由执行NAT功能的网络设备分配的转换后网络端口

目标操作系统名称

IOS, Android

关键字

操作系统名称

destination_os_version

IOS 10.0

关键字

操作系统版本号

destination_packets_sent

73458324

长整型

传输至目标端点的数据包数量

destination_port

80, 443

整数

网络连接端口关联的服务端口号，范围0-65535

destination_port_iana_name

ssh, ftp

关键字

IANA注册的网络应用服务名称。Illuminate Core将使用此值定义 destination_port 存在于包含 destination_ip 定义但未定义 destination_port 的事件中

destination_region

us-east-1

关键字

源设备所在区域名称

destination_id

09VX93DD

关键字

目标设备的标识值（如序列号）

destination_type

关键字

目标设备信息（如型号）

destination_vm_name

关键字

虚拟系统名称（勿与主机名混淆）

destination_vsys_uuid

1f5398c7-4d84-4499-84ee-d5e9246c52f8

关键字

目标虚拟系统UUID

destination_zone

internal

关键字

目标设备的网络区域

destination_as_*

参见： as_* 字段

destination_category

关键字

未来：来自实体映射

destination_geo_*

参见： geo_* 字段

目标位置名称

美国芝加哥，数据中心01，俾斯麦-金融部

关键字

该字段来源于企业内部网络定义或可用的地理位置字段

目标MAC地址

a0:b4:44:01:a9:d1

关键字

主机的MAC地址，以冒号分隔且为小写

目标优先级

关键、高、中、低

关键字

未来：来自实体映射

目标优先级数值

1-4

字节

表示目标设备优先级的数值，1=低，2=中，3=高，4=关键

目标引用

IPv4、IPv6、主机名、完全限定域名

关键字（规范化：仅小写）

自动从以下字段映射： 目标IP , 目标主机名 , 目标对象 , 目标虚拟机名称 , 目标MAC

email_attachment_file_name

attachment.exe

数组

附件的文件名。

email_attachment_file_size

1024

长整型

附件的字节大小。

email_bcc

stefan@example.com

关键字

密件抄送收件人/目的地的电子邮件地址。

email_cc

stefan@example.com

关键字

抄送收件人/目的地的电子邮件地址。

email_delivered_to

joe@example.com

关键字

这是 Delivered-To 电子邮件头字段。

email_direction

入站、出站、横向

keyword

指示观察到的邮件流向。必须为inbound（入站）、outbound（出站）或lateral（横向）之一，若供应商提供的网络方向描述不同，应映射为这些值。

email_from

stefan@example.com

keyword

根据RFC 5322，指定实际传输/发送消息的地址。

email_message_id

<CAD78=PvAb+iLQ6x+221MGa-22@mail.gmail.com>

keyword

全局唯一的消息标识符。

email_raw_header

keyword

邮件认证头。

email_reply_to

stefan@example.com

keyword

根据RFC 5322中Reply-To头字段的值，指定回复应送达的地址。 Reply-To 头字段。

email_size

234

long

邮件大小（字节）。

email_subject

RE: FWD: Testing

keyword

邮件主题。

email_to

stefan@example.com

keyword

收件人/目的地的电子邮件地址。

email_uid

123456789A

keyword

电子邮件软件内部用于追踪消息的唯一标识符。

email_x_originating_ip

192.168.2.3

array

标识电子邮件原始IP地址的X-Originating-IP头部。

email_xmailer

spambot

keyword

创建并发送电子邮件的工具。

event_action

已阻止, 已允许, scan_start , scan_end , scan_pause , scan_cancel , scan_resume

keyword

日志中描述的操作，如防火墙日志或防病毒代理日志中的操作

event_code

4624, 1

long

由厂商定义的表示源消息类型的数字事件，例如微软的EventCode/Event ID。该字段被视为数值以支持范围查询。任何前导0值将被移除

event_created

2020-02-20 08:23:15.102, 1602080607

date

事件实际发生或原始事件消息创建的日期/时间

event_duration

10293874

long

所描述事件的持续时间（秒）

event_end

2021-03-26T11:25:13.113

date

日志消息中描述事件结束的日期/时间，通常与具有持续时间的事件相关联

event_error_code

0xC00008

keyword

与当前消息关联的厂商提供的错误代码

event_error_description

ERROR_ACCESS_DENIED, Not Found

keyword

与当前消息关联的错误描述

event_id

0023425, 90EF8

keyword

厂商提供的表示消息类型的标识符。类似于 event_code 但被映射为横向字符串值。不支持范围搜索，但ID值不会以任何方式被修改。

event_log_name

security, auth.log

keyword

日志引用，如'Security'、'auth.log'等——这与 vendor_subtype 不同，后者更多指代日志采集的原始来源。

event_log_path

/var/log/syslog

keyword

日志文件源的完整路径

event_observer_hostname

SERVER01.server01.corp.internal

keyword/loweronly

生成基于某事物（如网络流量）检查消息（如警报）的系统（如IDS或IPS）的主机名或FQDN。

event_observer_id

234cd78sc

keyword

观察者设备的唯一ID、序列号等

event_observer_ip

10.1.2.3, fe80:5cc3:11:4::2c

ip

事件观察者的IP地址

event_observer_uid

keyword

与事件观察者关联的唯一标识符（如序列号或资产ID）

event_received_time

2020-02-20 08:00:00, 1602080607

date

事件被报告主机接收的日期/时间。通常适用于通过集中式日志服务器转发的日志。

event_repeat_count

5, 3, 9185

long

消息重复的次数计数

event_reporter

SERVER01.server01.corp.internal

keyword

将消息传递至的目标系统主机名或IP Security Data Lake - 如WEC服务器、syslog收集器等

event_source

LAPTOP01,laptop01.corp.internal

keyword

生成事件的源系统主机名或IP

event_source_api_version

keyword

通过API收集日志的源系统API版本

event_source_product

windows, linux, okta

keyword

负责生成事件的系统，例如“windows”、“okta”等

event_start

2020-02-20 08:00:00, 1602080607

date

日志消息中描述事件的开始时间，通常与具有持续时间的事件相关联

event_uid

1123523564, 0122e2b3-9923-11ea-ab51-061b68b4ca16

keyword

与单个事件/消息关联的唯一标识（例如Windows事件日志中的“记录编号”、 安全数据湖 消息ID)

事件结果

成功、失败

关键词

由 事件动作 .

事件严重性

严重、高、中、低、信息性

关键词

若仅定义了 事件严重性级别 时，该字段将由Illuminate Core自动添加。可从使用不同严重性定义的供应商级别映射而来。

事件严重性级别

1-5

字节

源消息严重性评级的数字表示：1=信息性，2=低，3=中，4=高，5=严重。当仅定义 事件严重性 时，该字段将由Illuminate核心模块添加。

file_company

微软

关键字

从文件元数据中提取的关联公司名称

file_compile_time

日期

二进制文件的编译日期/时间

file_contents

关键字

文件内容

file_description

WMI

关键字

文件描述

file_is_executable

真，假

布尔值

标识文件是否可执行的标记

file_is_signed

1

布尔值

标识文件是否经过数字签名的标记

file_name

file.zip, file.exe, file

关键字

文件名（不含路径）

file_path

C:\\temp\\file.exe

关键字

完整路径及文件名

file_product

keyword

文件随附的产品名称

file_product_version

keyword

文件随附的产品版本

file_signature_status

有效

keyword

文件签名状态

file_signed_by

Microsoft Windows

keyword

文件签名者名称

file_size

23894713

long

文件大小（字节）

file_type

gzip压缩数据, application/pdf

keyword

文件内容描述

file_version

10.0.14393.4169 (rs1_release.210107-1130)

keyword

文件版本

… _geo_city

汉堡, 休斯顿

关键字

城市名称

… _geo_continent

美洲

关键字

大洲名称

… _geo_country_iso

US, DE, CA

关键字

国家ISO Alpha-2代码

… _geo_country

美国, 加拿大

关键字

国家名称

… _geo_coordinates

34.1186,-118.3004

关键字

经纬度坐标

… _geo_name

德国汉堡

keyword

地理位置名称，可通过组合其他字段值派生

… _geo_state

汉堡州

keyword

州/省名称

gim_event_type_code

100000

长整型

该字段在标准化流程中分配，基于此字段将为消息应用类别、子类别和类型字段

gim_event_category

进程,审计,认证

关键字

关联日志消息所属的类别。消息类别是对相关消息的分组，这些消息通常具有共同字段。

gim_event_class

端点, 协议

关键字

这是一个可选字段，用于关联类别。例如，进程和服务类别属于端点 gim_event_class 等类别的一部分。

gim_event_type

网络连接

关键字

对关联日志消息中描述事件的说明。

gim_event_subcategory

凭证验证, 进程

关键字

类别下事件的二级分组，其中单个事件具有许多共同特征。

hash_md5

4c583e00d47108f809282d5d595f5fb0

关键字

MD5哈希值

hash_sha1

5d4d04eff6aba8467ebd26c43008ab028203be35

关键字

SHA1哈希值

hash_sha256

关键字

SHA256哈希值

hash_sha512

关键字

SHA512哈希值

hash_imphash

0c2803c4e9a2102c4dc65963dad36cdf

关键字

IMP哈希值

host_device

\\Device\\HarddiskVolume2

关键字

系统连接设备标识（驱动器/网络适配器）

host_hostname

corpdc01, corpdc01.local, lab01.corpdomain.com

关键字（标准化:仅小写）

NetBIOS或DNS主机名

host_id

关键字

主机唯一标识符（如微软系统的SID）

host_ip

10.1.2.3, fe80:5cc3:11:4::2c

IP

IPv4和IPv6地址

host_ipv6

fe80:5cc3:11:4::2c

ip

IPv6地址

host_mac

02:a1:f9:c2:d5:04

keyword

主机的MAC地址，冒号分隔且小写

host_reference

127.0.0.1, corpdc01, corpdc01.local, lab01.corpdomain.com

keyword (normalized:loweronly)

映射自 host_ip 或 host_hostname 按此顺序 - 为不提供两者的消息提供一个公共字段引用（注意：CIDR搜索不适用于此字段）

host_region

us-east-1

keyword

源设备所在区域的名称

host_type_version

keyword

主机的操作系统版本

host_virtfw_hostname

keyword/loweronly

对于作为分区服务运行的防火墙，这是逻辑设备的名称

host_virtfw_id

keyword

对于作为分区服务运行的防火墙，这是逻辑设备的ID值

host_virtfw_uid

keyword

唯一标识符，如表示虚拟主机的UUID值

host_vm_name

keyword

虚拟系统名称（勿与主机名混淆）

host_as_*

参见： as_*字段

host_category

keyword

未来：来自实体映射

host_geo_*

参见： geo_*字段

host_location_name

美国芝加哥，数据中心01，俾斯麦-财务部

keyword

该字段源自企业内部网络定义或可用的地理位置字段

host_priority

关键、高、中、低

keyword

未来：来自实体映射

host_priority_level

2

字节

表示主机设备优先级的数值，1=低，2=中，3=高，4=关键

主机引用

IPv4,IPv6,主机名,全限定域名

关键字（标准化处理：仅小写）

自动从以下字段映射： 主机IP , 主机名 , 主机虚拟机名称 , 主机MAC地址

主机类型

关键字

机器“类型”

HTTP应用

facebook

关键字

第七层应用名称

HTTP字节数

29347485

长整型

请求与响应字节数之和

http_content_type

application/octet-stream

keyword

MIME类型 HTTP内容类型

http_headers

keyword

HTTP头部完整列表

http_host

Host: wwww.mycorp.local

keyword

请求中的host: …头部（如果存在）

http_referrer

http://mycorp.local/

keyword

“referer”头部值（如果存在）

http_request_bytes

239478

long

请求大小

http_request_method

GET, POST

keyword

HTTP请求方法

http_request_path

/path/to/resource?option=test

keyword

需检查字段长度/截断情况（上限8192字符，考虑UTF-8编码）。部分观点认为路径不包含“查询”部分（最后一个“/”后的文本），但该值可能包含此部分。

http_response_bytes

498274

长整型

响应大小

http响应

OK, 永久移动

关键字

根据响应代码映射的文本响应

http响应代码

200, 404, 500

整数

数字服务器响应代码

http统一资源标识符

https://www.graylog.org, https://www.graylog.org/blog, https://www.mycorp.local/workspaces/team#posts

关键字

完整请求字符串；需审查字段长度/截断情况（考虑utf-8编码，上限8192字符）

http统一资源标识符分类

可疑, 游戏

关键字

关联网站/URL的分类

http统一资源标识符主干

Default.htm

关键字

请求的目标。例如：http://www.test.com/test.jsp?hello=y 的URI主干是 /test.jsp

http统一资源标识符查询

hello=y

关键字

客户端尝试执行的查询。示例 http://www.test.com/test.jsp?hello=y 的查询是 hello=y

http用户代理

Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:74.0) Gecko/20100101 Firefox/74.0)

关键字

用户代理字符串

http_user_agent_name

火狐浏览器

关键字

通常基于用户代理分析尝试识别浏览器客户端

http_user_agent_os

Windows 10

关键字

用户代理的操作系统

http_version

1.0, 1.1, 2.0

关键字

HTTP版本

http_xff

X-Forwarded-For: 10.1.2.3

关键字

HTTP X-Forwarded-For头信息值。未来：可能映射为IP，需考虑该值的不同呈现方式

http_request_path_analyzed

**待定

需审查HTTP路径的最佳分析器配置/考虑截断处理

http_uri_analyzed

ftp://ftp01.server.internal/file.tar.gz, https://www.graylog.org, https://www.graylog.org/blog

文本/标准

当URL需分词时可选复制。未来：需研究最佳分析器配置/考虑截断处理

http_uri_length

9283

长整型

HTTP用户代理的字符串长度

http_user_agent_analyzed

文本/标准

这是 http_user_agent 字段的副本，但经过文本分析处理

http_user_agent_length

54

长整型

原始用户代理的字符串长度

network_application

facebook, instagram

关键字/仅小写

应用程序名称 - Facebook等

network_bytes

71238

长整型

连接期间传输的字节数，可通过累加发送/接收字节数计算得出（ source_bytes_sent / destination_bytes_sent ）——部分供应商可能将此报告为 packet_length

网络接收字节数

已弃用 - 请使用 目标发送字节数

已弃用字段引用

网络发送字节数

已弃用 - 请使用 源发送字节数

已弃用字段引用

网络社区ID

关键字

参见： https://github.com/corelight/community-id-spec

网络连接持续时间

0:23:45

关键字

网络连接建立的持续时间

网络连接唯一标识符

CMdzit1AMNsmfAIiQc

关键字

网络连接的唯一标识值

网络数据字节数

71238

长整型

数据载荷的总字节数

网络方向

入站、出站、横向

关键字

表示观测到的网络流方向。必须是入站或出站，若供应商提供的网络方向描述不同，应映射到这些值。

网络转发IP

10.1.2.3, fe80:5cc3:11:4::2c

ip

与网络事件关联的转发IP地址

network_header_bytes

71238

long

数据包头信息的总字节数

network_iana_number

6, 17, 41

integer

https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml

network_icmp_type

回显请求, 超时

keyword

https://www.iana.org/assignments/icmp-parameters/icmp-parameters.xhtml

network_inner

待定

嵌套或封装的网络数据

network_interface_in

gi0/1

keyword/loweronly

接收流量的接口名称

network_interface_out

gi0/1

keyword/loweronly

发送流量的接口名称

network_ip_version

4, 6

keyword

IPv4或IPv6

network_name

待定

网络上下文的逻辑或描述性名称

网络数据包

71238

长整型

连接期间传输的数据包计数，可通过累加发送/接收的数据包计算得出（ 源端发送的数据包 / 目标端发送的数据包 )

接收的网络数据包

已弃用 - 请使用 目标端发送的数据包

已弃用的字段引用

发送的网络数据包

已弃用 - 请使用 源端发送的数据包

已弃用的字段引用

网络协议

IPv4, IPv6, ICMP

关键字/仅小写

协议名称，建议采用 https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml

网络传输层协议

UDP, TCP

关键字/仅小写

数据包/连接的传输层协议

网络隧道类型

GRE, IPSec

关键字/仅小写

隧道类型

网络隧道持续时间

2093847

长整型

隧道持续时间的秒数

网络类型

待定 - 可能不需要 网络协议

用于指定自定义网络类型的可选字段

策略ID

6da61e4c-84a8-4136-900d-f86c09bb3774

关键字

策略的唯一标识符

策略UID

关键字

策略名称

管理员用户模板

关键字

策略名称

privilege_assigned_category

elevated_privilege

keyword

用于为相关权限添加补充元数据的标签类值。此处分配'elevated_privilege'值，用于标识当privilege_id字段列出的属性或角色表明该权限允许在系统上执行敏感任务时的情况。

privilege_assigned_id

ffd52fa5-98dc-465c-991d-fc073eb59f8f

keyword

权限属性或角色的标识字段，合规内容使用此字段。

privilege_assigned_name

SeDebugPrivilege

keyword

权限的简短描述性名称，并非所有系统都会生成此字段。

privilege_category

built_in

keyword

用于为所讨论权限添加补充元数据的标签类型值。此处分配'elevated_privilege'值，用于标识当privilege_id字段列出的属性或角色表明该权限允许在系统上执行敏感任务时的情况。

privilege_id

c430b396-e693-46cc-96f3-db01bf8bb62a

keyword

权限属性或角色的标识，这是合规内容所使用的字段。

privilege_name

攻击模拟管理员

keyword

权限的简短描述性名称，并非所有系统都会生成此信息。

privilege_removed_category

built_in

keyword

用于为所讨论权限添加补充元数据的标签类型值。此处分配'elevated_privilege'值，用于标识当privilege_id字段列出的属性或角色表明该权限允许在系统上执行敏感任务时的情况。

privilege_removed_id

c430b396-e693-46cc-96f3-db01bf8bb62a

keyword

权限属性或角色的标识，这是合规内容所使用的字段。

privilege_removed_name

SeLoadDriverPrivilege

keyword

权限的简短描述性名称，并非所有系统都会生成此信息。

process_description

WMI命令行工具

keyword

已执行进程的描述

process_command_line

c:\\tmp\\runme.exe, /tmp/runme

keyword/loweronly

已执行进程的完整命令行

process_command_line_length

29347

long

长度 process_command_line

process_id

2045,0x3e7

keyword/loweronly

与已执行进程关联的进程标识符

process_integrity_level

中、高、受信任

关键字

执行进程的完整性级别

process_parent_command_line

c:\\tmp\\runme.exe, /tmp/runme

keyword/loweronly

父进程的完整命令行

process_parent_id

2045,0x3e7

keyword/loweronly

与父进程关联的进程标识符

process_parent_name

whoami, whoami.exe

keyword/loweronly

父进程文件名（不含路径）

process_parent_path

C:\\Windows\\system32\\whoami.exe, /usr/bin/whoami

keyword/loweronly

父进程的完整路径

process_parent_uid

{73123815-5caa-4e39-90dc-d25d4013bf15}

关键字

父进程的GUID或唯一标识符（非 process_id

process_name

whoami, whoami.exe

keyword/loweronly

执行进程的文件名（不含路径）

process_path

C:\\Windows\\system32\\whoami.exe, /usr/bin/whoami

关键字/仅小写

执行进程的完整路径

目标进程ID

2045,0x3e7

关键字

针对某进程执行操作时，该目标进程的进程ID

目标进程名称

whoami, whoami.exe

关键字

针对某进程执行操作时，该目标进程的名称

目标进程路径

C:\\Windows\\system32\\whoami.exe, /usr/bin/whoami

关键字

针对某进程执行操作时，该目标进程的完整路径及名称

目标进程唯一标识符

{73123815-5caa-4e39-90dc-d25d4013bf15}

关键字

针对某运行中进程执行操作时，该目标进程的进程唯一标识符

进程唯一标识符

{73123815-5caa-4e39-90dc-d25d4013bf15}

关键字

非标准进程的GUID或唯一标识符 进程ID

进程工作目录

C:\\Windows\\Temp

关键字

调用该进程时的当前工作目录

query_class

IN

关键字

名称查询的类别，通常为DNS的IN类

query_record_type

A, AAAA, MX, SRV

关键字

请求的记录类型

query_record_type_code

1, 3, 5

关键字

IANA为请求记录类型分配的代码

query_request

www.graylog.org

关键字

DNS请求中要解析的名称

query_request_length

25

长整型

名称解析请求的长度

query_response

关键字

名称解析应答

query_response_length

25

长整型

名称解析响应的长度

查询结果

NXDOMAIN, NOERROR

关键字

域名解析请求状态

查询结果代码

0, 3

关键字

IANA分配的DNS返回码

规则ID

6da61e4c-84a8-4136-900d-f86c09bb3774

关键字

规则唯一标识符

规则名称

admin-user-template

关键字

规则名称（例如：出站Web流量）

service_name

graylog-server.service, sshd, graylog-sidecar

keyword

服务名称

service_version

1.0.1054

keyword

服务或底层应用程序的版本号

service_state

running, started, stopped

keyword

服务状态

session_id

Keyword

供应商提供的唯一标识符，可以是随机字母数字字符串、十六进制值、GUID值等

source_bytes_sent

29834710

长整型

源端发送的网络字节数，某些数据源可能将其表示为源端发送字节数、发送字节数或类似名称。

源设备型号

iPad

关键字

设备型号名称

源设备厂商

苹果、华硕

关键字

设备厂商名称

源主机名

corpdc01, corpdc01.local, lab01.corpdomain.com

关键字（标准化处理：仅小写）

NetBIOS或DNS主机名，已转换为小写

源标识符

09VX93DD

关键字

源端的标识值（如序列号）

源IP

10.1.2.3, fe80:5cc3:11:4::2c

IP地址

IPv4和IPv6地址

源IPv6

fe80:5cc3:11:4::2c

IP地址

仅IPv6地址

源NATIP

10.1.2.3, fe80:5cc3:11:4::2c

IP地址

由执行NAT功能的网络设备分配的转换后IP地址

源NAT端口

2384

整数

由执行NAT功能的网络设备分配的转换后网络端口

源操作系统名称

iOS, Android

关键字

操作系统名称

源操作系统版本

iOS 10.0

关键字

操作系统版本号

源发送数据包数

23094823

长整型

源端发送的数据包计数

源端口

45392

整数

数字端口，0-65535

源端口IANA名称

ssh, ftp

关键字

与网络应用关联的IANA注册服务名称。Illuminate Core将使用此值来定义 源端口 在具有 源IP 若未定义则定义 源端口 的场合

source_region

us-east-1

keyword

源设备所在区域的名称

source_type

keyword

源设备信息（如型号编号）

source_vm_name

keyword

虚拟系统名称（勿与主机名混淆）

source_vsys_uuid

keyword

source_zone

keyword

source_as_*

参见： as_*字段

source_category

keyword

未来：来自实体映射

source_geo_*

参见： geo_*字段

source_location_name

美国芝加哥，数据中心01，俾斯麦-财务部

关键字

该字段来源于企业内部网络定义或可用的地理位置字段

源MAC地址

a0:b4:44:01:a9:d1

关键字

主机的MAC地址，冒号分隔且小写

源优先级

严重、高、中、低

关键字

未来：来自实体映射

源优先级级别

4-1

字节

表示源设备优先级的数值，1=低，2=中，3=高，4=严重

源引用

IPv4,IPv6, 主机名,完全限定域名

关键字（归一化：仅小写）

自动从以下字段映射： 源IP , 源主机名 , 源虚拟机名称 , 源MAC地址

威胁类别

恶意软件

木马

关键词

检测到威胁

真、假

关键词

是否检测到威胁

追踪ID

关键词

关联多事件的唯一ID

追踪调用

关键词

与进程调用相关的堆栈追踪

user_command

keyword

user_command_path

keyword

user_domain

mycorp.internal

keyword

AD或LDAP域

user_email

user@mycorp.internal

keyword

user_id

keyword

映射到SID或UID等

user_name

关键词（归一化：仅小写）

用户会话ID

0x534, 1055

关键词

用户登录会话标识符

用户类别

VIP、默认账户、财务、技术支持

关键词

未来：来自实体映射

映射用户名

内置\管理员

关键词（归一化：仅小写）

当用户身份从消息本身之外的来源映射时，将写入此字段。此处解析Windows已知SID。

用户优先级

关键、高、中、低

关键词

未来：来自实体映射

用户优先级数值

4-1月

字节

表示用户账户优先级的数值，1=低，2=中，3=高，4=关键

用户类型

用户、计算机、已知SID、群组、{任意供应商提供的值}

关键词

实验性字段** 该字段仍在研究中——需考察winlogbeats/nxlog在不同配置下提供的SID解析功能，并考虑不同技术对“类型”的使用方式

vendor_alert_severity

严重, 高, 中, 低

keyword

当消息为告警时，此处显示厂商提供的告警严重性文本描述

vendor_alert_severity_level

4, 3, 2, 1

整数

当消息为告警时，此处显示厂商提供的告警严重性数值

供应商认证提供方

Active Directory

关键字

供应商定义的操作 - 提供凭证验证服务的简要描述

供应商凭证类型

密码, 令牌

关键字

供应商定义的凭证类型

供应商事件动作

允许, 拒绝, 通过, 失败

关键字

供应商定义的操作 - 应简短（通常为一个词）描述事件所涉及的动作。该值需与源日志中的记录完全一致（包括大小写）。

供应商事件类别

可移动介质, 注册表, 文件系统

关键字

供应商定义的事件类别

供应商事件描述

关键字

供应商定义的动作详细描述（包含比 供应商事件动作

供应商事件结果

拦截, 丢弃, 报告, 允许, 拒绝

关键字

消息中定义动作的供应商定义结果

供应商事件结果原因

关键字

供应商提供的文本，详细说明消息中描述的供应商提供动作和/或结果的原因

供应商事件严重性

严重, 高, 中, 低, 信息

关键字

供应商定义的严重性评级文本描述

vendor_event_severity_level

0, 1, 5, 10

整数

供应商定义的该事件数字型严重性评级

vendor_private_ip

IP

vendor_private_ipv6

IP

vendor_public_ip

IP

vendor_public_ipv6

IP

vendor_signin_protocol

关键字

vendor_subtype

ids, dnsmasq, kernel, threat

关键字

供应商定义的日志子类型——这与 event_log_name 不同，它更多指向日志消息的主题或类别。

vendor_threat_suspected

关键字

vendor_transaction_id

关键字

vendor_transaction_type

关键字

vendor_user_type

关键字