Přeskočit obsah

Elastic Common Schema (ECS)

Pro více informací, viz oficiální dokumentaci.

Tabulka obecných atributů ECS

Atribut Popis Hodnoty jako příklad
@timestamp Datum/čas, kdy událost vznikla. 2022-05-23T08:05:34.853Z
client.ip IP adresa zařízení použitá při zaznamenání aktivity. IP adresa je zobrazena ve formátu IPv4 nebo IPv6. 52.108.224.1
cnt Počet událostí. 1
destination.ip Původní cílová IP adresa zařízení použitá při zaznamenání aktivity. 85.162.11.26
ecs.version Verze ECS, které tato událost odpovídá. 1.0.0
event.action Popis původní události, která spustila vytvoření konkrétního logu. UserLoggedIn, MessageTrace, FilePreviewed
event.original Kompletní a nemodifikovaný log pro auditování. 10.42.42.42 - - [07/Dec ...
http.request.method HTTP požadavek je akce, která má být provedena na zdroj identifikovaný danou URL žádostí. get
http.response.body.bytes Velikost HTTP požadavku v bajtech. 2571
http.response.status_code Kódy stavu HTTP odpovědí ukazují, zda byl konkrétní HTTP požadavek úspěšně dokončen. 200
http.version Současná verze Hypertext Transfer Protocolu. 1.1
host.hostname Hostname hostitele. webserver-blog-prod
message Textová reprezentace významných informací z události pro stručné zobrazení v prohlížeči logů. "GET /blog HTTP/1.1" 200 2571
service.name Vaše vlastní jméno pro tuto službu. Company blog
service.type Typ služby použité s touto instancí. apache
source.geo.* Pole pro geo-lokaci.
url.original Původní cesta url. /blog
user.name Jméno uživatele. Albus Dumbledore
user_agent.* Pole popisující uživatelský agent.
event.dataset Jméno datové sady. microsoft-office-365
event.id Unikátní identifikační hodnota. b4b4c44c-ff30-4ddd-bfbe-44e082570800
event.ingested Časové razítko, kdy událost dorazila do centrálního úložiště dat. 2022-05-23T08:05:34.853Z
event.kind Hodnota tohoto pole může být použita k informování, jak s těmito druhy událostí zacházet. alert, enrichment, event, metric, state, pipeline_error, signal
log.original Surový formát logu, který je přijat před realizačním procesem. <165>Jan 17 12:20:25 hostname %ASA-5-111010: User 'harry', running 'N/A' from IP 192.68.0.2, executed 'write memory'
organization.id ID původní zdrojové organizace události. TeskaLabsCom.onmicrosoft.com
recipient.address E-mailová adresa původního příjemce zprávy. accounting@teskalabs.com
sender.address E-mailová adresa původního odesílatele zprávy. support@teskalabs.com
source.ip IP adresa zdrojového zařízení nebo systému. 149.72.113.167
tenant Identifikace tenantů v každé události. default
user.id Uživatelská identifikace každé události. automata@teskalabs.com