Clave
|
Valor
|
Uso
|
source
|
Dominio (nombre del pod) del origen de eventos (Source name).
|
En todos los eventos
|
src
|
Una de las siguientes direcciones IP en una red IPv4 (Source IP):
- para el tráfico de red: la dirección IP del origen de la conexión
- para los eventos de administración: la dirección IP del iniciador de la acción
|
En todos los eventos
|
reason
|
Descripción del motivo del estado Error.
|
En todos los eventos que tengan el estado Error, salvo PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
fname
|
Nombre de la imagen o artefacto (Artifact name)
|
CI-ХХХ , SJ-ХХХ , ADM-ХХХ , CVE-ХХХ , MLW-ХХХ , SD-ХХХ , MS-ХХХ , CMP-001 , PLC-ХХХ , NCMP-001
|
suser
|
Nombre del usuario que inició la acción (Username)
|
En todos los eventos, salvo PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
dpid
|
Identificador del proceso (inglés: Process Identifier, PID)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
spid
|
Identificador del proceso principal (inglés: Parent Process Identifier, PPID)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
flexString1
|
Identificador del grupo vigente (inglés: Effective Group Identifier, EGID)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
flexString2
|
ID del contenedor (Container ID)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
outcome
|
Modo o estado de la ejecución (Status). El valor se define de la siguiente manera:
- Para los eventos en el tiempo de ejecución (
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX ), se especifica el modo de ejecución Audit, Enforce o Other.
- Para los demás eventos, se especifica el estado de ejecución Success o Error. Si el estado es Error, la solución también envía el código o texto de error (
reason ). |
En todos los eventos
|
request
|
Nombre de la imagen (Image name)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
fileHash
|
Hash de la imagen (Image digest)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
act
|
Uno de los siguientes tipos de operaciones (operación):
- para operaciones en archivos: tipo de operación (
open , close , read , write , create , delete , chmod , chown , rename )
- para el tráfico de red: dirección y tipo de tráfico (
egress , ingress , egress_response , ingress_response )
- para procesos: valor
exec
- para operaciones de Protección frente a amenazas en archivos: valor
ftp |
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
spt
|
Puerto de origen
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
dst
|
Dirección IP del destinatario en la red IPv4 (IP del destino)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
dpt
|
Puerto de destino
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
dproc
|
Nombre del proceso (inglés: Process name)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
duid
|
Identificador del usuario vigente (inglés: Effective User Identifier, EUID)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
filePermission
|
Permisos de acceso al archivo (mode_t mode )
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
oldFilePath
|
Ruta de archivo utilizada anteriormente (Old File Path)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
filePath
|
Ruta al archivo (Path)
En el caso de eventos que implican el acceso a objetos en el sistema de archivos de un contenedor, se usa filePath para pasar información sobre la nueva ruta al archivo (New File Path).
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
deviceDirection
|
Tipo de la conexión (Traffic type)
0 para conexiones de entrada y 1 para conexiones de salida
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
cn1
|
Nuevo identificador de proceso (New PID)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
cs1
|
Nombre del clúster (Cluster Name)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
cs2
|
Nombre del nodo (Node Name)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
cs3
|
Nombre del espacio de nombres
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
cs4
|
Comando ejecutado (inglés: Command)
En el caso de eventos que implican el acceso a objetos en el sistema de archivos de un contenedor, se usa cs4 para pasar información sobre el nuevo propietario del archivo (NewOwner).
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
cs5
|
Nombre del pod (Pode Name).
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
cs6
|
Nombre del contenedor (Container Name)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|
cs7
|
IP del nodo (Node IP)
|
PM-ХХХ , FM-ХХХ , NT-ХХХ , FPM-XXX , FNT-XXX , FFM-XXX , FFTP-XXX
|