Exempel på valfria fält

Ett antal fält är frivilliga att nyttja. Dessa beskrivs här.

Orginalhändelsen = Hela händelsen som den ser ut i källsystemets logg.

Fält som ger information om källan eller destinationen för händelsen:

Organisationsidentitet = Vid korrelering av loggar mellan organisationer, kan man lägga till organisationsidentitet som kan vara organisationsnummer eller peppol-id. Peppol-id fungerar även i Europa.

IP-adress, MAC-adress, Protokoll, Transportprotokoll, Port

Felsökning och prestandaanalys av webbtrafik:

Traceparent = W3C rekommendation för distribuerad spårning. En metod som används för att spåra transaktioner som sprids över flera datorer, servrar och applikationer.

Tracestate = W3C tillägg för distribuerad spårning. Utökas med leverantörsspecifika data som representeras av en uppsättning namn/värde-par.

Specialfält:

Runtime = Fält som inte lagras, utan beräknas när man vill visa fältet. Till exempel man har två fält ”enhetspris” och ”antal enheter” och man vill veta ”Total kostnad”, så behöver man inte lagra detta fält, utan kan ange det av typen Runtime.

Orginalhändelse

ECS-namn: event.original

Beskrivning: Händelsen som den ser ut i källsystemets logg.

Format: Text

Datatyp: Keyword

Exempel:
Sep 19 08:26:10 host CEF:0|Security| threatmanager|1.0|100| worm successfully stopped|10|src=10.0.0.1 dst=2.1.2.2spt=1232

Organisationsidentitet

ECS-namn: organization.id

Beskrivning: Organisationsidentitet för den organisation som loggposten kommer ifrån. Kan vara peppol-id som även fungerar i Europa.

Format: Text

Datatyp: Keyword

Exempel:

0007:2021006883

IP-adress

ECS-namn: source.ip, destination.ip

Beskrivning: IP-adress för källenheten eller destinationsenheten.

Format: Text

Datatyp: ip

Exempel: 192.168.0.45

MAC-adress

ECS-namn: source.mac, destination.mac

Beskrivning: MAC-adress för källenheten eller destinationsenheten.

Format: Text

Datatyp: Keyword

Exempel: 00-00-5E-00-53-23

Protokoll

ECS-namn: source.network.protocol, destination.network.protocol

Beskrivning: Protokollet för applikationslagret som används vid kommunikationen.

Format: Text

Datatyp: Keyword

Exempel: https

Transportprotokoll

ECS-namn: source.network.transport, destination.network.transport

Beskrivning: Transportprotokollet för transportlagret som används vid kommunikationen.

Format: Text

Datatyp: Keyword

Exempel: tcp

Port

ECS-namn: source.port, destination.port

Beskrivning: Portnumret som används vid kommunikationen.

Format: Heltal

Datatyp: Long

Exempel: 443

Traceparent

ECS-namn: trace.parent.id, trace.id, transaction.id, span.id och liknande.

Beskrivning: W3C rekommendation för distribuerad spårning. Beskriver positionen för inkommande begäran i spårningsdiagrammet i ett bärbart format med fast längd.

Format: Text

Datatyp: Keyword

Exempel: 00-0af7651916cd43dd8448eb211c80319c-b7ad6b7169203331-01

Tracestate

ECS-namn: trace.state, trace.id, transaction.id, span.id och liknande.

Beskrivning: W3C rekommendation. Utökas med leverantörsspecifika data som representeras av en uppsättning namn/värde-par.

Format: Text

Datatyp: Keyword

Exempel: "rojo=00f067aa0ba902b7;congo=t61rcWkgMzE"

Runtime

ECS-namn: total

Beskrivning:
Fält som inte lagras, utan beräknas när man vill visa fältet. T.ex. man har två fält ”enhetspris” och ”antal enheter” och man vill veta ”Total kostnad”, så behöver man inte beräkna och lagra detta fält, utan kan ange det av typen Runtime.

Format: Runtime, Skript ”emit (doc[’unit_price’].value * doc[‘quantity’].value)”

Datatyp: Double

Exempel:
24 588 ,45

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: