其他日志类型映射
安全分析支持不特定于单个服务或系统的字段映射。这些映射类型分为以下类别
- 应用程序:记录应用程序日志。
- 高级持续威胁 (APT):记录与 APT 攻击相关的常见日志。
- 合规性:记录与合规性相关的日志。
- macOS:记录使用 Mac 设备访问网络时的事件日志。
- 代理:记录与代理事件相关的日志。
- Web:记录与从 Web 访问网络相关的日志。
每种日志类型都包含相同的字段映射,如下面的代码片段所示
"mappings": [
{
"raw_field":"record_type",
"ecs":"dns.answers.type"
},
{
"raw_field":"query",
"ecs":"dns.question.name"
},
{
"raw_field":"parent_domain",
"ecs":"dns.question.registered_domain"
},
{
"raw_field":"creationTime",
"ecs":"timestamp"
}
]