收集 osquery 日志
本文档介绍了如何通过配置 osquery 和 Google Security Operations 转发器来收集 osquery 日志。本文档还列出了支持的日志类型和支持的 osquery 版本。
如需了解详情,请参阅将数据注入 Google Security Operations。
概览
以下部署架构图展示了如何配置 osquery 代理和 Fleet 服务器,以将日志发送到 Google Security Operations。每个客户部署都可能与此表示法不同,并且可能更复杂。
架构图显示了以下组件:
Linux 系统:要监控的 Linux 系统,其中安装了 osquery 代理
Microsoft Windows 系统:要监控的 Microsoft Windows 系统,其中安装了 osquery 代理
Mac 系统:要监控的 Mac 系统,其中安装了 osquery 代理
osquery 代理:从 Microsoft Windows、Linux 或 Mac 系统收集信息,并将信息转发到 Fleet 服务器
Fleet 服务器:监控 osquery 代理并从中接收信息,分析日志,并将日志转发到 Google Security Operations 转发器
Bindplane 代理:Bindplane 代理从 osquery 中提取日志,并将日志发送到 Google SecOps。
Google Security Operations 转发器:一种轻量级软件组件,部署在客户的网络中,用于将日志转发到 Google Security Operations
Google Security Operations:保留并分析来自 Fleet 服务器的日志
注入标签用于标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 OSQUERY_EDR 注入标签的解析器。
准备工作
安装 Fleet 服务器。如需安装 Fleet 服务器,请执行以下操作:
使用 Google 安全运维中心解析器支持的 osquery 版本,即 5.2.3 和 5.3.0。
验证部署架构中的所有系统是否都配置为使用世界协调时间 (UTC) 时区。
验证 Fleet 中的表名称是否符合官方 Fleet 文档中的规定。
配置 osquery 代理、服务器和 Google Security Operations 转发器
如需配置 Fleet 服务器和 Google Security Operations 转发器,请执行以下操作:
如需配置 Fleet 服务器,请执行以下操作:
将主机添加到 Fleet 服务器并安装 osquery 代理。 您可以使用 osquery 安装程序将主机添加到 Fleet 服务器。Fleet 服务器有助于使用 fleetctl package 命令生成 osquery 安装程序。
- 通过安装 fleetctl 命令行工具来执行 fleetctl 软件包命令。
- 使用 fleetctl 软件包命令安装 osquery 代理。
在主机上安装生成的 osquery 安装程序后,主机会自动加入指定的 Fleet 实例。
从 osquery 代理提取日志。如需在 Fleet 中创建用于提取日志的查询,请参阅创建查询;如需安排查询,请参阅安排查询。
在中央 Linux 设备上配置 Google Security Operations 转发器,以将日志推送到 Google Security Operations 系统。如需了解详情,请参阅在 Linux 上安装和配置转发器。以下是 Google SecOps 转发器配置示例:
- file: common: enabled: true data_type: OSQUERY_EDR data_hint: batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path> filter:
使用 Bindplane 代理将日志转发到 Google SecOps
- 安装并设置 Linux 虚拟机。
- 在 Linux 上安装和配置 Bindplane 代理,以将日志转发到 Google SecOps。如需详细了解如何安装和配置 Bindplane 代理,请参阅 Bindplane 代理安装和配置说明。
如果您在创建 Feed 时遇到问题,请与 Google SecOps 支持团队联系。
支持的 osquery 日志格式
osquery 解析器支持 JSON 格式的日志。
支持的 osquery 示例日志
JSON:
{ "name": "account_policy_data", "hostIdentifier": "dummyhostidentifier", "calendarTime": "Tue May 17 11:27:28 2022 UTC", "unixTime": 1652786848, "epoch": 0, "counter": 0, "numerics": false, "decorations": { "host_uuid": "dummy_host_uuid", "hostname": "dummyhostname" }, "columns": { "creation_time": "1637733429.23442", "failed_login_count": "0", "failed_login_timestamp": "0.0", "password_last_set_time": "1645164584.43137", "uid": "501" }, "action": "added" }
字段映射参考
本部分介绍 Google Security Operations 解析器如何将 osquery 日志字段映射到 Google Security Operations 统一数据模型 (UDM) 字段(针对架构和操作系统)。如需了解详情,请参阅 5.2.3 版和 5.3.0 版的 osquery 架构。
account_policy_data
下表列出了架构 account_policy_data 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| uid | principal.user.userid |
| creation_time | principal.user.attribute.creation_time |
| failed_login_count | principal.user.attribute.labels.key/value |
| failed_login_timestamp | principal.user.attribute.labels.key/value |
| password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
下表列出了架构 ad_config 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | about.labels.key/value(已废弃) additional.fields |
| 网域 | target.administrative_domain |
| option | about.labels.key(已弃用) additional.fields.key |
| 值 | about.labels.value(已弃用) additional.fields.value.string_value |
alf
下表列出了架构 alf 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| allow_signed_enabled | about.labels.key/value(已废弃) additional.fields |
| firewall_unload | about.labels.key/value(已废弃) additional.fields |
| global_state | about.labels.key/value(已废弃) additional.fields |
| logging_enabled | about.labels.key/value(已废弃) additional.fields |
| logging_option | about.labels.key/value(已废弃) additional.fields |
| stealth_enabled | about.labels.key/value(已废弃) additional.fields |
| 版本 | target.platform_version |
alf_exceptions
下表列出了架构 alf_exceptions 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 路径 | target.file.full_path |
| state | about.labels.key/value(已废弃) additional.fields |
alf_explicit_auths
下表列出了架构 alf_explicit_auths 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 原始事件 | target.process.pid |
app_schemes
下表列出了架构 app_schemes 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| scheme | about.labels.key/value(已废弃) additional.fields |
| handler | about.labels.key/value(已废弃) additional.fields |
| 已启用 | about.labels.key/value(已废弃) additional.fields |
| 外部 | about.labels.key/value(已废弃) additional.fields |
| 受保护 | about.labels.key/value(已废弃) additional.fields |
apparmor_events
下表列出了架构 apparmor_events 和操作系统 Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| 消息 | metadata.description |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| uptime | about.labels.key/value(已废弃) additional.fields |
| EID | security_result.rule_id |
| apparmor | security_result.action |
| 操作 | about.labels.key/value(已废弃) additional.fields |
| 父级 | target.process.parent_process.pid |
| 个人资料 | about.labels.key/value(已废弃) additional.fields |
| name | about.labels.key/value(已废弃) additional.fields |
| pid | target.process.pid |
| comm | target.process.command_line |
| denied_mask | about.labels.key/value(已废弃) additional.fields |
| capname | about.labels.key/value(已废弃) additional.fields |
| fsuid | target.user.attribute.labels.key/value |
| ouid | target.user.attribute.labels.key/value |
| 功能 | about.labels.key/value(已废弃) additional.fields |
| requested_mask | target.process.access_mask |
| 信息 | about.labels.key/value(已废弃) additional.fields |
| 错误 | security_result.summary |
| 命名空间 | about.labels.key/value(已废弃) additional.fields |
| 标签 | about.labels.key/value(已废弃) additional.fields |
apparmor_profiles
下表列出了架构 apparmor_profiles 和操作系统 Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 路径 | target.file.full_path |
| name | target.resource.name |
| 挂接 | about.labels.key/value(已废弃) additional.fields |
| 模式 | about.labels.key/value(已废弃) additional.fields |
| sha1 | target.file.sha1 |
应用
下表列出了架构应用和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | target.application |
| 路径 | target.file.full_path |
| bundle_executable | about.labels.key/value(已废弃) additional.fields |
| bundle_identifier | target.resource.product_object_id |
| bundle_name | target.resource.name |
| bundle_short_version | target.resource.attribute.labels.key/value |
| bundle_version | target.resource.attribute.labels.key/value |
| bundle_package_type | about.labels.key/value(已废弃) additional.fields |
| 环境 | about.labels.key/value(已废弃) additional.fields |
| 元素 | about.labels.key/value(已废弃) additional.fields |
| 编译器 | about.labels.key/value(已废弃) additional.fields |
| development_region | about.location.country_or_region |
| display_name | about.labels.key/value(已废弃) additional.fields |
| info_string | about.labels.key/value(已废弃) additional.fields |
| minimum_system_version | about.labels.key/value(已废弃) additional.fields |
| 类别 | about.labels.key/value(已废弃) additional.fields |
| applescript_enabled | about.labels.key/value(已废弃) additional.fields |
| 版权 | about.labels.key/value(已废弃) additional.fields |
| last_opened_time | target.file.last_seen_time |
asl
下表列出了架构 asl 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| time_nano_sec | about.labels.key/value(已废弃) additional.fields |
| 主机 | target.hostname |
| sender | about.labels.key/value(已废弃) additional.fields |
| facility | about.labels.key/value(已废弃) additional.fields |
| pid | target.process.pid |
| GID | target.user.group_identifiers |
| uid | target.user.userid |
| level | about.labels.key/value(已废弃) additional.fields |
| 消息 | metadata.description |
| ref_pid | about.labels.key/value(已废弃) additional.fields |
| ref_proc | about.labels.key/value(已废弃) additional.fields |
| 额外 | about.labels.key/value(已废弃) additional.fields |
Authenticode
下表列出了架构 authenticode 和 OS Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 路径 | target.file.full_path |
| original_program_name | about.labels.key/value(已废弃) additional.fields |
| serial_number | network.tls.client.certificate.serial |
| issuer_name | network.tls.client.certificate.issuer |
| subject_name | network.tls.client.certificate.subject |
| 结果 | security_result.summary |
authorization_mechanisms
下表列出了架构 authorization_mechanisms 和操作系统 macOS 的日志字段及对应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 标签 | about.labels.key/value(已废弃) additional.fields |
| plugin | about.labels.key/value(已废弃) additional.fields |
| 机制 | about.labels.key/value(已废弃) additional.fields |
| 特权 | 具有特权的 | about.labels.key/value(已废弃) additional.fields |
| 条目 | about.labels.key/value(已废弃) additional.fields |
授权
下表列出了架构授权和操作系统 macOS 的日志字段以及相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 标签 | about.labels.key/value(已废弃) additional.fields |
| 修改 | about.labels.key/value(已废弃) additional.fields |
| allow_root | about.labels.key/value(已废弃) additional.fields |
| timeout | about.labels.key/value(已废弃) additional.fields |
| 版本 | about.labels.key/value(已废弃) additional.fields |
| tries | about.labels.key/value(已废弃) additional.fields |
| authenticate_user | about.labels.key/value(已废弃) additional.fields |
| 共享 | about.labels.key/value(已废弃) additional.fields |
| 评论 | about.labels.key/value(已废弃) additional.fields |
| 已创建 | about.labels.key/value(已废弃) additional.fields |
| class | about.labels.key/value(已废弃) additional.fields |
| session_owner | about.labels.key/value(已废弃) additional.fields |
autoexec
下表列出了架构 autoexec 和 OS Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 路径 | target.file.full_path |
| name | target.application |
| 来源 | target.resource.name |
bitlocker_info
下表列出了架构 bitlocker_info 和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| device_id | target.resource.product_object_id |
| drive_letter | target.resource.name |
| persistent_volume_id | about.labels.key/value(已废弃) additional.fields |
| conversion_status | target.resource.attribute.labels.key/value |
| protection_status | target.resource.attribute.labels.key/value |
| encryption_method | target.resource.attribute.labels.key/value |
| 版本 | metadata.product_version |
| percentage_encrypted | target.resource.attribute.labels.key/value |
| lock_status | target.resource.attribute.labels.key/value |
bpf_process_events
下表列出了架构 bpf_process_events 和操作系统 Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| tid | about.labels.key/value(已废弃) additional.fields |
| pid | target.process.pid |
| 父级 | target.process.parent_process.pid |
| uid | principal.user.userid |
| GID | principal.group.product_object_id |
| cid | about.labels.key/value(已废弃) additional.fields |
| exit_code | about.labels.key/value(已废弃) additional.fields |
| probe_error | about.labels.key/value(已废弃) additional.fields |
| syscall | about.labels.key/value(已废弃) additional.fields |
| 路径 | target.process.file.full_path |
| cwd | about.labels.key/value(已废弃) additional.fields |
| cmdline | target.process.command_line |
| 时长 | about.labels.key/value(已废弃) additional.fields |
| json_cmdline | about.labels.key/value(已废弃) additional.fields |
| ntime | about.labels.key/value(已废弃) additional.fields |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| EID | metadata.product_log_id |
bpf_socket_events
下表列出了架构 bpf_socket_events 和操作系统 Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| tid | about.labels.key/value(已废弃) additional.fields |
| pid | principal.process.pid |
| 父级 | principal.process.parent_process.pid |
| uid | principal.user.userid |
| GID | principal.group.product_object_id |
| cid | about.labels.key/value(已废弃) additional.fields |
| exit_code | about.labels.key/value(已废弃) additional.fields |
| probe_error | about.labels.key/value(已废弃) additional.fields |
| syscall | about.labels.key/value(已废弃) additional.fields |
| 路径 | target.file.full_path |
| fd | about.labels.key/value(已废弃) additional.fields |
| 系列 | about.labels.key/value(已废弃) additional.fields |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| 协议 | about.labels.key/value(已废弃) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| 时长 | about.labels.key/value(已废弃) additional.fields |
| ntime | about.labels.key/value(已废弃) additional.fields |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| EID | metadata.product_log_id |
证书
下表列出了架构证书和操作系统 macOS、Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| common_name | about.labels.key/value(已废弃) additional.fields |
| subject | network.tls.client.certificate.subject |
| issuer | network.tls.client.certificate.issuer |
| ca | about.labels.key/value(已废弃) additional.fields |
| self_signed | about.labels.key/value(已废弃) additional.fields |
| not_valid_before | network.tls.client.certificate.not_before |
| not_valid_after | network.tls.client.certificate.not_after |
| signing_algorithm | about.labels.key/value(已废弃) additional.fields |
| key_algorithm | about.labels.key/value(已废弃) additional.fields |
| key_strength | about.labels.key/value(已废弃) additional.fields |
| key_usage | about.labels.key/value(已废弃) additional.fields |
| subject_key_id | about.labels.key/value(已废弃) additional.fields |
| authority_key_id | about.labels.key/value(已废弃) additional.fields |
| sha1 | network.tls.client.certificate.sha1 |
| 路径 | about.labels.key/value(已废弃) additional.fields |
| serial | network.tls.client.certificate.serial |
| sid | about.labels.key/value(已废弃) additional.fields |
| store_location | about.labels.key/value(已废弃) additional.fields |
| 存储区 | about.labels.key/value(已废弃) additional.fields |
| 用户名 | principal.user.user_display_name |
| store_id | about.labels.key/value(已废弃) additional.fields |
chassis_info
下表列出了架构 chassis_info 和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| audible_alarm | about.labels.key/value(已废弃) additional.fields |
| breach_description | security_result.description |
| chassis_types | about.labels.key/value(已废弃) additional.fields |
| 说明 | metadata.description |
| 锁定 | about.labels.key/value(已废弃) additional.fields |
| 制造商 | principal.asset.hardware.manufacturer |
| 模型 | principal.asset.hardware.model |
| security_breach | security_result.detection_fields.key/value |
| serial | principal.asset.hardware.serial_number |
| smbios_tag | about.labels.key/value(已废弃) additional.fields |
| SKU | about.labels.key/value(已废弃) additional.fields |
| 状态 | about.labels.key/value(已废弃) additional.fields |
| visible_alarm | about.labels.key/value(已废弃) additional.fields |
chrome_extensions
下表列出了架构 chrome_extensions 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| browser_type | target.resource.attribute.labels.key/value |
| uid | principal.user.userid |
| name | target.resource.name |
| 个人资料 | target.resource.attribute.labels.key/value |
| profile_path | target.resource.attribute.labels.key/value |
| referenced_identifier | target.resource.attribute.labels.key/value |
| 标识符 | target.resource.attribute.labels.key/value |
| 版本 | target.resource.attribute.labels.key/value |
| 说明 | target.resource.attribute.labels.key/value |
| default_locale | target.resource.attribute.labels.key/value |
| current_locale | target.resource.attribute.labels.key/value |
| update_url | network.http.referral_url |
| 作者 | target.resource.attribute.labels.key/value |
| 持久性 | target.resource.attribute.labels.key/value |
| 路径 | target.file.full_path |
| 权限 | target.resource.attribute.labels.key/value |
| permissions_json | target.resource.attribute.labels.key/value |
| optional_permissions | target.resource.attribute.labels.key/value |
| optional_permissions_json | target.resource.attribute.labels.key/value |
| manifest_hash | target.resource.attribute.labels.key/value |
| 引用 | target.resource.attribute.labels.key/value |
| from_webstore | target.resource.attribute.labels.key/value |
| state | target.resource.attribute.labels.key/value |
| install_time | target.resource.attribute.labels.key/value |
| install_timestamp | target.resource.attribute.labels.key/value |
| manifest_json | target.resource.attribute.labels.key/value |
| 键 | target.resource.attribute.labels.key/value |
连接性
下表列出了架构连接和操作系统 Windows 的日志字段以及相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 已断开连接 | about.labels.key/value(已废弃) additional.fields |
| ipv4_no_traffic | about.labels.key/value(已废弃) additional.fields |
| ipv6_no_traffic | about.labels.key/value(已废弃) additional.fields |
| ipv4_subnet | about.labels.key/value(已废弃) additional.fields |
| ipv4_local_network | about.labels.key/value(已废弃) additional.fields |
| ipv4_internet | about.labels.key/value(已废弃) additional.fields |
| ipv6_subnet | about.labels.key/value(已废弃) additional.fields |
| ipv6_local_network | about.labels.key/value(已废弃) additional.fields |
| ipv6_internet | about.labels.key/value(已废弃) additional.fields |
cpu_info
下表列出了架构 cpu_info 和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| device_id | principal.asset.product_object_id |
| 模型 | principal.asset.hardware.model |
| 制造商 | principal.asset.hardware.manufacturer |
| processor_type | about.labels.key/value(已废弃) additional.fields |
| availability | about.labels.key/value(已废弃) additional.fields |
| cpu_status | about.labels.key/value(已废弃) additional.fields |
| number_of_cores | principal.asset.hardware.cpu_number_cores |
| logical_processors | about.labels.key/value(已废弃) additional.fields |
| address_width | about.labels.key/value(已废弃) additional.fields |
| current_clock_speed | principal.asset.hardware.cpu_clock_speed |
| max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
| socket_designation | about.labels.key/value(已废弃) additional.fields |
崩溃
下表列出了架构崩溃和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| pid | target.process.pid |
| 路径 | target.process.file.full_path |
| crash_path | target.file.full_path |
| 标识符 | about.labels.key/value(已废弃) additional.fields |
| 版本 | about.labels.key/value(已废弃) additional.fields |
| 父级 | target.process.parent_process.pid |
| responsible | about.labels.key/value(已废弃) additional.fields |
| uid | target.user.userid |
| datetime | metadata.event_timestamp |
| crashed_thread | about.labels.key/value(已废弃) additional.fields |
| stack_trace | about.labels.key/value(已废弃) additional.fields |
| exception_type | about.labels.key/value(已废弃) additional.fields |
| exception_codes | about.labels.key/value(已废弃) additional.fields |
| exception_notes | about.labels.key/value(已废弃) additional.fields |
| 注册 | about.labels.key/value(已废弃) additional.fields |
crontab
下表列出了架构 crontab 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 事件 | about.labels.key/value(已废弃) additional.fields |
| 分钟 | about.labels.key/value(已废弃) additional.fields |
| 小时 | about.labels.key/value(已废弃) additional.fields |
| day_of_month | about.labels.key/value(已废弃) additional.fields |
| 月 | about.labels.key/value(已废弃) additional.fields |
| day_of_week | about.labels.key/value(已废弃) additional.fields |
| 命令 | principal.process.command_line |
| 路径 | principal.process.file.full_path |
| pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
curl
下表列出了架构 curl 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 网址 | network.http.referral_url |
| 方法 | network.http.method |
| user_agent | network.http.user_agent |
| response_code | network.http.response_code |
| round_trip_time | network.session_duration |
| 字节 | network.received_bytes |
| 结果 | about.labels.key/value(已废弃) additional.fields |
curl_certificate
下表列出了架构 curl_certificate 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 主机名 | principal.hostname |
| common_name | about.labels.key/value(已废弃) additional.fields |
| 组织 | network.organization_name |
| organization_unit | about.labels.key/value(已废弃) additional.fields |
| serial_number | network.tls.server.certificate.serial |
| issuer_common_name | about.labels.key/value(已废弃) additional.fields |
| issuer_organization | network.tls.server.certificate.issuer |
| issuer_organization_unit | about.labels.key/value(已废弃) additional.fields |
| valid_from | network.tls.server.certificate.not_before |
| valid_to | network.tls.server.certificate.not_after |
| sha256_fingerprint | network.tls.server.certificate.sha256 |
| sha1_fingerprint | network.tls.server.certificate.sha1 |
| 版本 | network.tls.server.certificate.version |
| signature_algorithm | about.labels.key/value(已废弃) additional.fields |
| signature | about.labels.key/value(已废弃) additional.fields |
| subject_key_identifier | about.labels.key/value(已废弃) additional.fields |
| authority_key_identifier | about.labels.key/value(已废弃) additional.fields |
| key_usage | about.labels.key/value(已废弃) additional.fields |
| extended_key_usage | about.labels.key/value(已废弃) additional.fields |
| 政策 | about.labels.key/value(已废弃) additional.fields |
| subject_alternative_names | about.labels.key/value(已废弃) additional.fields |
| issuer_alternative_names | about.labels.key/value(已废弃) additional.fields |
| info_access | about.labels.key/value(已废弃) additional.fields |
| subject_info_access | about.labels.key/value(已废弃) additional.fields |
| policy_mappings | about.labels.key/value(已废弃) additional.fields |
| has_expired | about.labels.key/value(已废弃) additional.fields |
| basic_constraint | about.labels.key/value(已废弃) additional.fields |
| name_constraints | about.labels.key/value(已废弃) additional.fields |
| policy_constraints | about.labels.key/value(已废弃) additional.fields |
| dump_certificate | about.labels.key/value(已废弃) additional.fields |
| timeout | about.labels.key/value(已废弃) additional.fields |
| pem | about.labels.key/value(已废弃) additional.fields |
device_file
下表列出了架构 device_file 和操作系统 Linux、macOS、freebsd、Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| device | about.labels.key/value(已废弃) additional.fields |
| 分区 | about.labels.key/value(已废弃) additional.fields |
| 路径 | target.file.full_path |
| filename | target.file.names |
| inode | about.labels.key/value(已废弃) additional.fields |
| uid | target.user.userid |
| GID | target.group.product_object_id |
| 模式 | about.labels.key/value(已废弃) additional.fields |
| 大小 | target.file.size |
| block_size | about.labels.key/value(已废弃) additional.fields |
| atime | about.labels.key/value(已废弃) additional.fields |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value(已废弃) additional.fields |
| hard_links | about.labels.key/value(已废弃) additional.fields |
| 类型 | about.labels.key/value(已废弃) additional.fields |
device_hash
下表列出了架构 device_hash 和操作系统 Linux、macOS、freebsd、Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| device | target.file.full_path |
| 分区 | about.labels.key/value(已废弃) additional.fields |
| inode | about.labels.key/value(已废弃) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha56 |
disk_info
下表列出了架构 disk_info 和 OS Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 分区 | principal.asset.attribute.labels.key/value |
| disk_index | principal.asset.attribute.labels.key/value |
| 类型 | principal.asset.attribute.labels.key/value |
| id | principal.asset.product_object_id |
| pnp_device_id | about.labels.key/value(已废弃) additional.fields |
| disk_size | principal.asset.attribute.labels.key/value |
| 制造商 | principal.asset.hardware.manufacturer |
| hardware_model | principal.asset.hardware.model |
| name | principal.asset.attribute.labels.key/value |
| serial | principal.asset.hardware.serial_number |
| 说明 | principal.asset.attribute.labels.key/value |
dns_cache
下表列出了架构 dns_cache 和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | network.dns.additional.name |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| flags | about.labels.key/value(已废弃) additional.fields |
dns_resolvers
下表列出了架构 dns_resolvers 和操作系统 Linux、macOS、freebsd 的日志字段和对应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| id | about.labels.key/value(已废弃) additional.fields |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| 地址 | principal.ip |
| 网络掩码 | about.labels.key/value(已废弃) additional.fields |
| 选项 | about.labels.key/value(已废弃) additional.fields |
| pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
docker_container_networks
下表列出了架构 docker_container_networks 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| name | network.carrier_name |
| network_id | about.labels.key/value(已废弃) additional.fields |
| endpoint_id | about.labels.key/value(已废弃) additional.fields |
| 网关 | about.labels.key/value(已废弃) additional.fields |
| ip_address | target.ip |
| ip_prefix_len | about.labels.key/value(已废弃) additional.fields |
| ipv6_gateway | about.labels.key/value(已废弃) additional.fields |
| ipv6_address | target.ip |
| ipv6_prefix_len | about.labels.key/value(已废弃) additional.fields |
| mac_address | target.mac |
docker_container_ports
下表列出了架构 docker_container_ports 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| 类型 | network.ip_protocol |
| 端口 | target.port |
| host_ip | principal.ip |
| host_port | principal.port |
docker_container_processes
下表列出了架构 docker_container_processes 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| id | target.asset.product_object_id |
| pid | target.process.pid |
| name | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | about.labels.key/value(已废弃) additional.fields |
| uid | target.user.userid |
| GID | target.group.product_object_id |
| euid | target.user.attribute.labels.key/value |
| egid | target.group.attribute.labels.key/value |
| suid | target.user.attribute.labels.key/value |
| sgid | target.group.attribute.labels.key/value |
| wired_size | about.labels.key/value(已废弃) additional.fields |
| resident_size | about.labels.key/value(已废弃) additional.fields |
| total_size | about.labels.key/value(已废弃) additional.fields |
| start_time | about.labels.key/value(已废弃) additional.fields |
| 父级 | target.process.parent_process.pid |
| pgroup | about.labels.key/value(已废弃) additional.fields |
| threads | about.labels.key/value(已废弃) additional.fields |
| nice | about.labels.key/value(已废弃) additional.fields |
| 用户 | target.user.user_display_name |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| cpu | about.labels.key/value(已废弃) additional.fields |
| 内存 | about.labels.key/value(已废弃) additional.fields |
docker_container_stats
下表列出了架构 docker_container_stats 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| name | target.resource.name |
| pids | about.labels.key/value(已废弃) additional.fields |
| read | about.labels.key/value(已废弃) additional.fields |
| 预读 | about.labels.key/value(已废弃) additional.fields |
| interval | about.labels.key/value(已废弃) additional.fields |
| disk_read | about.labels.key/value(已废弃) additional.fields |
| disk_write | about.labels.key/value(已废弃) additional.fields |
| num_procs | about.labels.key/value(已废弃) additional.fields |
| cpu_total_usage | about.labels.key/value(已废弃) additional.fields |
| cpu_kernelmode_usage | about.labels.key/value(已废弃) additional.fields |
| cpu_usermode_usage | about.labels.key/value(已废弃) additional.fields |
| system_cpu_usage | about.labels.key/value(已废弃) additional.fields |
| online_cpus | about.labels.key/value(已废弃) additional.fields |
| pre_cpu_total_usage | about.labels.key/value(已废弃) additional.fields |
| pre_cpu_kernelmode_usage | about.labels.key/value(已废弃) additional.fields |
| pre_cpu_usermode_usage | about.labels.key/value(已废弃) additional.fields |
| pre_system_cpu_usage | about.labels.key/value(已废弃) additional.fields |
| pre_online_cpus | about.labels.key/value(已废弃) additional.fields |
| memory_usage | about.labels.key/value(已废弃) additional.fields |
| memory_max_usage | about.labels.key/value(已废弃) additional.fields |
| memory_limit | about.labels.key/value(已废弃) additional.fields |
| network_rx_bytes | about.labels.key/value(已废弃) additional.fields |
| network_tx_bytes | about.labels.key/value(已废弃) additional.fields |
docker_info
下表列出了架构 docker_info 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| 容器 | about.labels.key/value(已废弃) additional.fields |
| containers_running | about.labels.key/value(已废弃) additional.fields |
| containers_paused | about.labels.key/value(已废弃) additional.fields |
| containers_stopped | about.labels.key/value(已废弃) additional.fields |
| 图片 | about.labels.key/value(已废弃) additional.fields |
| storage_driver | about.labels.key/value(已废弃) additional.fields |
| memory_limit | about.labels.key/value(已废弃) additional.fields |
| swap_limit | about.labels.key/value(已废弃) additional.fields |
| kernel_memory | about.labels.key/value(已废弃) additional.fields |
| cpu_cfs_period | about.labels.key/value(已废弃) additional.fields |
| cpu_cfs_quota | about.labels.key/value(已废弃) additional.fields |
| cpu_shares | about.labels.key/value(已废弃) additional.fields |
| cpu_set | about.labels.key/value(已废弃) additional.fields |
| ipv4_forwarding | about.labels.key/value(已废弃) additional.fields |
| bridge_nf_iptables | about.labels.key/value(已废弃) additional.fields |
| bridge_nf_ip6tables | about.labels.key/value(已废弃) additional.fields |
| oom_kill_disable | about.labels.key/value(已废弃) additional.fields |
| logging_driver | about.labels.key/value(已废弃) additional.fields |
| cgroup_driver | about.labels.key/value(已废弃) additional.fields |
| kernel_version | about.labels.key/value(已废弃) additional.fields |
| os | about.labels.key/value(已废弃) additional.fields |
| os_type | target.platform(enum) |
| 架构 | about.labels.key/value(已废弃) additional.fields |
| cpus | about.labels.key/value(已废弃) additional.fields |
| 内存 | about.labels.key/value(已废弃) additional.fields |
| http_proxy | about.labels.key/value(已废弃) additional.fields |
| https_proxy | about.labels.key/value(已废弃) additional.fields |
| no_proxy | about.labels.key/value(已废弃) additional.fields |
| name | target.hostname |
| server_version | target.platform_version |
| root_dir | target.file.full_path |
docker_network_labels
下表列出了架构 docker_network_labels 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| 键 | target.resource.attribute.labels.key/value |
| 值 | about.labels.key/value(已废弃) additional.fields |
docker_networks
下表列出了架构 docker_networks 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| id | target.resource.product_object_id |
| name | about.labels.key/value(已废弃) additional.fields |
| driver | about.labels.key/value(已废弃) additional.fields |
| 已创建 | target.resource.attribute.creation_time |
| enable_ipv6 | about.labels.key/value(已废弃) additional.fields |
| 子网 | about.labels.key/value(已废弃) additional.fields |
| 网关 | about.labels.key/value(已废弃) additional.fields |
ec2_instance_metadata
下表列出了架构 ec2_instance_metadata 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| instance_id | target.resource.product_object_id |
| instance_type | about.labels.key/value(已废弃) additional.fields |
| 架构 | about.labels.key/value(已废弃) additional.fields |
| 区域 | target.location.country_or_region |
| availability_zone | about.labels.key/value(已废弃) additional.fields |
| local_hostname | target.hostname |
| local_ipv4 | target.ip |
| mac | target.mac |
| security_groups | about.labels.key/value(已废弃) additional.fields |
| iam_arn | about.labels.key/value(已废弃) additional.fields |
| ami_id | about.labels.key/value(已废弃) additional.fields |
| reservation_id | about.labels.key/value(已废弃) additional.fields |
| account_id | target.user.userid |
| ssh_public_key | about.labels.key/value(已废弃) additional.fields |
es_process_events
下表列出了架构 es_process_events 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 版本 | target.platform_version |
| seq_num | about.labels.key/value(已废弃) additional.fields |
| global_seq_num | about.labels.key/value(已废弃) additional.fields |
| pid | target.process.pid |
| 路径 | target.process.file.full_path |
| 父级 | target.process.parent_process.pid |
| original_parent | about.labels.key/value(已废弃) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value(已废弃) additional.fields |
| env | about.labels.key/value(已废弃) additional.fields |
| env_count | about.labels.key/value(已废弃) additional.fields |
| cwd | about.labels.key/value(已废弃) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value(已废弃) additional.fields |
| GID | target.group.product_object_id |
| egid | about.labels.key/value(已废弃) additional.fields |
| 用户名 | target.user.user_display_name |
| signing_id | about.labels.key/value(已废弃) additional.fields |
| team_id | about.labels.key/value(已废弃) additional.fields |
| cdhash | about.labels.key/value(已废弃) additional.fields |
| platform_binary | about.labels.key/value(已废弃) additional.fields |
| exit_code | about.labels.key/value(已废弃) additional.fields |
| child_pid | about.labels.key/value(已废弃) additional.fields |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| event_type | about.labels.key/value(已废弃) additional.fields |
| EID | metadata.product_log_id |
etc_hosts
下表列出了架构 etc_hosts 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 地址 | target.ip |
| 主机名 | about.hostname |
| pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
etc_protocols
下表列出了架构 etc_protocols 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | network.ip_protocol |
| 数字 | about.labels.key/value(已废弃) additional.fields |
| alias | about.labels.key/value(已废弃) additional.fields |
| 评论 | about.labels.key/value(已废弃) additional.fields |
etc_services
下表列出了架构 etc_services 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | target.resource.name |
| 端口 | target.port |
| 协议 | network.ip_protocol |
| aliases | about.labels.key/value(已废弃) additional.fields |
| 评论 | about.labels.key/value(已废弃) additional.fields |
文件
下表列出了架构文件和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 路径 | target.file.full_path |
| 目录 | about.labels.key/value(已废弃) additional.fields |
| filename | target.file.names |
| inode | about.labels.key/value(已废弃) additional.fields |
| uid | target.user.userid |
| GID | target.group.product_object_id |
| 模式 | about.labels.key/value(已废弃) additional.fields |
| device | target.asset.asset_id |
| 大小 | target.file.size |
| block_size | about.labels.key/value(已废弃) additional.fields |
| atime | target.file.last_seen_time |
| mtime | target.file.last_modification_time |
| ctime | about.labels.key/value(已废弃) additional.fields |
| btime | about.labels.key/value(已废弃) additional.fields |
| hard_links | about.labels.key/value(已废弃) additional.fields |
| symlink | about.labels.key/value(已废弃) additional.fields |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| 属性 | about.labels.key/value(已废弃) additional.fields |
| volume_serial | about.labels.key/value(已废弃) additional.fields |
| file_id | about.labels.key/value(已废弃) additional.fields |
| file_version | about.labels.key/value(已废弃) additional.fields |
| product_version | about.labels.key/value(已废弃) additional.fields |
| bsd_flags | about.labels.key/value(已废弃) additional.fields |
| pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
| mount_namespace_id | about.labels.key/value(已废弃) additional.fields |
file_events
下表列出了架构 file_events 和操作系统 Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 操作 | about.labels.key/value(已废弃) additional.fields |
| pid | principal.process.pid |
| ppid | principal.process.parent_process.pid |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| 可执行 | about.labels.key/value(已废弃) additional.fields |
| 部分 | about.labels.key/value(已废弃) additional.fields |
| cwd | about.labels.key/value(已废弃) additional.fields |
| 路径 | src.file.full_path |
| dest_path | target.file.full_path |
| uid | principal.user.userid |
| GID | principal.group.product_object_id |
| auid | about.labels.key/value(已废弃) additional.fields |
| euid | about.labels.key/value(已废弃) additional.fields |
| egid | about.labels.key/value(已废弃) additional.fields |
| fsuid | about.labels.key/value(已废弃) additional.fields |
| fsgid | about.labels.key/value(已废弃) additional.fields |
| suid | about.labels.key/value(已废弃) additional.fields |
| sgid | about.labels.key/value(已废弃) additional.fields |
| uptime | about.labels.key/value(已废弃) additional.fields |
| EID | metadata.product_log_id |
gatekeeper
下表列出了架构门禁和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| assessments_enabled | about.labels.key/value(已废弃) additional.fields |
| dev_id_enabled | about.labels.key/value(已废弃) additional.fields |
| 版本 | target.asset.software.version |
| opaque_version | about.labels.key/value(已废弃) additional.fields |
gatekeeper_approved_apps
下表列出了架构 gatekeeper_approved_apps 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 路径 | target.file.full_path |
| 要求 | about.labels.key/value(已废弃) additional.fields |
| ctime | about.labels.key/value(已废弃) additional.fields |
| mtime | target.resource.attribute.last_update_time |
groups
下表列出了架构组和操作系统 macOS、Linux、Windows、freebsd 的日志字段和对应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| GID | target.group.attribute.labels.key/value |
| gid_signed | target.group.attribute.labels.key/value |
| groupname | target.group.group_display_name |
| group_sid | target.group.product_object_id |
| 评论 | target.group.attribute.labels.key/value |
| is_hidden | target.group.attribute.labels.key/value |
| pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
下表列出了架构 hardware_events 和操作系统 Linux、macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 操作 | security_result.action_details |
| 路径 | target.asset.attribute.labels.key/value |
| 类型 | target.asset.attribute.labels.key/value |
| driver | target.asset.attribute.labels.key/value |
| vendor | target.asset.attribute.labels.key/value |
| vendor_id | target.asset.attribute.labels.key/value |
| 模型 | target.asset.hardware.model |
| model_id | target.asset.attribute.labels.key/value |
| serial | target.asset.attribute.labels.key/value |
| 修订版本 | target.asset.attribute.labels.key/value |
| 时间 | metadata.event_timestamp |
| EID | metadata.product_log_id |
哈希
下表列出了架构哈希和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 路径 | target.file.full_path |
| 目录 | about.labels.key/value(已废弃) additional.fields |
| md5 | target.file.md5 |
| sha1 | target.file.sha1 |
| sha256 | target.file.sha256 |
| pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
| mount_namespace_id | about.labels.key/value(已废弃) additional.fields |
interface_addresses
下表列出了架构 interface_addresses 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 接口 | about.labels.key/value(已废弃) additional.fields |
| 地址 | target.ip |
| mask | about.labels.key/value(已废弃) additional.fields |
| 广播 | about.labels.key/value(已废弃) additional.fields |
| point_to_point | about.labels.key/value(已废弃) additional.fields |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| friendly_name | about.labels.key/value(已废弃) additional.fields |
interface_details
下表列出了架构 interface_details 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 接口 | about.labels.key/value(已废弃) additional.fields |
| mac | target.mac |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| mtu | about.labels.key/value(已废弃) additional.fields |
| 指标 | about.labels.key/value(已废弃) additional.fields |
| flags | about.labels.key/value(已废弃) additional.fields |
| ipackets | about.labels.key/value(已废弃) additional.fields |
| opackets | about.labels.key/value(已废弃) additional.fields |
| ibytes | network.sent_bytes |
| obytes | network.received_bytes |
| ierrors | about.labels.key/value(已废弃) additional.fields |
| oerrors | about.labels.key/value(已废弃) additional.fields |
| idrops | about.labels.key/value(已废弃) additional.fields |
| odrops | about.labels.key/value(已废弃) additional.fields |
| 碰撞 | about.labels.key/value(已废弃) additional.fields |
| last_change | about.labels.key/value(已废弃) additional.fields |
| link_speed | about.labels.key/value(已废弃) additional.fields |
| pci_slot | about.labels.key/value(已废弃) additional.fields |
| friendly_name | about.labels.key/value(已废弃) additional.fields |
| 说明 | about.labels.key/value(已废弃) additional.fields |
| 制造商 | target.asset.hardware.manufacturer |
| connection_id | about.labels.key/value(已废弃) additional.fields |
| connection_status | about.labels.key/value(已废弃) additional.fields |
| 已启用 | about.labels.key/value(已废弃) additional.fields |
| physical_adapter | about.labels.key/value(已废弃) additional.fields |
| 速度 | about.labels.key/value(已废弃) additional.fields |
| 服务 | target.application |
| dhcp_enabled | about.labels.key/value(已废弃) additional.fields |
| dhcp_lease_expires | network.dhcp.lease_time_seconds |
| dhcp_lease_obtained | about.labels.key/value(已废弃) additional.fields |
| dhcp_server | network.dhcp.yiaddr |
| dns_domain | network.dns.questions.name |
| dns_domain_suffix_search_order | about.labels.key/value(已废弃) additional.fields |
| dns_host_name | about.labels.key/value(已废弃) additional.fields |
| dns_server_search_order | about.labels.key/value(已废弃) additional.fields |
interface_ipv6
下表列出了架构 interface_ipv6 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 接口 | about.labels.key/value(已废弃) additional.fields |
| hop_limit | about.labels.key/value(已废弃) additional.fields |
| forwarding_enabled | about.labels.key/value(已废弃) additional.fields |
| redirect_accept | about.labels.key/value(已废弃) additional.fields |
| rtadv_accept | about.labels.key/value(已废弃) additional.fields |
iptables
下表列出了架构 iptables 和 OS Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| filter_name | about.labels.key/value(已废弃) additional.fields |
| 链 | about.labels.key/value(已废弃) additional.fields |
| 政策 | about.labels.key/value(已废弃) additional.fields |
| 目标 | about.labels.key/value(已废弃) additional.fields |
| 协议 | about.labels.key/value(已废弃) additional.fields |
| src_port | src.port |
| dst_port | target.port |
| src_ip | src.ip |
| src_mask | about.labels.key/value(已废弃) additional.fields |
| iniface | about.labels.key/value(已废弃) additional.fields |
| iniface_mask | about.labels.key/value(已废弃) additional.fields |
| dst_ip | target.ip |
| dst_mask | about.labels.key/value(已废弃) additional.fields |
| outiface | about.labels.key/value(已废弃) additional.fields |
| outiface_mask | about.labels.key/value(已废弃) additional.fields |
| 匹配 | about.labels.key/value(已废弃) additional.fields |
| 数据包 | about.labels.key/value(已废弃) additional.fields |
| 字节 | network.received_bytes |
kernel_panics
下表列出了架构 kernel_panics 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 路径 | target.file.full_path |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| 注册 | about.labels.key/value(已废弃) additional.fields |
| frame_backtrace | about.labels.key/value(已废弃) additional.fields |
| module_backtrace | about.labels.key/value(已废弃) additional.fields |
| 依赖项 | about.labels.key/value(已废弃) additional.fields |
| name | target.process.command_line |
| os_version | target.platform_version |
| kernel_version | about.labels.key/value(已废弃) additional.fields |
| system_model | target.asset.hardware.model |
| uptime | about.labels.key/value(已废弃) additional.fields |
| last_loaded | about.labels.key/value(已废弃) additional.fields |
| last_unloaded | about.labels.key/value(已废弃) additional.fields |
keychain_acls
下表列出了架构 keychain_acls 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| keychain_path | about.labels.key/value(已废弃) additional.fields |
| 授权 | about.labels.key/value(已废弃) additional.fields |
| 路径 | target.file.full_path |
| 说明 | metadata.description |
| 标签 | about.labels.key/value(已废弃) additional.fields |
known_hosts
下表列出了已知主机和操作系统(Linux、macOS、freebsd)架构的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| uid | target.user.userid |
| 键 | about.labels.key/value(已废弃) additional.fields |
| key_file | target.file.full_path |
最后一
下表列出了架构 last 和 OS Linux、macOS、freebsd 的日志字段和对应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 用户名 | target.user.user_display_name |
| tty | about.labels.key/value(已废弃) additional.fields |
| pid | target.process.pid |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| type_name | about.labels.key/value(已废弃) additional.fields |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| 主机 | target.hostname |
listening_ports
下表列出了架构 listening_ports 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| pid | target.process.pid |
| 端口 | target.port |
| 协议 | network.ip_protocol |
| 系列 | about.labels.key/value(已废弃) additional.fields |
| 地址 | target.ip |
| fd | about.labels.key/value(已废弃) additional.fields |
| socket | about.labels.key/value(已废弃) additional.fields |
| 路径 | target.process.file.full_path |
| net_namespace | about.labels.key/value(已废弃) additional.fields |
logged_in_users
下表列出了架构 logged_in_users 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| 用户 | target.user.userid |
| tty | about.labels.key/value(已废弃) additional.fields |
| 主机 | target.hostname |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| pid | target.process.pid |
| sid | about.labels.key/value(已废弃) additional.fields |
| registry_hive | about.labels.key/value(已废弃) additional.fields |
logon_sessions
下表列出了架构 logon_sessions 和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| logon_id | about.labels.key/value(已废弃) additional.fields |
| 用户 | target.user.user_display_name |
| logon_domain | about.labels.key/value(已废弃) additional.fields |
| authentication_package | about.labels.key/value(已废弃) additional.fields |
| logon_type | about.labels.key/value(已废弃) additional.fields |
| session_id | network.session_id |
| logon_sid | about.labels.key/value(已废弃) additional.fields |
| logon_time | about.labels.key/value(已废弃) additional.fields |
| logon_server | about.labels.key/value(已废弃) additional.fields |
| dns_domain_name | network.dns_domain |
| upn | about.labels.key/value(已废弃) additional.fields |
| logon_script | about.labels.key/value(已废弃) additional.fields |
| profile_path | target.file.full_path |
| home_directory | about.labels.key/value(已废弃) additional.fields |
| home_directory_drive | about.labels.key/value(已废弃) additional.fields |
lxd_certificates
下表列出了架构 lxd_certificates 和操作系统 Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | security_result.detection_fields.key/value |
| 类型 | security_result.detection_fields.key/value |
| 指纹 | security_result.detection_fields.key/value |
| 证书 | security_result.detection_fields.key/value |
lxd_networks
下表列出了架构 lxd_networks 和操作系统 Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | about.labels.key/value(已废弃) additional.fields |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| 托管 | about.labels.key/value(已废弃) additional.fields |
| ipv4_address | about.labels.key/value(已废弃) additional.fields |
| ipv6_address | about.labels.key/value(已废弃) additional.fields |
| used_by | about.labels.key/value(已废弃) additional.fields |
| bytes_received | network.received_bytes |
| bytes_sent | network.sent_bytes |
| packets_received | about.labels.key/value(已废弃) additional.fields |
| packets_sent | about.labels.key/value(已废弃) additional.fields |
| hwaddr | about.labels.key/value(已废弃) additional.fields |
| state | about.labels.key/value(已废弃) additional.fields |
| mtu | about.labels.key/value(已废弃) additional.fields |
managed_policies
下表列出了架构 managed_policies 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 网域 | target.administrative_domain |
| uuid | about.labels.key/value(已废弃) additional.fields |
| name | about.labels.key/value(已废弃) additional.fields |
| 值 | about.labels.key/value(已废弃) additional.fields |
| 用户名 | target.user.user_display_name |
| 手动 | about.labels.key/value(已废弃) additional.fields |
memory_devices
下表列出了架构 memory_devices 和操作系统 Linux、macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 句柄 | about.labels.key/value(已废弃) additional.fields |
| array_handle | about.labels.key/value(已废弃) additional.fields |
| form_factor | about.labels.key/value(已废弃) additional.fields |
| total_width | about.labels.key/value(已废弃) additional.fields |
| data_width | about.labels.key/value(已废弃) additional.fields |
| 大小 | about.labels.key/value(已废弃) additional.fields |
| 设置 | about.labels.key/value(已废弃) additional.fields |
| device_locator | about.labels.key/value(已废弃) additional.fields |
| bank_locator | about.labels.key/value(已废弃) additional.fields |
| memory_type | about.labels.key/value(已废弃) additional.fields |
| memory_type_details | about.labels.key/value(已废弃) additional.fields |
| max_speed | about.labels.key/value(已废弃) additional.fields |
| configured_clock_speed | about.labels.key/value(已废弃) additional.fields |
| 制造商 | target.asset.hardware.manufacturer |
| serial_number | target.asset.hardware.serial_number |
| asset_tag | target.asset.asset_id |
| part_number | about.labels.key/value(已废弃) additional.fields |
| min_voltage | about.labels.key/value(已废弃) additional.fields |
| max_voltage | about.labels.key/value(已废弃) additional.fields |
| configured_voltage | about.labels.key/value(已废弃) additional.fields |
ntdomains
下表列出了架构 ntdomains 和 OS Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | about.labels.key/value(已废弃) additional.fields |
| client_site_name | about.labels.key/value(已废弃) additional.fields |
| dc_site_name | about.labels.key/value(已废弃) additional.fields |
| dns_forest_name | network.dns.questions.name |
| domain_controller_address | target.ip |
| domain_controller_name | about.labels.key/value(已废弃) additional.fields |
| domain_name | target.administrative_domain |
| 状态 | about.labels.key/value(已废弃) additional.fields |
ntfs_acl_permissions
下表列出了架构 ntfs_acl_permissions 和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 路径 | target.file.full_path |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| 主账号 | about.labels.key/value(已废弃) additional.fields |
| 访问权限 | about.labels.key/value(已废弃) additional.fields |
| inherited_from | about.labels.key/value(已废弃) additional.fields |
os_version
下表列出了架构 os_version 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | about.labels.key/value(已废弃) additional.fields |
| 版本 | principal.platform_version |
| 重大 | about.labels.key/value(已废弃) additional.fields |
| 未成年人 | about.labels.key/value(已废弃) additional.fields |
| patch | principal.platform_patch_level |
| build | about.labels.key/value(已废弃) additional.fields |
| 平台 | principal.platform |
| platform_like | about.labels.key/value(已废弃) additional.fields |
| 代号 | about.labels.key/value(已废弃) additional.fields |
| arch | about.labels.key/value(已废弃) additional.fields |
| install_date | about.labels.key/value(已废弃) additional.fields |
| pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
| mount_namespace_id | about.labels.key/value(已废弃) additional.fields |
osquery_events
下表列出了架构 osquery_events 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | target.resource.name |
| 发布方 | about.label.key/value |
| 类型 | about.label.key/value |
| 订阅 | about.label.key/value |
| 活动 | about.label.key/value |
| 刷新 | about.label.key/value |
| 有效 | about.label.key/value |
补丁
下表列出了架构补丁和 OS Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| csname | target.hostname |
| hotfix_id | about.labels.key/value(已废弃) additional.fields |
| caption | about.labels.key/value(已废弃) additional.fields |
| 说明 | metadata.description |
| fix_comments | about.labels.key/value(已废弃) additional.fields |
| installed_by | about.labels.key/value(已废弃) additional.fields |
| install_date | about.labels.key/value(已废弃) additional.fields |
| installed_on | about.labels.key/value(已废弃) additional.fields |
pci_devices
下表列出了架构 pci_devices 和操作系统 Linux、macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| pci_slot | principal.labels.key/value(已废弃) additional.fields |
| pci_class | principal.labels.key/value(已废弃) additional.fields |
| driver | principal.labels.key/value(已废弃) additional.fields |
| vendor | principal.labels.key/value(已废弃) additional.fields |
| vendor_id | principal.labels.key/value(已废弃) additional.fields |
| 模型 | principal.asset.hardware.model |
| model_id | principal.labels.key/value(已废弃) additional.fields |
| 子系统 | principal.labels.key/value(已废弃) additional.fields |
| 快速 | principal.labels.key/value(已废弃) additional.fields |
| 雷雳 | principal.labels.key/value(已废弃) additional.fields |
| 可移除 | principal.labels.key/value(已废弃) additional.fields |
| pci_class_id | principal.labels.key/value(已废弃) additional.fields |
| pci_subclass_id | principal.labels.key/value(已废弃) additional.fields |
| pci_subclass | principal.labels.key/value(已废弃) additional.fields |
| subsystem_vendor_id | principal.labels.key/value(已废弃) additional.fields |
| subsystem_vendor | principal.labels.key/value(已废弃) additional.fields |
| subsystem_model_id | principal.labels.key/value(已废弃) additional.fields |
| subsystem_model | principal.labels.key/value(已废弃) additional.fields |
pipes
下表列出了架构管道和 OS Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| pid | target.process.pid |
| name | target.resource.name |
| 实例 | about.labels.key/value(已废弃) additional.fields |
| max_instances | about.labels.key/value(已废弃) additional.fields |
| flags | about.labels.key/value(已废弃) additional.fields |
powershell_events
下表列出了架构 powershell_events 和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 时间 | metadata.collected_timestamp |
| datetime | about.labels.key/value(已废弃) additional.fields |
| script_block_id | about.labels.key/value(已废弃) additional.fields |
| script_block_count | about.labels.key/value(已废弃) additional.fields |
| script_text | about.labels.key/value(已废弃) additional.fields |
| script_name | about.labels.key/value(已废弃) additional.fields |
| script_path | target.file.full_path |
| cosine_similarity | about.labels.key/value(已废弃) additional.fields |
process_envs
下表列出了架构 process_envs 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| pid | target.process.pid |
| 键 | about.labels.key |
| 值 | about.labels.value |
process_events
下表列出了架构 process_events 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 版本 | target.platform_version |
| seq_num | about.labels.key/value(已废弃) additional.fields |
| global_seq_num | about.labels.key/value(已废弃) additional.fields |
| pid | target.process.pid |
| 路径 | target.file.full_path |
| 父级 | target.process.parent_process.pid |
| original_parent | about.labels.key/value(已废弃) additional.fields |
| cmdline | target.process.command_line |
| cmdline_count | about.labels.key/value(已废弃) additional.fields |
| env | about.labels.key/value(已废弃) additional.fields |
| env_count | about.labels.key/value(已废弃) additional.fields |
| cwd | about.labels.key/value(已废弃) additional.fields |
| uid | target.user.userid |
| euid | about.labels.key/value(已废弃) additional.fields |
| GID | target.group.product_object_id |
| egid | about.labels.key/value(已废弃) additional.fields |
| 用户名 | target.user.user_display_name |
| signing_id | about.labels.key/value(已废弃) additional.fields |
| team_id | about.labels.key/value(已废弃) additional.fields |
| cdhash | about.labels.key/value(已废弃) additional.fields |
| platform_binary | about.labels.key/value(已废弃) additional.fields |
| exit_code | about.labels.key/value(已废弃) additional.fields |
| child_pid | about.labels.key/value(已废弃) additional.fields |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| event_type | about.labels.key/value(已废弃) additional.fields |
| EID | about.labels.key/value(已废弃) additional.fields |
process_file_events
下表列出了架构 process_file_events 和操作系统 Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 操作 | about.labels.key/value(已废弃) additional.fields |
| pid | target.process.pid |
| ppid | target.process.parent_process.pid |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| 可执行 | about.labels.key/value(已废弃) additional.fields |
| 部分 | about.labels.key/value(已废弃) additional.fields |
| cwd | about.labels.key/value(已废弃) additional.fields |
| 路径 | target.file.full_path |
| dest_path | about.labels.key/value(已废弃) additional.fields |
| uid | target.user.userid |
| GID | target.group.product_object_id |
| auid | about.labels.key/value(已废弃) additional.fields |
| euid | about.labels.key/value(已废弃) additional.fields |
| egid | about.labels.key/value(已废弃) additional.fields |
| fsuid | about.labels.key/value(已废弃) additional.fields |
| fsgid | about.labels.key/value(已废弃) additional.fields |
| suid | about.labels.key/value(已废弃) additional.fields |
| sgid | about.labels.key/value(已废弃) additional.fields |
| uptime | about.labels.key/value(已废弃) additional.fields |
| EID | metadata.product_log_id |
process_open_sockets
下表列出了架构 process_open_sockets 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| pid | principal.process.pid |
| fd | about.labels.key/value(已废弃) additional.fields |
| socket | about.labels.key/value(已废弃) additional.fields |
| 系列 | about.labels.key/value(已废弃) additional.fields |
| 协议 | about.labels.key/value(已废弃) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| 路径 | target.file.full_path |
| state | about.labels.key/value(已废弃) additional.fields |
| net_namespace | about.labels.key/value(已废弃) additional.fields |
进程
下表列出了架构进程和操作系统(macOS、Linux、Windows、freebsd)的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| pid | target.process.pid |
| name | about.labels.key/value(已废弃) additional.fields |
| 路径 | target.process.file.full_path |
| cmdline | target.process.command_line |
| state | target.process.attribute.labels.key/value |
| cwd | about.labels.key/value(已废弃) additional.fields |
| root | about.labels.key/value(已废弃) additional.fields |
| uid | target.user.userid |
| GID | target.group.product_object_id |
| euid | about.labels.key/value(已废弃) additional.fields |
| egid | about.labels.key/value(已废弃) additional.fields |
| suid | about.labels.key/value(已废弃) additional.fields |
| sgid | about.labels.key/value(已废弃) additional.fields |
| on_disk | about.labels.key/value(已废弃) additional.fields |
| wired_size | about.labels.key/value(已废弃) additional.fields |
| resident_size | about.labels.key/value(已废弃) additional.fields |
| total_size | about.labels.key/value(已废弃) additional.fields |
| user_time | about.labels.key/value(已废弃) additional.fields |
| system_time | about.labels.key/value(已废弃) additional.fields |
| disk_bytes_read | about.labels.key/value(已废弃) additional.fields |
| disk_bytes_written | about.labels.key/value(已废弃) additional.fields |
| start_time | about.labels.key/value(已废弃) additional.fields |
| 父级 | target.process.parent_process.pid |
| pgroup | about.labels.key/value(已废弃) additional.fields |
| threads | about.labels.key/value(已废弃) additional.fields |
| nice | about.labels.key/value(已废弃) additional.fields |
| elevated_token | about.labels.key/value(已废弃) additional.fields |
| secure_process | about.labels.key/value(已废弃) additional.fields |
| protection_type | about.labels.key/value(已废弃) additional.fields |
| virtual_process | about.labels.key/value(已废弃) additional.fields |
| elapsed_time | about.labels.key/value(已废弃) additional.fields |
| handle_count | about.labels.key/value(已废弃) additional.fields |
| percent_processor_time | about.labels.key/value(已废弃) additional.fields |
| upid | about.labels.key/value(已废弃) additional.fields |
| uppid | about.labels.key/value(已废弃) additional.fields |
| cpu_type | about.labels.key/value(已废弃) additional.fields |
| cpu_subtype | about.labels.key/value(已废弃) additional.fields |
计划
下表列出了架构程序和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | target.resource.name |
| 版本 | target.platform_version |
| install_location | about.labels.key/value(已废弃) additional.fields |
| install_source | about.labels.key/value(已废弃) additional.fields |
| 语言 | about.labels.key/value(已废弃) additional.fields |
| 发布方 | about.labels.key/value(已废弃) additional.fields |
| uninstall_string | target.file.full_path |
| install_date | about.labels.key/value(已废弃) additional.fields |
| identifying_number | about.labels.key/value(已废弃) additional.fields |
scheduled_tasks
下表列出了架构 scheduled_tasks 和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | target.resource.name |
| 操作 | security_result.action_details |
| 路径 | target.file.full_path |
| 已启用 | about.labels.key/value(已废弃) additional.fields |
| state | about.labels.key/value(已废弃) additional.fields |
| 已隐藏 | about.labels.key/value(已废弃) additional.fields |
| last_run_time | about.labels.key/value(已废弃) additional.fields |
| next_run_time | about.labels.key/value(已废弃) additional.fields |
| last_run_message | about.labels.key/value(已废弃) additional.fields |
| last_run_code | about.labels.key/value(已废弃) additional.fields |
seccomp_events
下表列出了架构 seccomp_events 和操作系统 Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| uptime | about.labels.key/value(已废弃) additional.fields |
| auid | about.labels.key/value(已废弃) additional.fields |
| uid | target.user.userid |
| GID | target.group.product_object_id |
| ses | about.labels.key/value(已废弃) additional.fields |
| pid | target.process.pid |
| comm | about.labels.key/value(已废弃) additional.fields |
| exe | target.file.full_path |
| sig | about.labels.key/value(已废弃) additional.fields |
| arch | about.labels.key/value(已废弃) additional.fields |
| syscall | about.labels.key/value(已废弃) additional.fields |
| compat | about.labels.key/value(已废弃) additional.fields |
| ip | about.labels.key/value(已废弃) additional.fields |
| 代码 | about.labels.key/value(已废弃) additional.fields |
seLinux_events
下表列出了架构 seLinux_events 和 OS Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| 消息 | metadata.description |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| uptime | about.labels.key/value(已废弃) additional.fields |
| EID | metadata.product_log_id |
shadow
下表列出了架构影子和 OS Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| password_status | about.labels.key/value(已废弃) additional.fields |
| hash_alg | about.labels.key/value(已废弃) additional.fields |
| last_change | about.labels.key/value(已废弃) additional.fields |
| 分钟 | about.labels.key/value(已废弃) additional.fields |
| max | about.labels.key/value(已废弃) additional.fields |
| 警告 | about.labels.key/value(已废弃) additional.fields |
| 无效 | about.labels.key/value(已废弃) additional.fields |
| expire | about.labels.key/value(已废弃) additional.fields |
| 标志 | about.labels.key/value(已废弃) additional.fields |
| 用户名 | principal.user.user_display_name |
shell_history
下表列出了架构 shell_history 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| uid | principal.user.userid |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| 命令 | principal.process.command_line |
| history_file | principal.process.file.full_path |
shimcache
下表列出了架构 shimcache 和 OS Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 条目 | about.labels.key/value(已废弃) additional.fields |
| 路径 | target.file.full_path |
| modified_time | target.file.last_modification_time |
| execution_flag | about.labels.key/value(已废弃) additional.fields |
signature
下表列出了架构签名和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 路径 | target.file.full_path |
| hash_resources | about.labels.key/value(已废弃) additional.fields |
| arch | about.labels.key/value(已废弃) additional.fields |
| 已签署 | target.file.pe_file.signature_info.verified |
| 标识符 | target.file.pe_file.signature_info.signer |
| cdhash | about.labels.key/value(已废弃) additional.fields |
| team_identifier | about.labels.key/value(已废弃) additional.fields |
| authority | about.labels.key/value(已废弃) additional.fields |
sip_config
下表列出了架构 sip_config 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| config_flag | about.labels.key/value(已废弃) additional.fields |
| 已启用 | about.labels.key/value(已废弃) additional.fields |
| enabled_nvram | about.labels.key/value(已废弃) additional.fields |
socket_events
下表列出了架构 socket_events 和操作系统 Linux、macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 操作 | security_result.action_details |
| pid | target.process.pid |
| 路径 | target.process.file.full_path |
| fd | about.labels.key/value(已废弃) additional.fields |
| auid | target.user.userid |
| 状态 | about.labels.key/value(已废弃) additional.fields |
| 系列 | about.labels.key/value(已废弃) additional.fields |
| 协议 | about.labels.key/value(已废弃) additional.fields |
| local_address | principal.ip |
| remote_address | target.ip |
| local_port | principal.port |
| remote_port | target.port |
| socket | about.labels.key/value(已废弃) additional.fields |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| uptime | about.labels.key/value(已废弃) additional.fields |
| EID | metadata.product_log_id |
| 成功 | about.labels.key/value(已废弃) additional.fields |
sudoers
下表列出了架构 sudoers 和 OS Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 来源 | about.labels.key/value(已废弃) additional.fields |
| 标头 | about.labels.key/value(已废弃) additional.fields |
| rule_details | about.labels.key/value(已废弃) additional.fields |
syslog_events
下表列出了架构 syslog_events 和操作系统 Linux 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| datetime | about.labels.key/value(已废弃) additional.fields |
| 主机 | target.hostname |
| 和程度上减少 | security_result.severity(枚举) |
| facility | about.labels.key/value(已废弃) additional.fields |
| 标记 | about.labels.key/value(已废弃) additional.fields |
| 消息 | about.labels.key/value(已废弃) additional.fields |
| EID | metadata.product_log_id |
system_info
下表列出了架构 system_info 和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 主机名 | principal.administrative_domain |
| uuid | about.labels.key/value(已废弃) additional.fields |
| cpu_type | about.labels.key/value(已废弃) additional.fields |
| cpu_subtype | about.labels.key/value(已废弃) additional.fields |
| cpu_brand | about.labels.key/value(已废弃) additional.fields |
| cpu_physical_cores | about.labels.key/value(已废弃) additional.fields |
| cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
| cpu_microcode | about.labels.key/value(已废弃) additional.fields |
| physical_memory | about.labels.key/value(已废弃) additional.fields |
| hardware_vendor | about.labels.key/value(已废弃) additional.fields |
| hardware_model | principal.asset.hardware.model |
| hardware_version | about.labels.key/value(已废弃) additional.fields |
| hardware_serial | principal.asset.hardware.serial_number |
| board_vendor | about.labels.key/value(已废弃) additional.fields |
| board_model | about.labels.key/value(已废弃) additional.fields |
| board_version | about.labels.key/value(已废弃) additional.fields |
| board_serial | about.labels.key/value(已废弃) additional.fields |
| computer_name | about.labels.key/value(已废弃) additional.fields |
| local_hostname | about.labels.key/value(已废弃) additional.fields |
tpm_info
下表列出了架构 tpm_info 和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 已启用 | about.labels.key/value(已废弃) additional.fields |
| 已启用 | about.labels.key/value(已废弃) additional.fields |
| owned | about.labels.key/value(已废弃) additional.fields |
| manufacturer_version | about.labels.key/value(已废弃) additional.fields |
| manufacturer_id | about.labels.key/value(已废弃) additional.fields |
| manufacturer_name | principal.aseet.hardware.manufacturer |
| product_name | principal.resource.name |
| physical_presence_version | about.labels.key/value(已废弃) additional.fields |
| spec_version | about.labels.key/value(已废弃) additional.fields |
usb_devices
下表列出了架构 usb_devices 和操作系统 Linux、macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| usb_address | about.labels.key/value(已废弃) additional.fields |
| usb_port | about.labels.key/value(已废弃) additional.fields |
| vendor | about.labels.key/value(已废弃) additional.fields |
| vendor_id | about.labels.key/value(已废弃) additional.fields |
| 版本 | about.labels.key/value(已废弃) additional.fields |
| 模型 | target.asset.hardware.model |
| model_id | about.labels.key/value(已废弃) additional.fields |
| serial | target.asset.hardware.serial_number |
| class | about.labels.key/value(已废弃) additional.fields |
| 子类 | about.labels.key/value(已废弃) additional.fields |
| 协议 | about.labels.key/value(已废弃) additional.fields |
| 可移除 | about.labels.key/value(已废弃) additional.fields |
user_events
下表列出了架构 user_events 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| uid | principal.user.userid |
| auid | principal.user.attribute.labels.key/value |
| pid | target.process.pid |
| 消息 | metadata.description |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| 路径 | target.file.full_path |
| 地址 | about.labels.key/value(已废弃) additional.fields |
| 终端 | about.labels.key/value(已废弃) additional.fields |
| 时间 | metadata.collected_timestamp |
| uptime | about.labels.key/value(已废弃) additional.fields |
| EID | metadata.product_log_id |
user_groups
下表列出了架构 user_groups 和操作系统 Linux、macOS、Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| uid | principal.user.userid |
| GID | principal.group.product_object_id |
用户
下表列出了架构用户和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| uid | principal.user.userid |
| GID | principal.user.group_identifiers(repeated) |
| uid_signed | about.labels.key/value(已废弃) additional.fields |
| gid_signed | about.labels.key/value(已废弃) additional.fields |
| 用户名 | principal.user.user_display_name |
| 说明 | about.labels.key/value(已废弃) additional.fields |
| 目录 | about.labels.key/value(已废弃) additional.fields |
| shell | about.labels.key/value(已废弃) additional.fields |
| uuid | principal.user.product_object_id |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| is_hidden | about.labels.key/value(已废弃) additional.fields |
| pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
wifi_networks
下表列出了架构 wifi_networks 和操作系统 macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| ssid | target.labels.key/value(已弃用) additional.fields |
| network_name | target.labels.key/value(已弃用) additional.fields |
| security_type | target.labels.key/value(已弃用) additional.fields |
| last_connected | about.labels.key/value(已废弃) additional.fields |
| passpoint | about.labels.key/value(已废弃) additional.fields |
| possibly_hidden | about.labels.key/value(已废弃) additional.fields |
| 漫游 | about.labels.key/value(已废弃) additional.fields |
| roaming_profile | about.labels.key/value(已废弃) additional.fields |
| captive_portal | about.labels.key/value(已废弃) additional.fields |
| auto_login | target.labels.key/value(已弃用) additional.fields |
| temporarily_disabled | target.labels.key/value(已弃用) additional.fields |
| 已停用 | target.labels.key/value(已弃用) additional.fields |
windows_crashes
下表列出了架构 Windows_crashes 和 OS Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| datetime | about.labels.key/value(已废弃) additional.fields |
| module | about.labels.key/value(已废弃) additional.fields |
| 路径 | target.process.file.full_path |
| pid | target.process.pid |
| tid | about.labels.key/value(已废弃) additional.fields |
| 版本 | about.labels.key/value(已废弃) additional.fields |
| process_uptime | about.labels.key/value(已废弃) additional.fields |
| stack_trace | about.labels.key/value(已废弃) additional.fields |
| exception_code | about.labels.key/value(已废弃) additional.fields |
| exception_message | about.labels.key/value(已废弃) additional.fields |
| exception_address | about.labels.key/value(已废弃) additional.fields |
| 注册 | about.labels.key/value(已废弃) additional.fields |
| command_line | target.process.command_line |
| current_directory | about.labels.key/value(已废弃) additional.fields |
| 用户名 | target.user.user_display_name |
| machine_name | about.labels.key/value(已废弃) additional.fields |
| major_version | about.labels.key/value(已废弃) additional.fields |
| minor_version | about.labels.key/value(已废弃) additional.fields |
| build_number | target.platform_version |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| crash_path | about.labels.key/value(已废弃) additional.fields |
windows_eventlog
Windows 事件 (WINEVTLOG) 解析器会映射这些事件。如需了解详情,请参阅收集 Microsoft Windows 事件数据。”
windows_events
Windows 事件 (WINEVTLOG) 解析器会映射这些事件。如需了解详情,请参阅收集 Microsoft Windows 事件数据。
windows_firewall_rules
下表列出了架构 Windows_firewall_rules 和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | about.labels.key/value(已废弃) additional.fields |
| app_name | target.application |
| 操作 | security_result.action(枚举) |
| 已启用 | about.labels.key/value(已废弃) additional.fields |
| 分组 | about.labels.key/value(已废弃) additional.fields |
| 方向 | network.direction |
| 协议 | network.ip_protocol |
| local_addresses | principal.ip |
| remote_addresses | target.ip |
| local_ports | principal.port |
| remote_ports | target.port |
| icmp_types_codes | about.labels.key/value(已废弃) additional.fields |
| profile_domain | about.labels.key/value(已废弃) additional.fields |
| profile_private | about.labels.key/value(已废弃) additional.fields |
| profile_public | about.labels.key/value(已废弃) additional.fields |
| service_name | about.labels.key/value(已废弃) additional.fields |
windows_security_center
下表列出了架构 Windows_security_center 和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 防火墙 | security_result.detection_fields.key/value |
| 自动更新 | security_result.detection_fields.key/value |
| 杀毒软件 | security_result.detection_fields.key/value |
| 反间谍软件 | security_result.detection_fields.key/value |
| internet_settings | security_result.detection_fields.key/value |
| Windows_security_center_service | security_result.detection_fields.key/value |
| user_account_control | security_result.detection_fields.key/value |
windows_security_products
下表列出了架构 Windows_security_products 和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 类型 | about.labels.key/value(已废弃) additional.fields |
| name | target.resource.name |
| state | about.labels.key/value(已废弃) additional.fields |
| state_timestamp | about.labels.key/value(已废弃) additional.fields |
| remediation_path | about.labels.key/value(已废弃) additional.fields |
| signatures_up_to_date | about.labels.key/value(已废弃) additional.fields |
wmi_bios_info
下表列出了架构 wmi_bios_info 和操作系统 Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| name | about.labels.key/value(已废弃) additional.fields |
| 值 | about.labels.key/value(已废弃) additional.fields |
yara
下表列出了架构 yara 和操作系统 Linux、macOS、freebsd、Windows 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| 路径 | target.file.full_path |
| 匹配 | about.labels.key/value(已废弃) additional.fields |
| 计数 | about.labels.key/value(已废弃) additional.fields |
| sig_group | security_result.detection_fields.key/value |
| sigfile | security_result.detection_fields.key/value |
| sigrule | security_result.detection_fields.key/value |
| 字符串 | about.labels.key/value(已废弃) additional.fields |
| 标记 | about.labels.key/value(已废弃) additional.fields |
| sigurl | security_result.detection_fields.key/value |
yara_events
下表列出了架构 yara_events 和操作系统 Linux、macOS 的日志字段和相应的 UDM 映射:
| 日志字段 | UDM 映射 |
|---|---|
| metadata.event_type 映射到 SETTING_MODIFICATION | |
| target_path | target.file.full_path |
| 类别 | about.labels.key/value(已废弃) additional.fields |
| 操作 | security_result.action_details |
| transaction_id | security_result.detection_fields.key/value |
| 匹配 | about.labels.key/value(已废弃) additional.fields |
| 计数 | about.labels.key/value(已废弃) additional.fields |
| 字符串 | about.labels.key/value(已废弃) additional.fields |
| 标记 | about.labels.key/value(已废弃) additional.fields |
| 时间 | about.labels.key/value(已废弃) additional.fields |
| EID | metadata.product_log_id |