スキーマ
テーブル: alerts
警告情報を示します。
| 名前 | データの種類 | 説明/属性 |
|---|---|---|
| unix_nano_timestamp | int64 | UnixNanoTimestamp は、警告が生成されたときの UNIX タイムスタンプです。 |
| alert_id | utf8 | AlertID は、警告の UUID です。 |
| sensor_id | utf8 | SensorID は、Sophos Linux Sensor (SLS) の一意の識別子です。 |
| priority | utf8 | Priority は警告の優先度です。 |
| process_uuid | utf8 | ProcessUUID は、一意のプロセスを表す一意の ID です。 |
| incident_id | utf8 | IncidentID は、インシデント全体の ID です。これは、イベントがインシデントの一部である場合に表示されます。 |
| policy_type | utf8 | PolicyType はポリシーの種類です。 |
| strategy_name | utf8 | StrategyName は、警告を生成したストラテジーの名前です。 |
| audit_group_id | utf8 | AuditGroupID は、監査グループイベント全体の ID です。これは、イベントが監査グループイベントの一部である場合に表示されます。 |
| messages | list |
テーブル: sensor_metadata
特定のセンサーのメタデータの単一のキー/値のペアを示します。
| 名前 | データの種類 | 説明/属性 |
|---|---|---|
| sensor_id | utf8 | SensorID は、SLS の一意の識別子です。 |
| key | utf8 | |
| value | utf8 |
テーブル: sensors
センサーの情報を示します。
| 名前 | データの種類 | 説明/属性 |
|---|---|---|
| unix_nano_timestamp | int64 | UnixNanoTimestamp は、プロセスのイベントが生成されたときの UNIX タイムスタンプです。 |
| sensor_id | utf8 | SensorID は、SLS の一意の識別子です。 |
| sensor_pid | int32 | SensorPid は SLS プロセスの PID です。 |
| hostname | utf8 |
テーブル: lost_records
LostRecord メタイベントは、SLS 内の潜在的なデータ損失のインスタンスをログに記録します。
| 名前 | データの種類 | 説明/属性 |
|---|---|---|
| unix_nano_timestamp | int64 | UnixNanoTimestamp は、失われたレコードが生成されたときの UNIX タイムスタンプです。 |
| event_type | int32 | EventType は、失われたレコードのイベントの種類を示します。 |
| action_type | int32 | ActionType は、失われたレコードのイベントの種類を生成したアクションを示します。 |
| reason | utf8 | Reason は、失われたレコードイベントが生成された理由です。 |
| lost_count | int64 | LostCount は、失われたレコードの数を示します。 |
| event_type_name | utf8 | EventTypeName は、発生したイベントの種類の名前です。 |
| action_type_name | utf8 | ActionTypeName は、発生したアクションの種類の名前です。 |
| sensor_id | utf8 | SensorID は、SLS の一意の識別子です。 |
テーブル: connections
ネットワークアドレスを含む、すべてのネットワークアクティビティを示します。
| 名前 | データの種類 | 説明/属性 |
|---|---|---|
| unix_nano_timestamp | int64 | UnixNanoTimestamp は、イベントが発生したときの UNIX タイムスタンプです。 |
| process_uuid | utf8 | ProcessUUID は、一意のプロセスを表す一意の ID です。 |
| process_pid | int32 | ProcessPid は、イベントを作成したプロセス pid です。 |
| monotime_nanos | int64 | MonotimeNanos は、イベントが発生した際の単調増加時間 (ナノ秒) です。 |
| dst_addr | utf8 | DstAddr は、イベントの宛先アドレスです。 |
| dst_port | int32 | DstPort は、イベントの宛先ポートです。 |
| incident_id | utf8 | IncidentID は、インシデント全体の ID です。これは、イベントがインシデントの一部である場合に表示されます。 |
| success | bool | Success は、接続の試行が成功したかどうかを示します。 |
| audit_group_id | utf8 | AuditGroupID は、監査グループイベント全体の ID です。これは、イベントが監査グループイベントの一部である場合に表示されます。 |
テーブル: process_events
exec や fork などのプロセスのアクションを示す、プロセスのメタイベントです。
| 名前 | データの種類 | 説明/属性 |
|---|---|---|
| unix_nano_timestamp | int64 | UnixNanoTimestamp は、プロセスのイベントが生成されたときの UNIX タイムスタンプです。 |
| event_type | int32 | EventType は、プロセスのイベントの種類を表します。 Fork(0): プロセスは fork イベントによって作成されました 。Exec(1):プロセスは exec イベントによって作成されました。 Exit(2):プロセスが終了しました。 Baseline(3):プロセスのイベントは SLS の開始時に作成されました。 |
| process_uuid | utf8 | ProcessUUID は、一意のプロセスを表す一意の ID です。 |
| sensor_id | utf8 | SensorID は、SLS の一意の識別子です。 |
| pid | int32 | PID はプロセス pid です。 |
| container_id | utf8 | ContainerID は、実行中のコンテナのインスタンスの一意の識別子です。 |
| parent_process_uuid | utf8 | ParentProcessUUID は、親プロセスの一意のプロセスを表す一意の ID です。 |
| parent_pid | int32 | PID は、親プロセスのプロセス pid です。 |
| gid | int32 | GID は、タスク/スレッドに関連付けられているグループ ID です。 |
| group | utf8 | GroupName は、タスク/スレッドのグループ ID のグループ名です。 |
| uid | int32 | UID は、タスク/スレッドに関連付けられているユーザー ID です。 |
| username | utf8 | ユーザー名は、タスク/スレッドのユーザー ID のユーザー名です。 |
| euid | int32 | EUID は、タスク/スレッドの実効ユーザー ID です。 |
| effective_username | utf8 | EuidName は、タスク/スレッドのユーザー ID の実効ユーザー名です。 |
| fsuid | int32 | FsUID は、タスク/スレッドに関連付けられているファイルシステムのユーザー ID です。 |
| fs_username | utf8 | FsUsername は、タスク/スレッドの FsUID のファイルシステムのユーザー名です。 |
| fsgid | int32 | FsGid は、タスク/スレッドに関連付けられているグループ ID です。 |
| fs_group | utf8 | FsGroupName は、タスク/スレッドの FsGID のファイルシステムのユーザー名です。 |
| login_uid | int32 | LoginUID は、ログイン時に、タスク/スレッドに関連付けられているユーザーに割り当てられたユーザー ID です。 |
| login_username | utf8 | LoginUsername は、タスク/スレッドの loginuid のユーザー名です。 |
| login_gid | int32 | LoginGID は、ログイン時に、タスク/スレッドに関連付けられているユーザーに割り当てられたグループ ID です。 |
| login_group | utf8 | LoginGroup は、タスク/スレッドの loginuid のグループです。 |
| path | utf8 | Path はプロセスのパスです。 |
| arguments | list | Arguments は、プロセスの作成時に使用された引数です。 |
| incident_id | utf8 | IncidentID は、インシデント全体の ID です。これは、イベントがインシデントの一部である場合に表示されます。 |
| child_pid | int32 | ChildPID は、fork で作成された子プロセスの PID です。 |
| child_process_uuid | utf8 | ChildProcessUUID は、fork で作成された子プロセスの一意のIDです。 |
| egid | int32 | Egid は、タスク/スレッドの実効グループ ID です。 |
| effective_group | utf8 | EgidName は、タスク/スレッドのグループ ID の実効グループ名です。 |
| tid | int32 | TID は、カーネルランド内のプロセスの ID です。 |
| return_value | int32 | ReturnValue は、exec の戻り値です。 |
| event_type_name | utf8 | EventType は、発生したイベントの種類の名前です。 Fork(0): プロセスは fork イベントによって作成されました 。Exec(1):プロセスは exec イベントによって作成されました。 Exit(2):プロセスが終了しました。 Baseline(3):プロセスのイベントは SLS の開始時に作成されました。 |
| audit_group_id | int32 | AuditGroupID は、監査グループイベント全体の ID です。これは、イベントが監査グループイベントの一部である場合に表示されます。 |
テーブル: file_events
FileOperation は、特定のファイル操作を記述するメタイベントです。
| 名前 | データの種類 | 説明/属性 |
|---|---|---|
| unix_nano_timestamp | int64 | UnixNanoTimestamp は、ファイル操作イベントが生成されたときの UNIX タイムスタンプです。 |
| sensor_id | utf8 | SensorID は、SLS の一意の識別子です。 |
| process_uuid | utf8 | ProcessUUID は、一意のプロセスを表す一意の ID です。 |
| pid | int32 | PID はプロセス pid です。 |
| container_id | utf8 | ContainerID は、実行中のコンテナのインスタンスの一意の識別子です。 |
| path | utf8 | Path は、ファイル操作が行われたパスです。 |
| source_path | utf8 | SourcePath は、ファイルパスにリンクまたは移動されたソースのファイルパスです。 |
| event_type | int32 | EventType は、ファイルのイベントの種類を表します。 Create(1):ファイルが作成されました。 Link(2):ファイルがリンクされました。 Modify(3):ファイルが変更されました。 Delet(4):ファイルが削除されました。 Rename (5):ファイルの名前が変更されました。 Symlink(6):ファイルのシンボリックリンクが作成されました。 |
| incident_id | utf8 | IncidentID は、インシデント全体の ID です。これは、イベントがインシデントの一部である場合に表示されます。 |
| event_type_name | int32 | EventTypeName は、発生したイベントの種類の名前です。 Create(1):ファイルが作成されました。 Link(2):ファイルがリンクされました。 Modify(3):ファイルが変更されました。 Delet(4):ファイルが削除されました。 Rename (5):ファイルの名前が変更されました。 Symlink(6):ファイルのシンボリックリンクが作成されました。 |
| audit_group_id | int32 | AuditGroupID は、監査グループイベント全体の ID です。これは、イベントが監査グループイベントの一部である場合に表示されます。 |
テーブル: shell_commands
| 名前 | データの種類 | 説明/属性 |
|---|---|---|
| unix_nano_timestamp | int64 | UnixNanoTimestamp は、イベントの UnixNano タイムスタンプです。 |
| program_filename | utf8 | ProgramFilename は、イベントに関連付けられているプログラムのファイル名です。 |
| program_arguments | file | ProgramArguments は、プログラムの引数です。 |
| process_uuid | utf8 | ProcessUUID は、一意のプロセスを表す一意の ID です。 |
| process_pid | int32 | ProcessPid は、イベントを作成したプロセス pid です。 |
| shell_process_uuid | utf8 | ShellProcessUUID は、シェルプロセスの一意のプロセスを表す一意の ID です。 |
| shell_process_pid | int32 | ShellProcessPid は、イベントを作成したシェルのプロセス pid です。 |
| exec_event_id | utf8 | ExecEventID は、exec イベントに与えられた ID です。 |
| monotime_nanos | int64 | MonotimeNanos は、イベントが発生した際の単調増加時間 (ナノ秒) です。 |
| container_id | utf8 | ContainerID は、実行中のコンテナのインスタンスの一意の識別子です。 |
| sensor_id | utf8 | SensorID は、SLS の一意の識別子です。 |
| uid | int32 | Uid は、タスク/スレッドに関連付けられているユーザー ID です。 |
| username | utf8 | ユーザー名は、タスク/スレッドのユーザー ID のユーザー名です。 |
| gid | int32 | GID は、タスク/スレッドに関連付けられているグループ ID です。 |
| group | utf8 | Group は、タスク/スレッドのグループ ID のグループ名です。 |
| euid | int32 | EUID は、タスク/スレッドの実効ユーザー ID です。 |
| effective_username | utf8 | EffectiveUserName は、タスク/スレッドのユーザー ID の実効ユーザー名です。 |
| egid | int32 | Egid は、タスク/スレッドの実効グループ ID です。 |
| effective_group | utf8 | EffectiveGroup は、タスク/スレッドのグループ ID の実効グループ名です。 |
| suid | int32 | Suid は、タスク/スレッドに関連付けられている保存済みのユーザー ID です。 |
| saved_username | utf8 | SavedUsername は、タスク/スレッドの保存済みのユーザー ID の保存済みのユーザー名です。 |
| sgid | int32 | SGID は、タスク/スレッドの保存済みのグループ ID です。 |
| saved_group | utf8 | SavedGroupname は、タスク/スレッドの保存済みのグループ ID の保存済みのグループ名です。 |
| fsuid | int32 | Fsuid は、タスク/スレッドに関連付けられているファイルシステムのユーザー ID です。 |
| file_system_username | utf8 | FileSystemUsername は、タスク/スレッドの FsUID のファイルシステムのユーザー名です。 |
| fsgid | int32 | Fsgid は、タスク/スレッドに関連付けられているグループ ID です。 |
| file_system_group | utf8 | FileSystemGroup は、タスク/スレッドの FsGID のファイルシステムのユーザー名です。 |
| incident_id | utf8 | IncidentID は、インシデント全体の ID です。これは、イベントがインシデントの一部である場合に表示されます。 |
| audit_group_id | utf8 | AuditGroupID は、監査グループイベント全体の ID です。これは、イベントが監査グループイベントの一部である場合に表示されます。 |
テーブル: command_line_events
| 名前 | データの種類 | 説明/属性 |
|---|---|---|
| unix_nano_timestamp | int64 | UnixNanoTimestamp は、コマンドラインのイベントが生成されたときの UNIX タイムスタンプです。 |
| data | utf8 | データは、コマンドラインイベントに含まれる生データです。 |
| monotime_nanos | int64 | MonotimeNanos は、コマンドラインのイベントが発生した際の単調増加時間 (ナノ秒) です。 |
| process_uuid | utf8 | ProcessUUID は、一意のプロセスを表す一意の ID です。 |
| process_pid | int32 | ProcessPid は、イベントを作成したプロセス pid です。 |
| cli_process_uuid | utf8 | CLIProcessUUID は、CLI プロセスの一意のプロセスを表す一意の ID です。 |
| cli_process_pid | int32 | CLIProcessPid は、CLI プロセスのプロセス pid です。 |
| cli_source | utf8 | CLISource は、コマンドに関する情報の収集元です。 Process: コマンド情報は、シェルから実行されたプロセスを使用して取得されました。 READLINE: コマンド情報は readline を使用して取得されました。 |
| container_id | utf8 | ContainerID は、実行中のコンテナのインスタンスの一意の識別子です。 |
| sensor_id | utf8 | SensorID は、SLS の一意の識別子です。 |
| uid | int32 | Uid は、タスク/スレッドに関連付けられているユーザー ID です。 |
| username | utf8 | ユーザー名は、タスク/スレッドのユーザー ID のユーザー名です。 |
| gid | int32 | GID は、タスク/スレッドに関連付けられているグループ ID です。 |
| group | utf8 | Group は、タスク/スレッドのグループ ID のグループ名です。 |
| euid | int32 | EUID は、タスク/スレッドの実効ユーザー ID です。 |
| effective_username | utf8 | EffectiveUserName は、タスク/スレッドのユーザー ID の実効ユーザー名です。 |
| egid | int32 | Egid は、タスク/スレッドの実効グループ ID です。 |
| effective_group | utf8 | EffectiveGroup は、タスク/スレッドのグループ ID の実効グループ名です。 |
| suid | int32 | Suid は、タスク/スレッドに関連付けられている保存済みのユーザー ID です。 |
| saved_username | utf8 | SavedUsername は、タスク/スレッドの保存済みのユーザー ID の保存済みのユーザー名です。 |
| sgid | int32 | SGID は、タスク/スレッドの保存済みのグループ ID です。 |
| saved_group | utf8 | SavedGroupname は、タスク/スレッドの保存済みのグループ ID の保存済みのグループ名です。 |
| fsuid | int32 | Fsuid は、タスク/スレッドに関連付けられているファイルシステムのユーザー ID です。 |
| file_system_username | utf8 | FileSystemUsername は、タスク/スレッドの FsUID のファイルシステムのユーザー名です。 |
| fsgid | int32 | Fsgid は、タスク/スレッドに関連付けられているグループ ID です。 |
| file_system_group | utf8 | FileSystemGroup は、タスク/スレッドの FsGID のファイルシステムのユーザー名です。 |
| incident_id | utf8 | IncidentID は、インシデント全体の ID です。これは、コマンドラインのイベントがインシデントの一部である場合に表示されます。 |
| audit_group_id | utf8 | AuditGroupID は、監査グループイベント全体の ID です。これは、イベントが監査グループイベントの一部である場合に表示されます。 |
テーブル: container_events
Container は、すべてのコンテナイベント (create、running、exited、destroyed) を示すメタイベントです。調査に使用されます。
| 名前 | データの種類 | 説明/属性 |
|---|---|---|
| unix_nano_timestamp | int64 | UnixNanoTimestamp は、コンテナイベントが発生したときの UnixNano タイムスタンプです。 |
| container_id | utf8 | ContainerID は、実行中のコンテナのインスタンスの一意の識別子です。 |
| incident_id | utf8 | IncidentID は、インシデント全体の ID です。これは、コンテナのイベントがインシデントの一部である場合に表示されます。 |
| sensor_id | utf8 | SensorID は、SLS の一意の識別子です。 |
| process_uuid | utf8 | ProcessUUID は、一意のプロセスを表す一意の ID です。 |
| event_type | int32 | EventType は、コンテナのイベントの種類を表します。 Unknown(0): 不明なコンテナのアクションが発生しました。 Created(1): コンテナが作成されました。 Started(2): コンテナが開始されました。 Exited(3): コンテナが終了しました。 Destroyed(4): コンテナが破棄されました。 |
| container_name | utf8 | ContainerName は、コンテナに割り当てられた名前です。 |
| image_id | utf8 | ImageID は、コンテナの構築元のイメージの一意のイメージ ID です。 |
| image_name | utf8 | ImageName は、コンテナの構築元のイメージの名前です。 |
| pod_name | utf8 | PodName は Kubernetes ポッドの名前です (該当する場合)。 |
| namespace | utf8 | Namespace は、該当する場合、ポッドの Kubernetes 名前空間です。 |
| event_type_name | utf8 | EventTypeName は、発生したイベントの種類の名前です。 Unknown(0): 不明なコンテナのアクションが発生しました。 Created(1): コンテナが作成されました。 Started(2): コンテナが開始されました。 Exited(3): コンテナが終了しました。 Destroyed(4): コンテナが破棄されました。 |
| audit_group_id | utf8 | AuditGroupID は、監査グループイベント全体の ID です。これは、イベントが監査グループイベントの一部である場合に表示されます。 |