|
键
|
值
|
用法
|
|
source
|
事件源的域(pod 名称)(源名称)
|
在所有事件中
|
|
src
|
IPv4 网络中的以下 IP 地址之一(源 IP):
- 对于网络流量 – 连接源的 IP 地址
- 对于管理事件 – 操作发起者的 IP 地址
|
在所有事件中
|
|
reason
|
错误状态的原因描述(原因)
|
在所有带有错误状态的事件中,除PM-ХХХ 、 FM-ХХХ 、 NT-ХХХ 、 FPM-XXX 、 FNT-XXX 、 FFM-XXX 、 FFTP-XXX之外
|
|
fname
|
镜像(工件)名称(工件名称)
|
CI-ХХХ、SJ-ХХХ、ADM-ХХХ、CVE-ХХХ、MLW-ХХХ、SD-ХХХ、MS-ХХХ、CMP-001、PLC-ХХХ、 NCMP-001
|
|
suser
|
操作发起用户的名称(用户名)
|
除PM-ХХХ、FM-ХХХ、NT-ХХХ、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX 以外的所有事件
|
|
dpid
|
进程 ID (PID)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
spid
|
父进程 ID (PPID)
|
PM-XXXX、FM-XXXX、NT-XXXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
flexString1
|
有效组 ID (EGID)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
flexString2
|
容器标识符/容器 ID
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
outcome
|
执行状态或模式(状态),该值定义如下:
- 对于运行时事件(
PM-ХХХ、FM-ХХХ、NT-ХХХ、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX ),指定执行模式(审计、强制或其他)。
- 对于其他事件,指定执行状态(成功或错误)。如果状态为“错误”,解决方案还会传输错误文本或代码(
原因)。 |
在所有事件中
|
|
request
|
镜像的名称(镜像名称)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
fileHash
|
镜像哈希(镜像摘要)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
act
|
以下操作类型之一(操作):
- 对于文件操作 - 操作类型(
open、close、read、write、create、delete、chmod、chown、rename)
- 对于网络流量 - 流量的方向和类型(
egress、ingress、egress_response、ingress_response )
- 对于进程 –
exec 值
- 对于文件威胁防护操作 –
ftp 值 |
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
spt
|
连接源的端口(源端口)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
dst
|
IPv4 网络中目标的 IP 地址(目标 IP)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
dpt
|
目标的端口(目标端口)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
dproc
|
进程名称(命令)(进程名称)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
duid
|
有效用户 ID (EUID)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
filePermission
|
文件访问权限 (mode_t mode)。
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
oldFilePath
|
文件先前使用的路径(旧文件路径)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
filePath
|
文件或的路径(路径)
对于涉及访问容器的文件系统中的对象的事件,filePath 用于传递有关新路径(新文件路径)的信息。
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
deviceDirection
|
连接方向类型(流量类型)
0 表示 Ingress 连接,1 表示 Egress 连接。
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
cn1
|
新进程标识符(新 PID)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
cs1
|
集群的名称(集群名称)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
cs2
|
节点的名称(节点名称)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
cs3
|
名字空间的名称(名字空间名称)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
cs4
|
执行的命令(命令)
对于涉及访问容器的文件系统中的对象的事件,cs4 用于传递有关新文件拥有者(NewOwner)的信息。
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
cs5
|
Pod 的名称(Pod 名称)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
cs6
|
容器的名称(容器名称)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|
|
cs7
|
节点的 IP 地址(节点 IP)
|
PM-XXX、FM-XXX、NT-XXX、FPM-XXX、FNT-XXX、FFM-XXX、FFTP-XXX
|