收集 osquery 日志
本文档介绍了如何通过配置 osquery 和 Google 安全运维转发器来收集 osquery 日志。本文档还列出了支持的日志类型和支持的 osquery 版本。
如需了解详情,请参阅将数据提取到 Google 安全运营中心。
概览
下图展示了如何配置 osquery 代理和 Fleet 服务器以将日志发送到 Google 安全运营团队。每个客户部署都可能与此表示法不同,并且可能更复杂。
架构图显示了以下组件:
Linux 系统:要监控的 Linux 系统(其中安装了 osquery 代理)
Microsoft Windows 系统:要监控的 Microsoft Windows 系统(其中安装了 osquery 代理)
Mac 系统:要监控的 Mac 系统(已安装 osquery 代理)
osquery 代理:从 Microsoft Windows、Linux 或 Mac 系统收集信息,并将信息转发到车队服务器
车队服务器:监控 osquery 代理并接收其信息,分析日志,并将日志转发到 Google 安全运营转发器
Google Security Operations 转发器:一种部署在客户网络中的轻量级软件组件,用于将日志转发到 Google Security Operations
Google Security Operations:保留和分析来自车队服务器的日志
注入标签标识将原始日志数据标准化为结构化 UDM 格式的解析器。本文档中的信息适用于具有 OSQUERY_EDR
注入标签的解析器。
准备工作
安装 Fleet 服务器。如需安装 Fleet 服务器,请执行以下操作:
使用 Google 安全运维中心解析器支持的 osquery 版本,即 5.2.3 和 5.3.0。
确保部署架构中的所有系统都使用世界协调时间 (UTC) 时区进行配置。
确保 Fleet 中的表名称符合官方 Fleet 文档中的规定。
配置 osquery 代理、服务器和 Google 安全运营转发器
如需配置 Fleet 服务器和 Google 安全运营转发器,请执行以下操作:
如需配置 Fleet 服务器,请执行以下操作:
将主机添加到 Fleet 服务器并安装 osquery 代理。 您可以使用 osquery 安装程序将主机添加到 Fleet 服务器。Fleet 服务器可帮助使用 fleetctl 软件包命令生成 osquery 安装程序。
- 通过安装 fleetctl 命令行工具来执行 fleetctl 软件包命令。
- 使用 fleetctl 软件包命令安装 osquery 代理。
在主机上安装生成的 osquery 安装程序后,主机会自动注册到指定的 Fleet 实例。
在中央 Linux 设备上配置 Google Security Operations 转发器,以将日志推送到 Google Security Operations 系统。如需了解详情,请参阅在 Linux 上安装和配置转发器。以下是 Google SecOps 转发器配置示例:
- file: common: enabled: true data_type: OSQUERY_EDR batch_n_seconds: 10 batch_n_bytes: 1048576 skip_seek_to_end: true file_path: <log_file_path>
字段映射参考文档
本部分介绍了 Google 安全运营解析器如何将 osquery 日志字段映射到架构和操作系统的 Google 安全运营统一数据模型 (UDM) 字段。如需了解详情,请参阅 5.2.3 版和 5.3.0 版的 osquery 架构。
account_policy_data
下表列出了架构 account_policy_data 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
uid | principal.user.userid |
creation_time | principal.user.attribute.creation_time |
failed_login_count | principal.user.attribute.labels.key/value |
failed_login_timestamp | principal.user.attribute.labels.key/value |
password_last_set_time | principal.user.attribute.labels.key/value |
ad_config
下表列出了架构 ad_config 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | about.labels.key/value(已废弃) additional.fields |
网域 | target.administrative_domain |
option | about.labels.key(已废弃) additional.fields.key |
值 | about.labels.value(已废弃) additional.fields.value.string_value |
alf
下表列出了架构 alf 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
allow_signed_enabled | about.labels.key/value(已废弃) additional.fields |
firewall_unload | about.labels.key/value(已废弃) additional.fields |
global_state | about.labels.key/value(已废弃) additional.fields |
logging_enabled | about.labels.key/value(已废弃) additional.fields |
logging_option | about.labels.key/value(已废弃) additional.fields |
stealth_enabled | about.labels.key/value(已废弃) additional.fields |
version | target.platform_version |
alf_exceptions
下表列出了架构 alf_exceptions 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
路径 | target.file.full_path |
state | about.labels.key/value(已废弃) additional.fields |
alf_explicit_auths
下表列出了架构 alf_explicit_auths 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
原始事件 | target.process.pid |
app_schemes
下表列出了架构 app_schemes 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
scheme | about.labels.key/value(已废弃) additional.fields |
handler | about.labels.key/value(已废弃) additional.fields |
已启用 | about.labels.key/value(已废弃) additional.fields |
外部 | about.labels.key/value(已废弃) additional.fields |
受保护 | about.labels.key/value(已废弃) additional.fields |
apparmor_events
下表列出了架构 apparmor_events 和操作系统 Linux 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
类型 | about.labels.key/value(已废弃) additional.fields |
消息 | metadata.description |
时间 | about.labels.key/value(已废弃) additional.fields |
uptime | about.labels.key/value(已废弃) additional.fields |
EID | security_result.rule_id |
apparmor | security_result.action |
操作 | about.labels.key/value(已废弃) additional.fields |
父级 | target.process.parent_process.pid |
资料 | about.labels.key/value(已废弃) additional.fields |
name | about.labels.key/value(已废弃) additional.fields |
pid | target.process.pid |
comm | target.process.command_line |
denied_mask | about.labels.key/value(已废弃) additional.fields |
capname | about.labels.key/value(已废弃) additional.fields |
fsuid | target.user.attribute.labels.key/value |
ouid | target.user.attribute.labels.key/value |
capability | about.labels.key/value(已废弃) additional.fields |
requested_mask | target.process.access_mask |
信息 | about.labels.key/value(已废弃) additional.fields |
错误 | security_result.summary |
命名空间 | about.labels.key/value(已废弃) additional.fields |
标签 | about.labels.key/value(已废弃) additional.fields |
apparmor_profiles
下表列出了架构 apparmor_profiles 和操作系统 Linux 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
路径 | target.file.full_path |
name | target.resource.name |
挂接 | about.labels.key/value(已废弃) additional.fields |
模式 | about.labels.key/value(已废弃) additional.fields |
sha1 | target.file.sha1 |
应用
下表列出了架构应用和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | target.application |
路径 | target.file.full_path |
bundle_executable | about.labels.key/value(已废弃) additional.fields |
bundle_identifier | target.resource.product_object_id |
bundle_name | target.resource.name |
bundle_short_version | target.resource.attribute.labels.key/value |
bundle_version | target.resource.attribute.labels.key/value |
bundle_package_type | about.labels.key/value(已废弃) additional.fields |
环境 | about.labels.key/value(已废弃) additional.fields |
元素 | about.labels.key/value(已废弃) additional.fields |
编译器 | about.labels.key/value(已废弃) additional.fields |
development_region | about.location.country_or_region |
display_name | about.labels.key/value(已废弃) additional.fields |
info_string | about.labels.key/value(已废弃) additional.fields |
minimum_system_version | about.labels.key/value(已废弃) additional.fields |
类别 | about.labels.key/value(已废弃) additional.fields |
applescript_enabled | about.labels.key/value(已废弃) additional.fields |
版权 | about.labels.key/value(已废弃) additional.fields |
last_opened_time | target.file.last_seen_time |
asl
下表列出了架构 asl 和操作系统 macOS 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
时间 | about.labels.key/value(已废弃) additional.fields |
time_nano_sec | about.labels.key/value(已废弃) additional.fields |
主机 | target.hostname |
sender | about.labels.key/value(已废弃) additional.fields |
设施 | about.labels.key/value(已废弃) additional.fields |
pid | target.process.pid |
GID | target.user.group_identifiers |
uid | target.user.userid |
level | about.labels.key/value(已废弃) additional.fields |
消息 | metadata.description |
ref_pid | about.labels.key/value(已废弃) additional.fields |
ref_proc | about.labels.key/value(已废弃) additional.fields |
extra | about.labels.key/value(已废弃) additional.fields |
authenticode
下表列出了架构 authenticode 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
路径 | target.file.full_path |
original_program_name | about.labels.key/value(已废弃) additional.fields |
serial_number | network.tls.client.certificate.serial |
issuer_name | network.tls.client.certificate.issuer |
subject_name | network.tls.client.certificate.subject |
结果 | security_result.summary |
authorization_mechanisms
下表列出了架构 authorization_mechanisms 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
标签 | about.labels.key/value(已废弃) additional.fields |
plugin | about.labels.key/value(已废弃) additional.fields |
机制 | about.labels.key/value(已废弃) additional.fields |
特权 | 具有特权的 | about.labels.key/value(已废弃) additional.fields |
入口 | about.labels.key/value(已废弃) additional.fields |
授权
下表列出了架构授权和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
标签 | about.labels.key/value(已废弃) additional.fields |
修改 | about.labels.key/value(已废弃) additional.fields |
allow_root | about.labels.key/value(已废弃) additional.fields |
timeout | about.labels.key/value(已废弃) additional.fields |
version | about.labels.key/value(已废弃) additional.fields |
tries | about.labels.key/value(已废弃) additional.fields |
authenticate_user | about.labels.key/value(已废弃) additional.fields |
共享 | about.labels.key/value(已废弃) additional.fields |
评论 | about.labels.key/value(已废弃) additional.fields |
已创建 | about.labels.key/value(已废弃) additional.fields |
class | about.labels.key/value(已废弃) additional.fields |
session_owner | about.labels.key/value(已废弃) additional.fields |
autoexec
下表列出了架构 autoexec 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
路径 | target.file.full_path |
name | target.application |
来源 | target.resource.name |
bitlocker_info
下表列出了架构 bitlocker_info 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
device_id | target.resource.product_object_id |
drive_letter | target.resource.name |
persistent_volume_id | about.labels.key/value(已废弃) additional.fields |
conversion_status | target.resource.attirbute.labels.key/value |
protection_status | target.resource.attirbute.labels.key/value |
encryption_method | target.resource.attirbute.labels.key/value |
version | metadata.product_version |
percentage_encrypted | target.resource.attirbute.labels.key/value |
lock_status | target.resource.attirbute.labels.key/value |
bpf_process_events
下表列出了架构 bpf_process_events 和操作系统 Linux 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
tid | about.labels.key/value(已废弃) additional.fields |
pid | target.process.pid |
父级 | target.process.parent_process.pid |
uid | principal.user.userid |
GID | principal.group.product_object_id |
cid | about.labels.key/value(已废弃) additional.fields |
exit_code | about.labels.key/value(已废弃) additional.fields |
probe_error | about.labels.key/value(已废弃) additional.fields |
syscall | about.labels.key/value(已废弃) additional.fields |
路径 | target.process.file.full_path |
cwd | about.labels.key/value(已废弃) additional.fields |
cmdline | target.process.command_line |
时长 | about.labels.key/value(已废弃) additional.fields |
json_cmdline | about.labels.key/value(已废弃) additional.fields |
ntime | about.labels.key/value(已废弃) additional.fields |
时间 | about.labels.key/value(已废弃) additional.fields |
EID | metadata.product_log_id |
bpf_socket_events
下表列出了架构 bpf_socket_events 和操作系统 Linux 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
tid | about.labels.key/value(已废弃) additional.fields |
pid | principal.process.pid |
父级 | principal.process.parent_process.pid |
uid | principal.user.userid |
GID | principal.group.product_object_id |
cid | about.labels.key/value(已废弃) additional.fields |
exit_code | about.labels.key/value(已废弃) additional.fields |
probe_error | about.labels.key/value(已废弃) additional.fields |
syscall | about.labels.key/value(已废弃) additional.fields |
路径 | target.file.full_path |
fd | about.labels.key/value(已废弃) additional.fields |
系列 | about.labels.key/value(已废弃) additional.fields |
类型 | about.labels.key/value(已废弃) additional.fields |
协议 | about.labels.key/value(已废弃) additional.fields |
local_address | principal.ip |
remote_address | target.ip |
local_port | principal.port |
remote_port | target.port |
时长 | about.labels.key/value(已废弃) additional.fields |
ntime | about.labels.key/value(已废弃) additional.fields |
时间 | about.labels.key/value(已废弃) additional.fields |
EID | metadata.product_log_id |
certificates
下表列出了架构证书和操作系统 macOS、Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
common_name | about.labels.key/value(已废弃) additional.fields |
subject | network.tls.client.certificate.subject |
issuer | network.tls.client.certificate.issuer |
ca | about.labels.key/value(已废弃) additional.fields |
self_signed | about.labels.key/value(已废弃) additional.fields |
not_valid_before | network.tls.client.certificate.not_before |
not_valid_after | network.tls.client.certificate.not_after |
signing_algorithm | about.labels.key/value(已废弃) additional.fields |
key_algorithm | about.labels.key/value(已废弃) additional.fields |
key_strength | about.labels.key/value(已废弃) additional.fields |
key_usage | about.labels.key/value(已废弃) additional.fields |
subject_key_id | about.labels.key/value(已废弃) additional.fields |
authority_key_id | about.labels.key/value(已废弃) additional.fields |
sha1 | network.tls.client.certificate.sha1 |
路径 | about.labels.key/value(已废弃) additional.fields |
serial | network.tls.client.certificate.serial |
sid | about.labels.key/value(已废弃) additional.fields |
store_location | about.labels.key/value(已废弃) additional.fields |
存储区 | about.labels.key/value(已废弃) additional.fields |
用户名 | principal.user.user_display_name |
store_id | about.labels.key/value(已废弃) additional.fields |
chassis_info
下表列出了架构 chassis_info 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
audible_alarm | about.labels.key/value(已废弃) additional.fields |
breach_description | security_result.description |
chassis_types | about.labels.key/value(已废弃) additional.fields |
说明 | metadata.description |
锁定 | about.labels.key/value(已废弃) additional.fields |
制造商 | principal.asset.hardware.manufacturer |
模型 | principal.asset.hardware.model |
security_breach | security_result.detection_fields.key/value |
serial | principal.asset.hardware.serial_number |
smbios_tag | about.labels.key/value(已废弃) additional.fields |
SKU | about.labels.key/value(已废弃) additional.fields |
状态 | about.labels.key/value(已废弃) additional.fields |
visible_alarm | about.labels.key/value(已废弃) additional.fields |
chrome_extensions
下表列出了架构 chrome_extensions 以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
browser_type | target.resource.attribute.labels.key/value |
uid | principal.user.userid |
name | target.resource.name |
资料 | target.resource.attribute.labels.key/value |
profile_path | target.resource.attribute.labels.key/value |
referenced_identifier | target.resource.attribute.labels.key/value |
identifier | target.resource.attribute.labels.key/value |
version | target.resource.attribute.labels.key/value |
说明 | target.resource.attribute.labels.key/value |
default_locale | target.resource.attribute.labels.key/value |
current_locale | target.resource.attribute.labels.key/value |
update_url | network.http.referral_url |
作者 | target.resource.attribute.labels.key/value |
持久性 | target.resource.attribute.labels.key/value |
路径 | target.file.full_path |
权限 | target.resource.attribute.labels.key/value |
permissions_json | target.resource.attribute.labels.key/value |
optional_permissions | target.resource.attribute.labels.key/value |
optional_permissions_json | target.resource.attribute.labels.key/value |
manifest_hash | target.resource.attribute.labels.key/value |
引用的 | target.resource.attribute.labels.key/value |
from_webstore | target.resource.attribute.labels.key/value |
state | target.resource.attribute.labels.key/value |
install_time | target.resource.attribute.labels.key/value |
install_timestamp | target.resource.attribute.labels.key/value |
manifest_json | target.resource.attribute.labels.key/value |
键 | target.resource.attribute.labels.key/value |
连接性
下表列出了架构连接性和操作系统 Windows 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
已断开连接 | about.labels.key/value(已废弃) additional.fields |
ipv4_no_traffic | about.labels.key/value(已废弃) additional.fields |
ipv6_no_traffic | about.labels.key/value(已废弃) additional.fields |
ipv4_subnet | about.labels.key/value(已废弃) additional.fields |
ipv4_local_network | about.labels.key/value(已废弃) additional.fields |
ipv4_internet | about.labels.key/value(已废弃) additional.fields |
ipv6_subnet | about.labels.key/value(已废弃) additional.fields |
ipv6_local_network | about.labels.key/value(已废弃) additional.fields |
ipv6_internet | about.labels.key/value(已废弃) additional.fields |
cpu_info
下表列出了架构 cpu_info 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
device_id | principal.asset.product_object_id |
模型 | principal.asset.hardware.model |
制造商 | principal.asset.hardware.manufacturer |
processor_type | about.labels.key/value(已废弃) additional.fields |
库存状况 | about.labels.key/value(已废弃) additional.fields |
cpu_status | about.labels.key/value(已废弃) additional.fields |
number_of_cores | principal.asset.hardware.cpu_number_cores |
logical_processors | about.labels.key/value(已废弃) additional.fields |
address_width | about.labels.key/value(已废弃) additional.fields |
current_clock_speed | principal.asset.hardware.cpu_clock_speed |
max_clock_speed | principal.asset.hardware.cpu_max_clock_speed |
socket_designation | about.labels.key/value(已废弃) additional.fields |
崩溃
下表列出了架构崩溃和操作系统 macOS 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
类型 | about.labels.key/value(已废弃) additional.fields |
pid | target.process.pid |
路径 | target.process.file.full_path |
crash_path | target.file.full_path |
identifier | about.labels.key/value(已废弃) additional.fields |
version | about.labels.key/value(已废弃) additional.fields |
父级 | target.process.parent_process.pid |
负责 | about.labels.key/value(已废弃) additional.fields |
uid | target.user.userid |
日期时间 | metadata.event_timestamp |
crashed_thread | about.labels.key/value(已废弃) additional.fields |
stack_trace | about.labels.key/value(已废弃) additional.fields |
exception_type | about.labels.key/value(已废弃) additional.fields |
exception_codes | about.labels.key/value(已废弃) additional.fields |
exception_notes | about.labels.key/value(已废弃) additional.fields |
寄存器 | about.labels.key/value(已废弃) additional.fields |
crontab
下表列出了架构 crontab 和操作系统 Linux、macOS、freebsd 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
事件 | about.labels.key/value(已废弃) additional.fields |
分钟 | about.labels.key/value(已废弃) additional.fields |
小时 | about.labels.key/value(已废弃) additional.fields |
day_of_month | about.labels.key/value(已废弃) additional.fields |
月 | about.labels.key/value(已废弃) additional.fields |
day_of_week | about.labels.key/value(已废弃) additional.fields |
命令 | principal.process.command_line |
路径 | principal.process.file.full_path |
pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
curl
下表列出了架构 curl 以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
网址 | network.http.referral_url |
method | network.http.method |
user_agent | network.http.user_agent |
response_code | network.http.response_code |
round_trip_time | network.session_duration |
字节 | network.received_bytes |
结果 | about.labels.key/value(已废弃) additional.fields |
curl_certificate
下表列出了架构 curl_certificate 以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
主机名 | principal.hostname |
common_name | about.labels.key/value(已废弃) additional.fields |
组织 | network.organization_name |
organization_unit | about.labels.key/value(已废弃) additional.fields |
serial_number | network.tls.server.certificate.serial |
issuer_common_name | about.labels.key/value(已废弃) additional.fields |
issuer_organization | network.tls.server.certificate.issuer |
issuer_organization_unit | about.labels.key/value(已废弃) additional.fields |
valid_from | network.tls.server.certificate.not_before |
valid_to | network.tls.server.certificate.not_after |
sha256_fingerprint | network.tls.server.certificate.sha256 |
sha1_fingerprint | network.tls.server.certificate.sha1 |
version | network.tls.server.certificate.version |
signature_algorithm | about.labels.key/value(已废弃) additional.fields |
signature | about.labels.key/value(已废弃) additional.fields |
subject_key_identifier | about.labels.key/value(已废弃) additional.fields |
authority_key_identifier | about.labels.key/value(已废弃) additional.fields |
key_usage | about.labels.key/value(已废弃) additional.fields |
extended_key_usage | about.labels.key/value(已废弃) additional.fields |
政策 | about.labels.key/value(已废弃) additional.fields |
subject_alternative_names | about.labels.key/value(已废弃) additional.fields |
issuer_alternative_names | about.labels.key/value(已废弃) additional.fields |
info_access | about.labels.key/value(已废弃) additional.fields |
subject_info_access | about.labels.key/value(已废弃) additional.fields |
policy_mappings | about.labels.key/value(已废弃) additional.fields |
has_expired | about.labels.key/value(已废弃) additional.fields |
basic_constraint | about.labels.key/value(已废弃) additional.fields |
name_constraints | about.labels.key/value(已废弃) additional.fields |
policy_constraints | about.labels.key/value(已废弃) additional.fields |
dump_certificate | about.labels.key/value(已废弃) additional.fields |
timeout | about.labels.key/value(已废弃) additional.fields |
pem | about.labels.key/value(已废弃) additional.fields |
device_file
下表列出了架构 device_file 和操作系统 Linux、macOS、freebsd、Windows 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
device | about.labels.key/value(已废弃) additional.fields |
partition | about.labels.key/value(已废弃) additional.fields |
路径 | target.file.full_path |
filename | target.file.names |
inode | about.labels.key/value(已废弃) additional.fields |
uid | target.user.userid |
GID | target.group.product_object_id |
模式 | about.labels.key/value(已废弃) additional.fields |
大小 | target.file.size |
block_size | about.labels.key/value(已废弃) additional.fields |
atime | about.labels.key/value(已废弃) additional.fields |
mtime | target.file.last_modification_time |
ctime | about.labels.key/value(已废弃) additional.fields |
hard_links | about.labels.key/value(已废弃) additional.fields |
类型 | about.labels.key/value(已废弃) additional.fields |
device_hash
下表列出了架构 device_hash 和操作系统 Linux、macOS、freebsd、Windows 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
device | target.file.full_path |
partition | about.labels.key/value(已废弃) additional.fields |
inode | about.labels.key/value(已废弃) additional.fields |
md5 | target.file.md5 |
sha1 | target.file.sha1 |
sha256 | target.file.sha56 |
disk_info
下表列出了架构 disk_info 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
分区 | principal.asset.attribute.labels.key/value |
disk_index | principal.asset.attribute.labels.key/value |
类型 | principal.asset.attribute.labels.key/value |
id | principal.asset.product_object_id |
pnp_device_id | about.labels.key/value(已废弃) additional.fields |
disk_size | principal.asset.attribute.labels.key/value |
制造商 | principal.asset.hardware.manufacturer |
hardware_model | principal.asset.hardware.model |
name | principal.asset.attribute.labels.key/value |
serial | principal.asset.hardware.serial_number |
说明 | principal.asset.attribute.labels.key/value |
dns_cache
下表列出了架构 dns_cache 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | network.dns.additional.name |
类型 | about.labels.key/value(已废弃) additional.fields |
flags | about.labels.key/value(已废弃) additional.fields |
dns_resolvers
下表列出了架构 dns_resolvers 和操作系统 Linux、macOS、freebsd 的日志字段以及对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
id | about.labels.key/value(已废弃) additional.fields |
类型 | about.labels.key/value(已废弃) additional.fields |
地址 | principal.ip |
网络掩码 | about.labels.key/value(已废弃) additional.fields |
选项 | about.labels.key/value(已废弃) additional.fields |
pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
docker_container_networks
下表列出了架构 docker_container_networks 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
id | target.asset.product_object_id |
name | network.carrier_name |
network_id | about.labels.key/value(已废弃) additional.fields |
endpoint_id | about.labels.key/value(已废弃) additional.fields |
网关 | about.labels.key/value(已废弃) additional.fields |
ip_address | target.ip |
ip_prefix_len | about.labels.key/value(已废弃) additional.fields |
ipv6_gateway | about.labels.key/value(已废弃) additional.fields |
ipv6_address | target.ip |
ipv6_prefix_len | about.labels.key/value(已废弃) additional.fields |
mac_address | target.mac |
docker_container_ports
下表列出了架构 docker_container_ports 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
id | target.asset.product_object_id |
类型 | network.ip_protocol |
端口 | target.port |
host_ip | principal.ip |
host_port | principal.port |
docker_container_processes
下表列出了架构 docker_container_processes 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
id | target.asset.product_object_id |
pid | target.process.pid |
name | target.process.file.full_path |
cmdline | target.process.command_line |
state | about.labels.key/value(已废弃) additional.fields |
uid | target.user.userid |
GID | target.group.product_object_id |
EUID | target.user.attribute.labels.key/value |
egid | target.group.attribute.labels.key/value |
suid | target.user.attribute.labels.key/value |
sgid | target.group.attribute.labels.key/value |
wired_size | about.labels.key/value(已废弃) additional.fields |
resident_size | about.labels.key/value(已废弃) additional.fields |
total_size | about.labels.key/value(已废弃) additional.fields |
start_time | about.labels.key/value(已废弃) additional.fields |
父级 | target.process.parent_process.pid |
pgroup | about.labels.key/value(已废弃) additional.fields |
threads | about.labels.key/value(已废弃) additional.fields |
nice | about.labels.key/value(已废弃) additional.fields |
用户 | target.user.user_display_name |
时间 | about.labels.key/value(已废弃) additional.fields |
CPU | about.labels.key/value(已废弃) additional.fields |
内存 | about.labels.key/value(已废弃) additional.fields |
docker_container_stats
下表列出了架构 docker_container_stats 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
id | target.resource.product_object_id |
name | target.resource.name |
pid | about.labels.key/value(已废弃) additional.fields |
read | about.labels.key/value(已废弃) additional.fields |
预读 | about.labels.key/value(已废弃) additional.fields |
interval | about.labels.key/value(已废弃) additional.fields |
disk_read | about.labels.key/value(已废弃) additional.fields |
disk_write | about.labels.key/value(已废弃) additional.fields |
num_procs | about.labels.key/value(已废弃) additional.fields |
cpu_total_usage | about.labels.key/value(已废弃) additional.fields |
cpu_kernelmode_usage | about.labels.key/value(已废弃) additional.fields |
cpu_usermode_usage | about.labels.key/value(已废弃) additional.fields |
system_cpu_usage | about.labels.key/value(已废弃) additional.fields |
online_cpus | about.labels.key/value(已废弃) additional.fields |
pre_cpu_total_usage | about.labels.key/value(已废弃) additional.fields |
pre_cpu_kernelmode_usage | about.labels.key/value(已废弃) additional.fields |
pre_cpu_usermode_usage | about.labels.key/value(已废弃) additional.fields |
pre_system_cpu_usage | about.labels.key/value(已废弃) additional.fields |
pre_online_cpus | about.labels.key/value(已废弃) additional.fields |
memory_usage | about.labels.key/value(已废弃) additional.fields |
memory_max_usage | about.labels.key/value(已废弃) additional.fields |
memory_limit | about.labels.key/value(已废弃) additional.fields |
network_rx_bytes | about.labels.key/value(已废弃) additional.fields |
network_tx_bytes | about.labels.key/value(已废弃) additional.fields |
docker_info
下表列出了架构 docker_info 和操作系统 Linux、macOS、freebsd 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
id | target.resource.product_object_id |
容器 | about.labels.key/value(已废弃) additional.fields |
containers_running | about.labels.key/value(已废弃) additional.fields |
containers_paused | about.labels.key/value(已废弃) additional.fields |
containers_stopped | about.labels.key/value(已废弃) additional.fields |
图片 | about.labels.key/value(已废弃) additional.fields |
storage_driver | about.labels.key/value(已废弃) additional.fields |
memory_limit | about.labels.key/value(已废弃) additional.fields |
swap_limit | about.labels.key/value(已废弃) additional.fields |
kernel_memory | about.labels.key/value(已废弃) additional.fields |
cpu_cfs_period | about.labels.key/value(已废弃) additional.fields |
cpu_cfs_quota | about.labels.key/value(已废弃) additional.fields |
cpu_shares | about.labels.key/value(已废弃) additional.fields |
cpu_set | about.labels.key/value(已废弃) additional.fields |
ipv4_forwarding | about.labels.key/value(已废弃) additional.fields |
bridge_nf_iptables | about.labels.key/value(已废弃) additional.fields |
bridge_nf_ip6tables | about.labels.key/value(已废弃) additional.fields |
oom_kill_disable | about.labels.key/value(已废弃) additional.fields |
logging_driver | about.labels.key/value(已废弃) additional.fields |
cgroup_driver | about.labels.key/value(已废弃) additional.fields |
kernel_version | about.labels.key/value(已废弃) additional.fields |
os | about.labels.key/value(已废弃) additional.fields |
os_type | target.platform(enum) |
架构 | about.labels.key/value(已废弃) additional.fields |
cpus | about.labels.key/value(已废弃) additional.fields |
内存 | about.labels.key/value(已废弃) additional.fields |
http_proxy | about.labels.key/value(已废弃) additional.fields |
https_proxy | about.labels.key/value(已废弃) additional.fields |
no_proxy | about.labels.key/value(已废弃) additional.fields |
name | target.hostname |
server_version | target.platform_version |
root_dir | target.file.full_path |
docker_network_labels
下表列出了架构 docker_network_labels 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
id | target.resource.product_object_id |
键 | target.resource.attribute.labels.key/value |
值 | about.labels.key/value(已废弃) additional.fields |
docker_networks
下表列出了架构 docker_networks 和操作系统 Linux、macOS、freebsd 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
id | target.resource.product_object_id |
name | about.labels.key/value(已废弃) additional.fields |
驱动程序 | about.labels.key/value(已废弃) additional.fields |
已创建 | target.resource.attribute.creation_time |
enable_ipv6 | about.labels.key/value(已废弃) additional.fields |
子网 | about.labels.key/value(已废弃) additional.fields |
网关 | about.labels.key/value(已废弃) additional.fields |
ec2_instance_metadata
下表列出了架构 ec2_instance_metadata 以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
instance_id | target.resource.product_object_id |
instance_type | about.labels.key/value(已废弃) additional.fields |
架构 | about.labels.key/value(已废弃) additional.fields |
区域 | target.location.country_or_region |
availability_zone | about.labels.key/value(已废弃) additional.fields |
local_hostname | target.hostname |
local_ipv4 | target.ip |
mac | target.mac |
security_groups | about.labels.key/value(已废弃) additional.fields |
iam_arn | about.labels.key/value(已废弃) additional.fields |
ami_id | about.labels.key/value(已废弃) additional.fields |
reservation_id | about.labels.key/value(已废弃) additional.fields |
account_id | target.user.userid |
ssh_public_key | about.labels.key/value(已废弃) additional.fields |
es_process_events
下表列出了架构 es_process_events 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
version | target.platform_version |
seq_num | about.labels.key/value(已废弃) additional.fields |
global_seq_num | about.labels.key/value(已废弃) additional.fields |
pid | target.process.pid |
路径 | target.process.file.full_path |
父级 | target.process.parent_process.pid |
original_parent | about.labels.key/value(已废弃) additional.fields |
cmdline | target.process.command_line |
cmdline_count | about.labels.key/value(已废弃) additional.fields |
env | about.labels.key/value(已废弃) additional.fields |
env_count | about.labels.key/value(已废弃) additional.fields |
cwd | about.labels.key/value(已废弃) additional.fields |
uid | target.user.userid |
EUID | about.labels.key/value(已废弃) additional.fields |
GID | target.group.product_object_id |
egid | about.labels.key/value(已废弃) additional.fields |
用户名 | target.user.user_display_name |
signing_id | about.labels.key/value(已废弃) additional.fields |
team_id | about.labels.key/value(已废弃) additional.fields |
cdhash | about.labels.key/value(已废弃) additional.fields |
platform_binary | about.labels.key/value(已废弃) additional.fields |
exit_code | about.labels.key/value(已废弃) additional.fields |
child_pid | about.labels.key/value(已废弃) additional.fields |
时间 | about.labels.key/value(已废弃) additional.fields |
event_type | about.labels.key/value(已废弃) additional.fields |
EID | metadata.product_log_id |
etc_hosts
下表列出了架构 etc_hosts 以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
地址 | target.ip |
主机名 | about.hostname |
pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
etc_protocols
下表列出了架构 etc_protocols 以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | network.ip_protocol |
数字 | about.labels.key/value(已废弃) additional.fields |
alias | about.labels.key/value(已废弃) additional.fields |
评论 | about.labels.key/value(已废弃) additional.fields |
etc_services
下表列出了架构 etc_services 以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | target.resource.name |
端口 | target.port |
协议 | network.ip_protocol |
aliases | about.labels.key/value(已废弃) additional.fields |
评论 | about.labels.key/value(已废弃) additional.fields |
文件
下表列出了架构文件以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
路径 | target.file.full_path |
目录 | about.labels.key/value(已废弃) additional.fields |
filename | target.file.names |
inode | about.labels.key/value(已废弃) additional.fields |
uid | target.user.userid |
GID | target.group.product_object_id |
模式 | about.labels.key/value(已废弃) additional.fields |
device | target.asset.asset_id |
大小 | target.file.size |
block_size | about.labels.key/value(已废弃) additional.fields |
atime | target.file.last_seen_time |
mtime | target.file.last_modification_time |
ctime | about.labels.key/value(已废弃) additional.fields |
btime | about.labels.key/value(已废弃) additional.fields |
hard_links | about.labels.key/value(已废弃) additional.fields |
symlink | about.labels.key/value(已废弃) additional.fields |
类型 | about.labels.key/value(已废弃) additional.fields |
attributes | about.labels.key/value(已废弃) additional.fields |
volume_serial | about.labels.key/value(已废弃) additional.fields |
file_id | about.labels.key/value(已废弃) additional.fields |
file_version | about.labels.key/value(已废弃) additional.fields |
product_version | about.labels.key/value(已废弃) additional.fields |
bsd_flags | about.labels.key/value(已废弃) additional.fields |
pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
mount_namespace_id | about.labels.key/value(已废弃) additional.fields |
file_events
下表列出了架构 file_events 和操作系统 Linux 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
操作 | about.labels.key/value(已废弃) additional.fields |
pid | principal.process.pid |
ppid | principal.process.parent_process.pid |
时间 | about.labels.key/value(已废弃) additional.fields |
可执行 | about.labels.key/value(已废弃) additional.fields |
部分 | about.labels.key/value(已废弃) additional.fields |
cwd | about.labels.key/value(已废弃) additional.fields |
路径 | src.file.full_path |
dest_path | target.file.full_path |
uid | principal.user.userid |
GID | principal.group.product_object_id |
auid | about.labels.key/value(已废弃) additional.fields |
EUID | about.labels.key/value(已废弃) additional.fields |
egid | about.labels.key/value(已废弃) additional.fields |
fsuid | about.labels.key/value(已废弃) additional.fields |
fsgid | about.labels.key/value(已废弃) additional.fields |
suid | about.labels.key/value(已废弃) additional.fields |
sgid | about.labels.key/value(已废弃) additional.fields |
uptime | about.labels.key/value(已废弃) additional.fields |
EID | metadata.product_log_id |
守门人
下表列出了架构守门器和操作系统 macOS 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
assessments_enabled | about.labels.key/value(已废弃) additional.fields |
dev_id_enabled | about.labels.key/value(已废弃) additional.fields |
version | target.asset.software.version |
opaque_version | about.labels.key/value(已废弃) additional.fields |
gatekeeper_approved_apps
下表列出了架构 gatekeeper_approved_apps 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
路径 | target.file.full_path |
要求 | about.labels.key/value(已废弃) additional.fields |
ctime | about.labels.key/value(已废弃) additional.fields |
mtime | target.resource.attribute.last_update_time |
groups
下表列出了架构组以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
GID | target.group.attribute.labels.key/value |
gid_signed | target.group.attribute.labels.key/value |
groupname | target.group.group_display_name |
group_sid | target.group.product_object_id |
评论 | target.group.attribute.labels.key/value |
is_hidden | target.group.attribute.labels.key/value |
pid_with_namespace | target.group.attribute.labels.key/value |
hardware_events
下表列出了架构 hardware_events 和操作系统 Linux、macOS 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
操作 | security_result.action_details |
路径 | target.asset.attribute.labels.key/value |
类型 | target.asset.attribute.labels.key/value |
驱动程序 | target.asset.attribute.labels.key/value |
vendor | target.asset.attribute.labels.key/value |
vendor_id | target.asset.attribute.labels.key/value |
模型 | target.asset.hardware.model |
model_id | target.asset.attribute.labels.key/value |
serial | target.asset.attribute.labels.key/value |
修订版本 | target.asset.attribute.labels.key/value |
时间 | metadata.event_timestamp |
EID | metadata.product_log_id |
哈希
下表列出了架构哈希和操作系统 macOS、Linux、Windows、freebsd 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
路径 | target.file.full_path |
目录 | about.labels.key/value(已废弃) additional.fields |
md5 | target.file.md5 |
sha1 | target.file.sha1 |
sha256 | target.file.sha256 |
pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
mount_namespace_id | about.labels.key/value(已废弃) additional.fields |
interface_addresses
下表列出了架构 interface_addresses 和操作系统 macOS、Linux、Windows、freebsd 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
接口 | about.labels.key/value(已废弃) additional.fields |
地址 | target.ip |
掩码 | about.labels.key/value(已废弃) additional.fields |
广播 | about.labels.key/value(已废弃) additional.fields |
point_to_point | about.labels.key/value(已废弃) additional.fields |
类型 | about.labels.key/value(已废弃) additional.fields |
friendly_name | about.labels.key/value(已废弃) additional.fields |
interface_details
下表列出了架构 interface_details 以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
接口 | about.labels.key/value(已废弃) additional.fields |
mac | target.mac |
类型 | about.labels.key/value(已废弃) additional.fields |
mtu | about.labels.key/value(已废弃) additional.fields |
指标 | about.labels.key/value(已废弃) additional.fields |
flags | about.labels.key/value(已废弃) additional.fields |
ipackets | about.labels.key/value(已废弃) additional.fields |
opackets | about.labels.key/value(已废弃) additional.fields |
ibytes | network.sent_bytes |
obytes | network.received_bytes |
ierrors | about.labels.key/value(已废弃) additional.fields |
oerrors | about.labels.key/value(已废弃) additional.fields |
idrops | about.labels.key/value(已废弃) additional.fields |
odrops | about.labels.key/value(已废弃) additional.fields |
碰撞 | about.labels.key/value(已废弃) additional.fields |
last_change | about.labels.key/value(已废弃) additional.fields |
link_speed | about.labels.key/value(已废弃) additional.fields |
pci_slot | about.labels.key/value(已废弃) additional.fields |
friendly_name | about.labels.key/value(已废弃) additional.fields |
说明 | about.labels.key/value(已废弃) additional.fields |
制造商 | target.asset.hardware.manufacturer |
connection_id | about.labels.key/value(已废弃) additional.fields |
connection_status | about.labels.key/value(已废弃) additional.fields |
已启用 | about.labels.key/value(已废弃) additional.fields |
physical_adapter | about.labels.key/value(已废弃) additional.fields |
速度 | about.labels.key/value(已废弃) additional.fields |
服务 | target.application |
dhcp_enabled | about.labels.key/value(已废弃) additional.fields |
dhcp_lease_expires | network.dhcp.lease_time_seconds |
dhcp_lease_obtained | about.labels.key/value(已废弃) additional.fields |
dhcp_server | network.dhcp.yiaddr |
dns_domain | network.dns.questions.name |
dns_domain_suffix_search_order | about.labels.key/value(已废弃) additional.fields |
dns_host_name | about.labels.key/value(已废弃) additional.fields |
dns_server_search_order | about.labels.key/value(已废弃) additional.fields |
interface_ipv6
下表列出了架构 interface_ipv6 和操作系统 Linux、macOS、freebsd 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
接口 | about.labels.key/value(已废弃) additional.fields |
hop_limit | about.labels.key/value(已废弃) additional.fields |
forwarding_enabled | about.labels.key/value(已废弃) additional.fields |
redirect_accept | about.labels.key/value(已废弃) additional.fields |
rtadv_accept | about.labels.key/value(已废弃) additional.fields |
iptables
下表列出了架构 iptables 和操作系统 Linux 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
filter_name | about.labels.key/value(已废弃) additional.fields |
链 | about.labels.key/value(已废弃) additional.fields |
policy | about.labels.key/value(已废弃) additional.fields |
目标 | about.labels.key/value(已废弃) additional.fields |
协议 | about.labels.key/value(已废弃) additional.fields |
src_port | src.port |
dst_port | target.port |
src_ip | src.ip |
src_mask | about.labels.key/value(已废弃) additional.fields |
iniface | about.labels.key/value(已废弃) additional.fields |
iniface_mask | about.labels.key/value(已废弃) additional.fields |
dst_ip | target.ip |
dst_mask | about.labels.key/value(已废弃) additional.fields |
outiface | about.labels.key/value(已废弃) additional.fields |
outiface_mask | about.labels.key/value(已废弃) additional.fields |
匹配 | about.labels.key/value(已废弃) additional.fields |
数据包 | about.labels.key/value(已废弃) additional.fields |
字节 | network.received_bytes |
kernel_panics
下表列出了架构 kernel_panics 和操作系统 macOS 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
路径 | target.file.full_path |
时间 | about.labels.key/value(已废弃) additional.fields |
寄存器 | about.labels.key/value(已废弃) additional.fields |
frame_backtrace | about.labels.key/value(已废弃) additional.fields |
module_backtrace | about.labels.key/value(已废弃) additional.fields |
依赖项 | about.labels.key/value(已废弃) additional.fields |
name | target.process.command_line |
os_version | target.platform_version |
kernel_version | about.labels.key/value(已废弃) additional.fields |
system_model | target.asset.hardware.model |
uptime | about.labels.key/value(已废弃) additional.fields |
last_loaded | about.labels.key/value(已废弃) additional.fields |
last_unloaded | about.labels.key/value(已废弃) additional.fields |
keychain_acls
下表列出了架构 keychain_acls 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
keychain_path | about.labels.key/value(已废弃) additional.fields |
授权 | about.labels.key/value(已废弃) additional.fields |
路径 | target.file.full_path |
说明 | metadata.description |
标签 | about.labels.key/value(已废弃) additional.fields |
known_hosts
下表列出了架构 known_hosts 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
uid | target.user.userid |
键 | about.labels.key/value(已废弃) additional.fields |
key_file | target.file.full_path |
最后一
下表列出了架构“last”和操作系统 Linux、macOS、freebsd 的日志字段以及对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
用户名 | target.user.user_display_name |
tty | about.labels.key/value(已废弃) additional.fields |
pid | target.process.pid |
类型 | about.labels.key/value(已废弃) additional.fields |
type_name | about.labels.key/value(已废弃) additional.fields |
时间 | about.labels.key/value(已废弃) additional.fields |
主机 | target.hostname |
listening_ports
下表列出了架构 listening_ports 以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
pid | target.process.pid |
端口 | target.port |
协议 | network.ip_protocol |
系列 | about.labels.key/value(已废弃) additional.fields |
地址 | target.ip |
fd | about.labels.key/value(已废弃) additional.fields |
socket | about.labels.key/value(已废弃) additional.fields |
路径 | target.process.file.full_path |
net_namespace | about.labels.key/value(已废弃) additional.fields |
logged_in_users
下表列出了架构 logged_in_users 以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
类型 | about.labels.key/value(已废弃) additional.fields |
用户 | target.user.userid |
tty | about.labels.key/value(已废弃) additional.fields |
主机 | target.hostname |
时间 | about.labels.key/value(已废弃) additional.fields |
pid | target.process.pid |
sid | about.labels.key/value(已废弃) additional.fields |
registry_hive | about.labels.key/value(已废弃) additional.fields |
logon_sessions
下表列出了架构 logon_sessions 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
logon_id | about.labels.key/value(已废弃) additional.fields |
用户 | target.user.user_display_name |
logon_domain | about.labels.key/value(已废弃) additional.fields |
authentication_package | about.labels.key/value(已废弃) additional.fields |
logon_type | about.labels.key/value(已废弃) additional.fields |
session_id | network.session_id |
logon_sid | about.labels.key/value(已废弃) additional.fields |
logon_time | about.labels.key/value(已废弃) additional.fields |
logon_server | about.labels.key/value(已废弃) additional.fields |
dns_domain_name | network.dns_domain |
upn | about.labels.key/value(已废弃) additional.fields |
logon_script | about.labels.key/value(已废弃) additional.fields |
profile_path | target.file.full_path |
home_directory | about.labels.key/value(已废弃) additional.fields |
home_directory_drive | about.labels.key/value(已废弃) additional.fields |
lxd_certificates
下表列出了架构 lxd_certificates 和操作系统 Linux 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | security_result.detection_fields.key/value |
类型 | security_result.detection_fields.key/value |
指纹 | security_result.detection_fields.key/value |
证书 | security_result.detection_fields.key/value |
lxd_networks
下表列出了架构 lxd_networks 和操作系统 Linux 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | about.labels.key/value(已废弃) additional.fields |
类型 | about.labels.key/value(已废弃) additional.fields |
managed | about.labels.key/value(已废弃) additional.fields |
ipv4_address | about.labels.key/value(已废弃) additional.fields |
ipv6_address | about.labels.key/value(已废弃) additional.fields |
used_by | about.labels.key/value(已废弃) additional.fields |
bytes_received | network.received_bytes |
bytes_sent | network.sent_bytes |
packets_received | about.labels.key/value(已废弃) additional.fields |
packets_sent | about.labels.key/value(已废弃) additional.fields |
hwaddr | about.labels.key/value(已废弃) additional.fields |
state | about.labels.key/value(已废弃) additional.fields |
mtu | about.labels.key/value(已废弃) additional.fields |
managed_policies
下表列出了架构 managed_policies 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
网域 | target.administrative_domain |
uuid | about.labels.key/value(已废弃) additional.fields |
name | about.labels.key/value(已废弃) additional.fields |
值 | about.labels.key/value(已废弃) additional.fields |
用户名 | target.user.user_display_name |
手动 | about.labels.key/value(已废弃) additional.fields |
memory_devices
下表列出了架构 memory_devices 和操作系统 Linux、macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
句柄 | about.labels.key/value(已废弃) additional.fields |
array_handle | about.labels.key/value(已废弃) additional.fields |
form_factor | about.labels.key/value(已废弃) additional.fields |
total_width | about.labels.key/value(已废弃) additional.fields |
data_width | about.labels.key/value(已废弃) additional.fields |
大小 | about.labels.key/value(已废弃) additional.fields |
设置 | about.labels.key/value(已废弃) additional.fields |
device_locator | about.labels.key/value(已废弃) additional.fields |
bank_locator | about.labels.key/value(已废弃) additional.fields |
memory_type | about.labels.key/value(已废弃) additional.fields |
memory_type_details | about.labels.key/value(已废弃) additional.fields |
max_speed | about.labels.key/value(已废弃) additional.fields |
configured_clock_speed | about.labels.key/value(已废弃) additional.fields |
制造商 | target.asset.hardware.manufacturer |
serial_number | target.asset.hardware.serial_number |
asset_tag | target.asset.asset_id |
part_number | about.labels.key/value(已废弃) additional.fields |
min_voltage | about.labels.key/value(已废弃) additional.fields |
max_voltage | about.labels.key/value(已废弃) additional.fields |
configured_voltage | about.labels.key/value(已废弃) additional.fields |
ntdomains
下表列出了架构 ntdomains 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | about.labels.key/value(已废弃) additional.fields |
client_site_name | about.labels.key/value(已废弃) additional.fields |
dc_site_name | about.labels.key/value(已废弃) additional.fields |
dns_forest_name | network.dns.questions.name |
domain_controller_address | target.ip |
domain_controller_name | about.labels.key/value(已废弃) additional.fields |
domain_name | target.administrative_domain |
状态 | about.labels.key/value(已废弃) additional.fields |
ntfs_acl_permissions
下表列出了架构 ntfs_acl_permissions 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
路径 | target.file.full_path |
类型 | about.labels.key/value(已废弃) additional.fields |
主账号 | about.labels.key/value(已废弃) additional.fields |
访问权限 | about.labels.key/value(已废弃) additional.fields |
inherited_from | about.labels.key/value(已废弃) additional.fields |
os_version
下表列出了架构 os_version 和操作系统 macOS、Linux、Windows、freebsd 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | about.labels.key/value(已废弃) additional.fields |
version | principal.platform_version |
主要 | about.labels.key/value(已废弃) additional.fields |
未成年人 | about.labels.key/value(已废弃) additional.fields |
patch | principal.platform_patch_level |
build | about.labels.key/value(已废弃) additional.fields |
平台 | principal.platform |
platform_like | about.labels.key/value(已废弃) additional.fields |
代号 | about.labels.key/value(已废弃) additional.fields |
arch | about.labels.key/value(已废弃) additional.fields |
install_date | about.labels.key/value(已废弃) additional.fields |
pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
mount_namespace_id | about.labels.key/value(已废弃) additional.fields |
osquery_events
下表列出了架构 osquery_events 以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | target.resource.name |
发布方 | about.label.key/value |
类型 | about.label.key/value |
订阅 | about.label.key/value |
events | about.label.key/value |
刷新 | about.label.key/value |
有效 | about.label.key/value |
补丁
下表列出了架构补丁和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
csname | target.hostname |
hotfix_id | about.labels.key/value(已废弃) additional.fields |
caption | about.labels.key/value(已废弃) additional.fields |
说明 | metadata.description |
fix_comments | about.labels.key/value(已废弃) additional.fields |
installed_by | about.labels.key/value(已废弃) additional.fields |
install_date | about.labels.key/value(已废弃) additional.fields |
installed_on | about.labels.key/value(已废弃) additional.fields |
pci_devices
下表列出了架构 pci_devices 和操作系统 Linux、macOS 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
pci_slot | principal.labels.key/value(已废弃) additional.fields |
pci_class | principal.labels.key/value(已废弃) additional.fields |
驱动程序 | principal.labels.key/value(已废弃) additional.fields |
vendor | principal.labels.key/value(已废弃) additional.fields |
vendor_id | principal.labels.key/value(已废弃) additional.fields |
模型 | principal.asset.hardware.model |
model_id | principal.labels.key/value(已废弃) additional.fields |
子系统 | principal.labels.key/value(已废弃) additional.fields |
快速 | principal.labels.key/value(已废弃) additional.fields |
雷雳 | principal.labels.key/value(已废弃) additional.fields |
可拆卸 | principal.labels.key/value(已废弃) additional.fields |
pci_class_id | principal.labels.key/value(已废弃) additional.fields |
pci_subclass_id | principal.labels.key/value(已废弃) additional.fields |
pci_subclass | principal.labels.key/value(已废弃) additional.fields |
subsystem_vendor_id | principal.labels.key/value(已废弃) additional.fields |
subsystem_vendor | principal.labels.key/value(已废弃) additional.fields |
subsystem_model_id | principal.labels.key/value(已废弃) additional.fields |
subsystem_model | principal.labels.key/value(已废弃) additional.fields |
管道
下表列出了架构管道和操作系统 Linux 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
pid | target.process.pid |
name | target.resource.name |
实例 | about.labels.key/value(已废弃) additional.fields |
max_instances | about.labels.key/value(已废弃) additional.fields |
flags | about.labels.key/value(已废弃) additional.fields |
powershell_events
下表列出了架构 powershell_events 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
时间 | metadata.collected_timestamp |
日期时间 | about.labels.key/value(已废弃) additional.fields |
script_block_id | about.labels.key/value(已废弃) additional.fields |
script_block_count | about.labels.key/value(已废弃) additional.fields |
script_text | about.labels.key/value(已废弃) additional.fields |
script_name | about.labels.key/value(已废弃) additional.fields |
script_path | target.file.full_path |
cosine_similarity | about.labels.key/value(已废弃) additional.fields |
process_envs
下表列出了架构 process_envs 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
pid | target.process.pid |
键 | about.labels.key |
值 | about.labels.value |
process_events
下表列出了架构 process_events 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
version | target.platform_version |
seq_num | about.labels.key/value(已废弃) additional.fields |
global_seq_num | about.labels.key/value(已废弃) additional.fields |
pid | target.process.pid |
路径 | target.file.full_path |
父级 | target.process.parent_process.pid |
original_parent | about.labels.key/value(已废弃) additional.fields |
cmdline | target.process.command_line |
cmdline_count | about.labels.key/value(已废弃) additional.fields |
env | about.labels.key/value(已废弃) additional.fields |
env_count | about.labels.key/value(已废弃) additional.fields |
cwd | about.labels.key/value(已废弃) additional.fields |
uid | target.user.userid |
EUID | about.labels.key/value(已废弃) additional.fields |
GID | target.group.product_object_id |
egid | about.labels.key/value(已废弃) additional.fields |
用户名 | target.user.user_display_name |
signing_id | about.labels.key/value(已废弃) additional.fields |
team_id | about.labels.key/value(已废弃) additional.fields |
cdhash | about.labels.key/value(已废弃) additional.fields |
platform_binary | about.labels.key/value(已废弃) additional.fields |
exit_code | about.labels.key/value(已废弃) additional.fields |
child_pid | about.labels.key/value(已废弃) additional.fields |
时间 | about.labels.key/value(已废弃) additional.fields |
event_type | about.labels.key/value(已废弃) additional.fields |
EID | about.labels.key/value(已废弃) additional.fields |
process_file_events
下表列出了架构 process_file_events 和操作系统 Linux 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
操作 | about.labels.key/value(已废弃) additional.fields |
pid | target.process.pid |
ppid | target.process.parent_process.pid |
时间 | about.labels.key/value(已废弃) additional.fields |
可执行 | about.labels.key/value(已废弃) additional.fields |
部分 | about.labels.key/value(已废弃) additional.fields |
cwd | about.labels.key/value(已废弃) additional.fields |
路径 | target.file.full_path |
dest_path | about.labels.key/value(已废弃) additional.fields |
uid | target.user.userid |
GID | target.group.product_object_id |
auid | about.labels.key/value(已废弃) additional.fields |
EUID | about.labels.key/value(已废弃) additional.fields |
egid | about.labels.key/value(已废弃) additional.fields |
fsuid | about.labels.key/value(已废弃) additional.fields |
fsgid | about.labels.key/value(已废弃) additional.fields |
suid | about.labels.key/value(已废弃) additional.fields |
sgid | about.labels.key/value(已废弃) additional.fields |
uptime | about.labels.key/value(已废弃) additional.fields |
EID | metadata.product_log_id |
process_open_sockets
下表列出了架构 process_open_sockets 以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
pid | principal.process.pid |
fd | about.labels.key/value(已废弃) additional.fields |
socket | about.labels.key/value(已废弃) additional.fields |
系列 | about.labels.key/value(已废弃) additional.fields |
协议 | about.labels.key/value(已废弃) additional.fields |
local_address | principal.ip |
remote_address | target.ip |
local_port | principal.port |
remote_port | target.port |
路径 | target.file.full_path |
state | about.labels.key/value(已废弃) additional.fields |
net_namespace | about.labels.key/value(已废弃) additional.fields |
进程
下表列出了架构进程以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
pid | target.process.pid |
name | about.labels.key/value(已废弃) additional.fields |
路径 | target.process.file.full_path |
cmdline | target.process.command_line |
state | target.process.attribute.labels.key/value |
cwd | about.labels.key/value(已废弃) additional.fields |
root | about.labels.key/value(已废弃) additional.fields |
uid | target.user.userid |
GID | target.group.product_object_id |
EUID | about.labels.key/value(已废弃) additional.fields |
egid | about.labels.key/value(已废弃) additional.fields |
suid | about.labels.key/value(已废弃) additional.fields |
sgid | about.labels.key/value(已废弃) additional.fields |
on_disk | about.labels.key/value(已废弃) additional.fields |
wired_size | about.labels.key/value(已废弃) additional.fields |
resident_size | about.labels.key/value(已废弃) additional.fields |
total_size | about.labels.key/value(已废弃) additional.fields |
user_time | about.labels.key/value(已废弃) additional.fields |
system_time | about.labels.key/value(已废弃) additional.fields |
disk_bytes_read | about.labels.key/value(已废弃) additional.fields |
disk_bytes_written | about.labels.key/value(已废弃) additional.fields |
start_time | about.labels.key/value(已废弃) additional.fields |
父级 | target.process.parent_process.pid |
pgroup | about.labels.key/value(已废弃) additional.fields |
threads | about.labels.key/value(已废弃) additional.fields |
nice | about.labels.key/value(已废弃) additional.fields |
elevated_token | about.labels.key/value(已废弃) additional.fields |
secure_process | about.labels.key/value(已废弃) additional.fields |
protection_type | about.labels.key/value(已废弃) additional.fields |
virtual_process | about.labels.key/value(已废弃) additional.fields |
elapsed_time | about.labels.key/value(已废弃) additional.fields |
handle_count | about.labels.key/value(已废弃) additional.fields |
percent_processor_time | about.labels.key/value(已废弃) additional.fields |
upid | about.labels.key/value(已废弃) additional.fields |
uppid | about.labels.key/value(已废弃) additional.fields |
cpu_type | about.labels.key/value(已废弃) additional.fields |
cpu_subtype | about.labels.key/value(已废弃) additional.fields |
计划
下表列出了架构程序和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | target.resource.name |
version | target.platform_version |
install_location | about.labels.key/value(已废弃) additional.fields |
install_source | about.labels.key/value(已废弃) additional.fields |
language | about.labels.key/value(已废弃) additional.fields |
发布方 | about.labels.key/value(已废弃) additional.fields |
uninstall_string | target.file.full_path |
install_date | about.labels.key/value(已废弃) additional.fields |
identifying_number | about.labels.key/value(已废弃) additional.fields |
scheduled_tasks
下表列出了架构 scheduled_tasks 和 OS Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | target.resource.name |
操作 | security_result.action_details |
路径 | target.file.full_path |
已启用 | about.labels.key/value(已废弃) additional.fields |
state | about.labels.key/value(已废弃) additional.fields |
已隐藏 | about.labels.key/value(已废弃) additional.fields |
last_run_time | about.labels.key/value(已废弃) additional.fields |
next_run_time | about.labels.key/value(已废弃) additional.fields |
last_run_message | about.labels.key/value(已废弃) additional.fields |
last_run_code | about.labels.key/value(已废弃) additional.fields |
seccomp_events
下表列出了架构 seccomp_events 和操作系统 Linux 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
时间 | about.labels.key/value(已废弃) additional.fields |
uptime | about.labels.key/value(已废弃) additional.fields |
auid | about.labels.key/value(已废弃) additional.fields |
uid | target.user.userid |
GID | target.group.product_object_id |
ses | about.labels.key/value(已废弃) additional.fields |
pid | target.process.pid |
comm | about.labels.key/value(已废弃) additional.fields |
exe | target.file.full_path |
sig | about.labels.key/value(已废弃) additional.fields |
arch | about.labels.key/value(已废弃) additional.fields |
syscall | about.labels.key/value(已废弃) additional.fields |
compat | about.labels.key/value(已废弃) additional.fields |
ip | about.labels.key/value(已废弃) additional.fields |
代码 | about.labels.key/value(已废弃) additional.fields |
seLinux_events
下表列出了架构 seLinux_events 和操作系统 Linux 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
类型 | about.labels.key/value(已废弃) additional.fields |
消息 | metadata.description |
时间 | about.labels.key/value(已废弃) additional.fields |
uptime | about.labels.key/value(已废弃) additional.fields |
EID | metadata.product_log_id |
shadow
下表列出了架构阴影和操作系统 Linux 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
password_status | about.labels.key/value(已废弃) additional.fields |
hash_alg | about.labels.key/value(已废弃) additional.fields |
last_change | about.labels.key/value(已废弃) additional.fields |
分钟 | about.labels.key/value(已废弃) additional.fields |
max | about.labels.key/value(已废弃) additional.fields |
警告 | about.labels.key/value(已废弃) additional.fields |
无效 | about.labels.key/value(已废弃) additional.fields |
expire | about.labels.key/value(已废弃) additional.fields |
标志 | about.labels.key/value(已废弃) additional.fields |
用户名 | principal.user.user_display_name |
shell_history
下表列出了架构 shell_history 和操作系统 Linux、macOS、freebsd 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
uid | principal.user.userid |
时间 | about.labels.key/value(已废弃) additional.fields |
命令 | principal.process.command_line |
history_file | principal.process.file.full_path |
shimcache
下表列出了架构 shimcache 和操作系统 Windows 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
入口 | about.labels.key/value(已废弃) additional.fields |
路径 | target.file.full_path |
modified_time | target.file.last_modification_time |
execution_flag | about.labels.key/value(已废弃) additional.fields |
signature
下表列出了架构签名和操作系统 macOS 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
路径 | target.file.full_path |
hash_resources | about.labels.key/value(已废弃) additional.fields |
arch | about.labels.key/value(已废弃) additional.fields |
已签署 | target.file.pe_file.signature_info.verified |
identifier | target.file.pe_file.signature_info.signer |
cdhash | about.labels.key/value(已废弃) additional.fields |
team_identifier | about.labels.key/value(已废弃) additional.fields |
authority | about.labels.key/value(已废弃) additional.fields |
sip_config
下表列出了架构 sip_config 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
config_flag | about.labels.key/value(已废弃) additional.fields |
已启用 | about.labels.key/value(已废弃) additional.fields |
enabled_nvram | about.labels.key/value(已废弃) additional.fields |
socket_events
下表列出了架构 socket_events 和操作系统 Linux、macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
操作 | security_result.action_details |
pid | target.process.pid |
路径 | target.process.file.full_path |
fd | about.labels.key/value(已废弃) additional.fields |
auid | target.user.userid |
状态 | about.labels.key/value(已废弃) additional.fields |
系列 | about.labels.key/value(已废弃) additional.fields |
协议 | about.labels.key/value(已废弃) additional.fields |
local_address | principal.ip |
remote_address | target.ip |
local_port | principal.port |
remote_port | target.port |
socket | about.labels.key/value(已废弃) additional.fields |
时间 | about.labels.key/value(已废弃) additional.fields |
uptime | about.labels.key/value(已废弃) additional.fields |
EID | metadata.product_log_id |
成功 | about.labels.key/value(已废弃) additional.fields |
sudoers
下表列出了架构 sudoers 和操作系统 Linux、macOS、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
来源 | about.labels.key/value(已废弃) additional.fields |
标头 | about.labels.key/value(已废弃) additional.fields |
rule_details | about.labels.key/value(已废弃) additional.fields |
syslog_events
下表列出了架构 syslog_events 和操作系统 Linux 的日志字段及其对应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
时间 | about.labels.key/value(已废弃) additional.fields |
日期时间 | about.labels.key/value(已废弃) additional.fields |
主机 | target.hostname |
和程度上减少 | security_result.severity(枚举) |
设施 | about.labels.key/value(已废弃) additional.fields |
标记 | about.labels.key/value(已废弃) additional.fields |
消息 | about.labels.key/value(已废弃) additional.fields |
EID | metadata.product_log_id |
system_info
下表列出了架构 system_info 以及操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
主机名 | principal.administrative_domain |
uuid | about.labels.key/value(已废弃) additional.fields |
cpu_type | about.labels.key/value(已废弃) additional.fields |
cpu_subtype | about.labels.key/value(已废弃) additional.fields |
cpu_brand | about.labels.key/value(已废弃) additional.fields |
cpu_physical_cores | about.labels.key/value(已废弃) additional.fields |
cpu_logical_cores | principal.asset.hardware.cpu_number_cores |
cpu_microcode | about.labels.key/value(已废弃) additional.fields |
physical_memory | about.labels.key/value(已废弃) additional.fields |
hardware_vendor | about.labels.key/value(已废弃) additional.fields |
hardware_model | principal.asset.hardware.model |
hardware_version | about.labels.key/value(已废弃) additional.fields |
hardware_serial | principal.asset.hardware.serial_number |
board_vendor | about.labels.key/value(已废弃) additional.fields |
board_model | about.labels.key/value(已废弃) additional.fields |
board_version | about.labels.key/value(已废弃) additional.fields |
board_serial | about.labels.key/value(已废弃) additional.fields |
computer_name | about.labels.key/value(已废弃) additional.fields |
local_hostname | about.labels.key/value(已废弃) additional.fields |
tpm_info
下表列出了架构 tpm_info 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
已启用 | about.labels.key/value(已废弃) additional.fields |
已启用 | about.labels.key/value(已废弃) additional.fields |
自有 | about.labels.key/value(已废弃) additional.fields |
manufacturer_version | about.labels.key/value(已废弃) additional.fields |
manufacturer_id | about.labels.key/value(已废弃) additional.fields |
manufacturer_name | principal.aseet.hardware.manufacturer |
product_name | principal.resource.name |
physical_presence_version | about.labels.key/value(已废弃) additional.fields |
spec_version | about.labels.key/value(已废弃) additional.fields |
usb_devices
下表列出了架构 usb_devices 和操作系统 Linux、macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
usb_address | about.labels.key/value(已废弃) additional.fields |
usb_port | about.labels.key/value(已废弃) additional.fields |
vendor | about.labels.key/value(已废弃) additional.fields |
vendor_id | about.labels.key/value(已废弃) additional.fields |
version | about.labels.key/value(已废弃) additional.fields |
模型 | target.asset.hardware.model |
model_id | about.labels.key/value(已废弃) additional.fields |
serial | target.asset.hardware.serial_number |
class | about.labels.key/value(已废弃) additional.fields |
子类 | about.labels.key/value(已废弃) additional.fields |
协议 | about.labels.key/value(已废弃) additional.fields |
可拆卸 | about.labels.key/value(已废弃) additional.fields |
user_events
下表列出了架构 user_events 和操作系统 Linux、macOS、freebsd 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
uid | principal.user.userid |
auid | principal.user.attribute.labels.key/value |
pid | target.process.pid |
消息 | metadata.description |
类型 | about.labels.key/value(已废弃) additional.fields |
路径 | target.file.full_path |
地址 | about.labels.key/value(已废弃) additional.fields |
终端 | about.labels.key/value(已废弃) additional.fields |
时间 | metadata.collected_timestamp |
uptime | about.labels.key/value(已废弃) additional.fields |
EID | metadata.product_log_id |
user_groups
下表列出了架构 user_groups 和操作系统 Linux、macOS、Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
uid | principal.user.userid |
GID | principal.group.product_object_id |
用户
下表列出了架构用户和操作系统 macOS、Linux、Windows、freebsd 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
uid | principal.user.userid |
GID | principal.user.group_identifiers(repeated) |
uid_signed | about.labels.key/value(已废弃) additional.fields |
gid_signed | about.labels.key/value(已废弃) additional.fields |
用户名 | principal.user.user_display_name |
说明 | about.labels.key/value(已废弃) additional.fields |
目录 | about.labels.key/value(已废弃) additional.fields |
shell | about.labels.key/value(已废弃) additional.fields |
uuid | principal.user.product_object_id |
类型 | about.labels.key/value(已废弃) additional.fields |
is_hidden | about.labels.key/value(已废弃) additional.fields |
pid_with_namespace | about.labels.key/value(已废弃) additional.fields |
wifi_networks
下表列出了架构 wifi_networks 和操作系统 macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
ssid | target.labels.key/value(已废弃) additional.fields |
network_name | target.labels.key/value(已废弃) additional.fields |
security_type | target.labels.key/value(已废弃) additional.fields |
last_connected | about.labels.key/value(已废弃) additional.fields |
Passpoint | about.labels.key/value(已废弃) additional.fields |
possibly_hidden | about.labels.key/value(已废弃) additional.fields |
漫游 | about.labels.key/value(已废弃) additional.fields |
roaming_profile | about.labels.key/value(已废弃) additional.fields |
captive_portal | about.labels.key/value(已废弃) additional.fields |
auto_login | target.labels.key/value(已废弃) additional.fields |
temporarily_disabled | target.labels.key/value(已废弃) additional.fields |
已停用 | target.labels.key/value(已废弃) additional.fields |
windows_crashes
下表列出了架构 Windows_crashes 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
日期时间 | about.labels.key/value(已废弃) additional.fields |
module | about.labels.key/value(已废弃) additional.fields |
路径 | target.process.file.full_path |
pid | target.process.pid |
tid | about.labels.key/value(已废弃) additional.fields |
version | about.labels.key/value(已废弃) additional.fields |
process_uptime | about.labels.key/value(已废弃) additional.fields |
stack_trace | about.labels.key/value(已废弃) additional.fields |
exception_code | about.labels.key/value(已废弃) additional.fields |
exception_message | about.labels.key/value(已废弃) additional.fields |
exception_address | about.labels.key/value(已废弃) additional.fields |
寄存器 | about.labels.key/value(已废弃) additional.fields |
command_line | target.process.command_line |
current_directory | about.labels.key/value(已废弃) additional.fields |
用户名 | target.user.user_display_name |
machine_name | about.labels.key/value(已废弃) additional.fields |
major_version | about.labels.key/value(已废弃) additional.fields |
minor_version | about.labels.key/value(已废弃) additional.fields |
build_number | target.platform_version |
类型 | about.labels.key/value(已废弃) additional.fields |
crash_path | about.labels.key/value(已废弃) additional.fields |
windows_eventlog
Windows 事件 (WINEVTLOG) 解析器会映射这些事件。如需了解详情,请参阅收集 Microsoft Windows 事件数据。”
windows_events
Windows 事件 (WINEVTLOG) 解析器会映射这些事件。如需了解详情,请参阅收集 Microsoft Windows 事件数据。
windows_firewall_rules
下表列出了架构 Windows_firewall_rules 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | about.labels.key/value(已废弃) additional.fields |
app_name | target.application |
操作 | security_result.action(枚举) |
已启用 | about.labels.key/value(已废弃) additional.fields |
分组 | about.labels.key/value(已废弃) additional.fields |
方向 | network.direction |
协议 | network.ip_protocol |
local_addresses | principal.ip |
remote_addresses | target.ip |
local_ports | principal.port |
remote_ports | target.port |
icmp_types_codes | about.labels.key/value(已废弃) additional.fields |
profile_domain | about.labels.key/value(已废弃) additional.fields |
profile_private | about.labels.key/value(已废弃) additional.fields |
profile_public | about.labels.key/value(已废弃) additional.fields |
service_name | about.labels.key/value(已废弃) additional.fields |
windows_security_center
下表列出了架构 Windows_security_center 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
防火墙 | security_result.detection_fields.key/value |
autoupdate | security_result.detection_fields.key/value |
杀毒软件 | security_result.detection_fields.key/value |
反间谍软件 | security_result.detection_fields.key/value |
internet_settings | security_result.detection_fields.key/value |
Windows_security_center_service | security_result.detection_fields.key/value |
user_account_control | security_result.detection_fields.key/value |
windows_security_products
下表列出了架构 Windows_security_products 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
类型 | about.labels.key/value(已废弃) additional.fields |
name | target.resource.name |
state | about.labels.key/value(已废弃) additional.fields |
state_timestamp | about.labels.key/value(已废弃) additional.fields |
remediation_path | about.labels.key/value(已废弃) additional.fields |
signatures_up_to_date | about.labels.key/value(已废弃) additional.fields |
wmi_bios_info
下表列出了架构 wmi_bios_info 和操作系统 Windows 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
name | about.labels.key/value(已废弃) additional.fields |
值 | about.labels.key/value(已废弃) additional.fields |
yara
下表列出了架构 yara 和操作系统 Linux、macOS、freebsd、Windows 的日志字段和相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
路径 | target.file.full_path |
匹配 | about.labels.key/value(已废弃) additional.fields |
计数 | about.labels.key/value(已废弃) additional.fields |
sig_group | security_result.detection_fields.key/value |
sigfile | security_result.detection_fields.key/value |
sigrule | security_result.detection_fields.key/value |
字符串 | about.labels.key/value(已废弃) additional.fields |
标记 | about.labels.key/value(已废弃) additional.fields |
sigurl | security_result.detection_fields.key/value |
yara_events
下表列出了架构 yara_events 和操作系统 Linux、macOS 的日志字段以及相应的 UDM 映射:
日志字段 | UDM 映射 |
---|---|
metadata.event_type 已映射到 SETTING_MODIFICATION | |
target_path | target.file.full_path |
类别 | about.labels.key/value(已废弃) additional.fields |
操作 | security_result.action_details |
transaction_id | security_result.detection_fields.key/value |
匹配 | about.labels.key/value(已废弃) additional.fields |
计数 | about.labels.key/value(已废弃) additional.fields |
字符串 | about.labels.key/value(已废弃) additional.fields |
标记 | about.labels.key/value(已废弃) additional.fields |
时间 | about.labels.key/value(已废弃) additional.fields |
EID | metadata.product_log_id |