Elastic Common Schema (ECS)
Pro více informací, viz oficiální dokumentaci.
Tabulka obecných atributů ECS
Atribut | Popis | Hodnoty jako příklad |
---|---|---|
@timestamp | Datum/čas, kdy událost vznikla. | 2022-05-23T08:05:34.853Z |
client.ip | IP adresa zařízení použitá při zaznamenání aktivity. IP adresa je zobrazena ve formátu IPv4 nebo IPv6. | 52.108.224.1 |
cnt | Počet událostí. | 1 |
destination.ip | Původní cílová IP adresa zařízení použitá při zaznamenání aktivity. | 85.162.11.26 |
ecs.version | Verze ECS, které tato událost odpovídá. | 1.0.0 |
event.action | Popis původní události, která spustila vytvoření konkrétního logu. | UserLoggedIn, MessageTrace, FilePreviewed |
event.original | Kompletní a nemodifikovaný log pro auditování. | 10.42.42.42 - - [07/Dec ... |
http.request.method | HTTP požadavek je akce, která má být provedena na zdroj identifikovaný danou URL žádostí. | get |
http.response.body.bytes | Velikost HTTP požadavku v bajtech. | 2571 |
http.response.status_code | Kódy stavu HTTP odpovědí ukazují, zda byl konkrétní HTTP požadavek úspěšně dokončen. | 200 |
http.version | Současná verze Hypertext Transfer Protocolu. | 1.1 |
host.hostname | Hostname hostitele. | webserver-blog-prod |
message | Textová reprezentace významných informací z události pro stručné zobrazení v prohlížeči logů. | "GET /blog HTTP/1.1" 200 2571 |
service.name | Vaše vlastní jméno pro tuto službu. | Company blog |
service.type | Typ služby použité s touto instancí. | apache |
source.geo.* | Pole pro geo-lokaci. | |
url.original | Původní cesta url. | /blog |
user.name | Jméno uživatele. | Albus Dumbledore |
user_agent.* | Pole popisující uživatelský agent. | |
event.dataset | Jméno datové sady. | microsoft-office-365 |
event.id | Unikátní identifikační hodnota. | b4b4c44c-ff30-4ddd-bfbe-44e082570800 |
event.ingested | Časové razítko, kdy událost dorazila do centrálního úložiště dat. | 2022-05-23T08:05:34.853Z |
event.kind | Hodnota tohoto pole může být použita k informování, jak s těmito druhy událostí zacházet. | alert, enrichment, event, metric, state, pipeline_error, signal |
log.original | Surový formát logu, který je přijat před realizačním procesem. | <165>Jan 17 12:20:25 hostname %ASA-5-111010: User 'harry', running 'N/A' from IP 192.68.0.2, executed 'write memory' |
organization.id | ID původní zdrojové organizace události. | TeskaLabsCom.onmicrosoft.com |
recipient.address | E-mailová adresa původního příjemce zprávy. | accounting@teskalabs.com |
sender.address | E-mailová adresa původního odesílatele zprávy. | support@teskalabs.com |
source.ip | IP adresa zdrojového zařízení nebo systému. | 149.72.113.167 |
tenant | Identifikace tenantů v každé události. | default |
user.id | Uživatelská identifikace každé události. | automata@teskalabs.com |