# 文件通信审计

**路径**: 日志 > 数据安全审计 > 文件通信审计

## 描述

记录并审计文件传输活动，以监控数据安全合规性并检测未经授权的通信。

## 基本信息

- **分类ID**: `data_security_audit_file_communication`
- **所属主分类**: 数据安全审计 (`data_security_audit`)
- **所属类型**: 日志

## 字段定义

本事件类型包含以下字段：

| 字段ID | 字段名称 | 数据类型 | 重要性 | 描述 |
|--------|---------|---------|--------|------|
| `machineCode` | 机器码 | `string` | REQUIRED | 机器码是日志来源设备的唯一标识符（设备ID），主要用于设备级联追踪。该字段值应保持全局唯一性，若无现成的设备ID，可参考硬件编码或基于许可证（license）信息生成。格式上，它必须为字符串，允许使用的字符包括大写字母（A-Z）、小写字母（a-z）和数字（0-9）。长度无固定限制，但应保证其唯一性和可管理性。 |
| `productVendorName` | 产品厂商名称 | `string` | REQUIRED | 产品厂商名称字段用于标识安全产品厂商的官方全称。格式为字符串，无特定字符集限制，但应使用厂商在工商注册或官方宣传中使用的标准名称，以确保一致性和准确性。 |
| `deviceSendProductName` | 设备产品名称 | `string` | REQUIRED | 设备产品名称用于标识生成日志的软件或硬件产品的官方标准名称。格式为字符串，需使用明确、规范的官方产品名称。 |
| `deviceName` | 设备名称 | `string` | REQUIRED | 设备名称，用于标识日志生成设备的名称，可添加资产属性（如总部、下级等）。 |
| `deviceAssetSubTypeId` | 设备子类型ID | `enum` | REQUIRED | 设备子类型ID是设备类型子分类的唯一数字标识符，用于标识具体的设备子类型。该字段为枚举类型，取值应在系统定义的枚举值范围内。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `1` | Windows | Microsoft Windows操作系统 |
| `2` | Nix | 类Unix操作系统，包括Linux和BSD变种 |
| `3` | 路由器 | 网络路由设备，用于在网络之间转发数据包 |
| `4` | 交换机 | 网络交换设备，用于在局域网内连接设备并转发数据帧 |
| `5` | VPN | 虚拟专用网络设备，提供安全的远程访问和站点到站点连接 |
| `6` | 负载均衡 | 负载均衡设备，用于分发网络流量以提高性能和可靠性 |
| `7` | 防火墙 | 网络安全设备，用于控制进出网络的流量基于安全规则 |
| `8` | 网闸 | 网络隔离设备，用于在安全级别不同的网络之间进行安全数据交换 |
| `9` | 入侵检测系统(IDS) | 入侵检测系统，用于监控网络或系统活动以检测恶意行为 |
| `10` | 入侵防护系统(IPS) | 入侵防护系统，在检测到威胁时主动阻止恶意流量 |
| `11` | 统一威胁管理(UTM) | 统一威胁管理设备，集成多种安全功能如防火墙、防病毒和入侵防护 |
| `12` | 下一代防火墙 | 下一代防火墙，提供应用层检测、深度包检查和高级威胁防护 |
| `13` | Web应用防火墙(WAF) | Web应用防火墙，专门保护Web应用程序免受SQL注入、XSS等攻击 |
| `14` | 流量监测设备 | 网络流量监测设备，用于实时分析和监控网络流量模式 |
| `15` | 网页防篡改 | 网页防篡改系统，保护网站内容不被未经授权修改 |
| `16` | 抗DDoS系统 | 抗分布式拒绝服务攻击系统，缓解DDoS攻击以保护服务可用性 |
| `17` | 防病毒系统 | 防病毒系统，检测和清除恶意软件、病毒和木马 |
| `18` | 防间谍系统 | 防间谍软件系统，防止间谍软件窃取敏感信息和监控用户活动 |
| `19` | 防泄密系统 | 数据防泄密系统，监控和防止敏感数据通过各类渠道泄露 |
| `20` | 邮件审计系统 | 邮件审计系统，监控和审计电子邮件内容以符合安全策略和合规要求 |
| `21` | 身份管理系统 | 身份和访问管理系统，管理用户身份认证、授权和权限 |
| `22` | 流量清洗系统 | 流量清洗系统，过滤恶意流量以保护网络资源和业务连续性 |
| `23` | 数据库审计系统 | 数据库审计系统，监控和记录数据库访问、操作和权限变更 |
| `24` | Web审计系统 | Web审计系统，审计Web应用程序的访问、操作和安全事件 |
| `25` | 运维审计系统 | 运维审计系统，监控和记录系统运维操作，防止越权访问 |
| `26` | 上网行为审计系统 | 上网行为审计系统，监控和审计员工网络使用行为以符合安全策略 |
| `27` | 统一审计网关 | 统一审计网关，集中收集、规范化和分析各类审计日志 |
| `28` | 日志审计系统 | 日志审计系统，收集、存储、分析和告警系统安全日志 |
| `29` | 安全管理系统 | 安全管理系统，集成安全管理功能如策略管理、风险管理和事件响应 |
| `30` | 蜜罐系统 | 蜜罐系统，诱骗攻击者以收集攻击信息和分析攻击手法 |
| `31` | 应用扫描器 | 应用程序漏洞扫描器，检测Web应用和移动应用的安全漏洞 |
| `32` | 网络扫描器 | 网络漏洞扫描器，扫描网络设备、服务和端口以发现安全漏洞 |
| `33` | 主机扫描器 | 主机漏洞扫描器，扫描操作系统和应用程序漏洞及配置问题 |
| `34` | WEB服务器 | Web服务器软件，如IIS、Apache、Nginx等，托管网站和应用 |
| `35` | 数据库服务器 | 数据库服务器软件，如MySQL、Oracle、SQL Server等，存储和管理数据 |
| `36` | 邮件服务器 | 邮件服务器软件，如Exchange、Postfix等，处理电子邮件收发 |
| `37` | 存储服务器 | 存储服务器，提供数据存储、备份和共享服务 |
| `38` | FTP服务器 | FTP服务器，提供文件传输协议服务，支持文件上传下载 |
| `39` | 应用服务器 | 应用服务器，运行企业应用程序和业务逻辑，如Java EE、.NET应用 |
| `43` | Windows审计代理 | Windows系统审计代理，收集Windows事件日志和系统活动 |
| `44` | Nix审计代理 | 类Unix系统审计代理，收集Linux/Unix系统日志和审计数据 |
| `45` | WMI审计代理 | Windows管理规范审计代理，通过WMI收集系统信息和事件 |
| `51` | 采集器 | 日志采集器，从各种数据源收集和转发日志数据 |
| `52` | 通信服务器 | 通信服务器，处理网络通信、消息传递和协议转换 |
| `53` | 关联引擎 | 安全事件关联引擎，分析日志数据以检测复杂安全事件 |
| `55` | 其他 | 其他未分类的设备类型 |
| `56` | 主机安全管理系统(EDR) | 端点检测与响应系统，监控主机活动、检测威胁并响应安全事件 |
| `57` | 虚拟化设备 | 虚拟化平台设备，如VMware ESXi、Hyper-V等，运行虚拟机 |
| `58` | 网络打印机 | 网络连接的打印机设备，支持网络打印功能 |
| `59` | APT | 高级持久威胁检测系统，针对APT攻击进行监测和防护 |
| `60` | DNS服务器 | 域名系统服务器，提供域名解析服务和DNS安全防护 |
| `61` | API风险监测系统 | API风险监测系统，监控API接口的安全风险和使用异常 |
| `62` | API安全网关 | API安全网关，保护API接口免受攻击，提供认证、授权和限流 |
| `63` | 脆弱性扫描系统 | 脆弱性扫描系统，全面扫描系统、网络和应用漏洞 |
| `65` | UES | 统一端点安全系统，集成终端防护、检测和响应功能 |

| `deviceAddress` | 设备IP地址 | `string` | REQUIRED | 设备产生日志时的IP地址，用于标识日志来源设备。格式要求：必须为有效的IPv4或IPv6地址格式。 |
| `eventId` | 事件ID | `string` | REQUIRED | 事件ID是日志事件的全局唯一标识符，通常采用UUID或时间戳序列等不可重复算法生成。格式应为标准的UUID字符串，例如：550e8400-e29b-41d4-a716-446655440000。要求全局唯一，不可重复。 |
| `name` | 概要名称 | `string` | REQUIRED | 概要名称是日志或告警的简要标题或标识，用于快速识别事件内容。该字段为字符串类型，需保持简洁明了。 |
| `message` | 描述 | `string` | OPTIONAL | 用于记录日志或告警的详细描述信息，以文本字符串形式存储。内容通常包含对安全事件、系统活动或异常情况的说明、上下文及关键参数。 |
| `startTime` | 开始时间 | `string` | REQUIRED | 该字段记录事件活动开始的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。 |
| `endTime` | 结束时间 | `string` | REQUIRED | 记录事件活动结束的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。 |
| `deviceReceiptTime` | 设备接收时间 | `string` | REQUIRED | 该字段记录设备采集器本地接收并生成日志事件的精确时间。时间格式必须为标准的日期时间字符串，格式为yyyy-mm-dd HH:mm:ss。 |
| `collectorReceiptTime` | 采集器接收时间 | `string` | REQUIRED | 采集器接收日志事件的精确时间，时间格式必须为标准的日期时间字符串，格式要求为yyyy-mm-dd HH:mm:ss。 |
| `severity` | 安全威胁等级 | `integer` | RECOMMENDED | 标识日志或告警的安全威胁严重程度等级。该字段为整型数值，取值范围为0至10，每个数值对应特定的威胁级别：0表示无风险，1-3表示低危，4-6表示中危，7-9表示高危，10表示危急。 |
| `catOutcome` | 结果分类 | `enum` | RECOMMENDED | 该字段用于标识事件操作或攻击的最终结果状态。其值为预定义的枚举类型，当前主要可选值包括：OK（表示操作成功）、FAIL（表示操作失败）、Attempt（表示尝试性操作）。取值应严格限定在系统定义的枚举值范围内。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `OK` | 成功 | 可以合理的推测事件已成功 |
| `FAIL` | 失败 | 可以合理的推测事件已失败 |
| `Attempt` | 尝试 | 事件已发生，但是无法明确成功或失败 |

| `logType` | 日志类型 | `enum` | RECOMMENDED | 该字段标识日志事件的功能或对象实体分类。其值为预定义的枚举字符串，例如：alert（告警类日志）、traffic（网络通信类日志）、process（进程操作类日志）、command（命令执行类日志）、file（文件操作类日志）等。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `alert` | 告警类日志 | 安全告警事件日志，包含威胁检测、异常行为和安全风险告警 |
| `traffic` | 网络通信类日志 | 网络流量和通信会话日志，记录网络连接、数据传输和协议通信 |
| `process` | 进程操作类日志 | 进程生命周期管理日志，记录进程创建、终止、注入等操作 |
| `command` | 命令执行类日志 | 命令行和脚本执行日志，记录系统命令、PowerShell和Shell命令执行 |
| `file` | 文件操作类日志 | 文件系统操作日志，记录文件创建、修改、删除、访问等操作 |
| `account` | 账号操作类日志 | 用户账户管理日志，记录用户登录、注销、权限变更和账户管理操作 |
| `config` | 配置操作类日志 | 系统配置变更日志，记录安全策略、系统设置和配置修改操作 |
| `status` | 系统状态类日志 | 系统运行状态日志，记录系统启动、关机、重启和运行状态变更 |
| `system_operation` | 系统操作类日志 | 系统级管理操作日志，记录系统维护、管理和控制操作 |
| `system_resource` | 系统资源类日志 | 系统资源使用日志，记录CPU、内存、磁盘和网络资源使用情况 |
| `domain` | 域名操作类日志 | 域名解析和查询日志，记录DNS查询、域名解析和网络定位操作 |
| `registry` | 注册表操作类日志 | Windows注册表操作日志，记录注册表键值创建、修改和删除操作 |
| `app` | 应用程序类日志 | 应用程序运行日志，记录应用程序启动、运行、错误和业务操作 |
| `service` | 服务操作类日志 | 系统服务管理日志，记录Windows/Linux服务的创建、启动、停止和配置变更 |
| `task` | 任务操作类日志 | 计划任务和作业日志，记录定时任务创建、执行、修改和删除操作 |
| `thread` | 线程操作类日志 | 线程管理日志，记录线程创建、终止、挂起和优先级变更操作 |
| `module` | 模块操作类日志 | 程序模块管理日志，记录DLL、SO等模块的加载、卸载和内存映射 |
| `driver` | 驱动操作类日志 | 设备驱动程序日志，记录内核驱动加载、卸载和运行状态 |
| `pipe` | 管道操作类日志 | 进程间通信日志，记录命名管道创建、连接、数据传输操作 |
| `wmi` | WMI操作类日志 | Windows管理规范操作日志，记录WMI查询、事件订阅和代码执行 |
| `winrm` | WinRM操作类日志 | Windows远程管理日志，记录远程PowerShell命令执行和系统管理操作 |
| `others` | 其他类型日志 | 未分类的其他日志类型，包含无法归入上述分类的日志事件 |

| `opType` | 操作类型 | `enum` | RECOMMENDED | 操作类型，标识事件中对目标对象执行的具体操作行为。本字段为枚举类型，其值必须为预定义的操作类型字符串，例如：read（读取）、write（写入）、create（创建）、delete（删除）、modify（修改）等。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `read` | 读取 | 读取数据操作，包括文件读取、注册表查询、内存读取等 |
| `write` | 写入 | 写入数据操作，包括文件写入、注册表修改、配置变更等 |
| `create` | 创建 | 创建新对象操作，包括文件创建、进程创建、用户账户创建等 |
| `delete` | 删除 | 删除对象操作，包括文件删除、注册表项删除、用户账户删除等 |
| `modify` | 修改 | 修改对象属性操作，包括文件属性修改、权限变更、配置调整等 |
| `login` | 登录 | 身份认证成功操作，包括系统登录、应用登录、远程访问登录等 |
| `logout` | 登出 | 会话终止操作，包括用户登出、会话超时、强制注销等 |
| `execute` | 执行 | 程序执行操作，包括进程启动、命令执行、脚本运行等 |
| `start` | 启动 | 服务启动操作，包括系统服务启动、计划任务触发、守护进程启动等 |
| `stop` | 停止 | 服务停止操作，包括系统服务停止、进程终止、任务结束等 |
| `access` | 访问 | 资源访问操作，包括进程访问、内存访问、共享资源访问等 |
| `connect` | 连接 | 网络连接操作，包括网络连接建立、会话创建、远程连接等 |
| `load` | 加载 | 模块加载操作，包括驱动加载、DLL加载、插件加载等 |
| `send` | 发送 | 数据发送操作，包括网络数据发送、邮件发送、消息发送等 |
| `receive` | 接收 | 数据接收操作，包括网络数据接收、邮件接收、消息接收等 |
| `combine` | 组合操作 | 复合操作类型，表示多个操作的组合执行 |
| `others` | 其他操作 | 未分类的其他操作类型 |
| `query` | 查询 | 数据查询操作，包括数据库查询、目录查询、信息检索等 |
| `rename` | 重命名 | 对象重命名操作，包括文件重命名、账户重命名、服务重命名等 |
| `listen` | 监听 | 网络监听操作，包括端口监听、会话监听、事件监听等 |
| `setValue` | 设置键值 | 键值设置操作，包括注册表键值设置、配置参数设置、环境变量设置等 |
| `addedGroup` | 添加至组 | 组成员添加操作，包括用户添加到组、计算机加入域等 |
| `removedGroup` | 组中移除 | 组成员移除操作，包括用户从组中移除、计算机脱离域等 |
| `changePassword` | 修改密码 | 密码修改操作，包括用户密码修改、服务账户密码变更等 |
| `resetPassword` | 重置密码 | 密码重置操作，包括管理员重置用户密码、密码恢复等 |
| `disable` | 禁用 | 对象禁用操作，包括用户账户禁用、服务禁用、策略禁用等 |
| `enable` | 启用 | 对象启用操作，包括用户账户启用、服务启用、策略启用等 |
| `lock` | 锁定 | 对象锁定操作，包括用户账户锁定、会话锁定、资源锁定等 |
| `unlock` | 解锁 | 对象解锁操作，包括用户账户解锁、会话解锁、资源解锁等 |

| `eventCount` | 事件数量 | `long` | RECOMMENDED | 事件数量字段用于统计相同类型或相关事件的发生次数。通常为非负整数。 |
| `dataSourceAddress` | 数据来源地址 | `string` | RECOMMENDED | 数据来源地址，指提供数据的设备网络地址。该字段必须是合法的IP地址格式，支持IPv4和IPv6地址。IPv4地址为点分十进制格式（如192.168.1.5），IPv6地址为冒号分隔的十六进制格式。 |
| `XFF` | XFF头 | `string` | OPTIONAL | XFF头字段用于识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址。 |
| `srcPort` | 源端口 | `integer` | RECOMMENDED | 源端口是指网络连接发起方的端口号，用于标识发起通信的应用程序或服务。端口号必须是整数，取值范围为0到65535，其中0通常保留，1到1023为知名端口，1024到49151为注册端口，49152到65535为动态或私有端口。 |
| `destPort` | 目的端口 | `integer` | RECOMMENDED | 目的端口是网络连接接收方的端口号，用于标识接收方应用程序或服务。该字段为整数类型，取值范围为0-65535，其中0-1023为知名端口，1024-49151为注册端口，49152-65535为动态或私有端口。 |
| `srcMacAddress` | 源MAC地址 | `string` | OPTIONAL | 源MAC地址表示网络数据帧发送方的媒体访问控制地址。格式要求：必须为标准MAC地址格式，即6组由冒号分隔的十六进制字节（xx:xx:xx:xx:xx:xx），每组两个字符，取值范围为00-FF。 |
| `destMacAddress` | 目的MAC地址 | `string` | OPTIONAL | 目的MAC地址表示网络数据帧接收方的媒体访问控制地址。格式要求：必须为标准MAC地址格式，即6组由冒号分隔的十六进制字节（xx:xx:xx:xx:xx:xx），每组两个字符，取值范围为00-FF。 |
| `srcGeoCountry` | 来源国家 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的国家或地区信息。 |
| `srcGeoRegion` | 来源地区 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的省级行政区域名称，用于标识流量的地理来源。其值应为中国省级行政区划的名称，例如“北京市”、“浙江省”、“新疆维吾尔自治区”等，或国际公认的国家及地区名称。格式为字符串，无固定长度限制，建议使用标准、完整的官方名称以确保一致性和准确性。 |
| `srcGeoCity` | 来源城市 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的城市级别行政区域名称。其值为字符串类型，该信息通常由IP地址归属地查询服务提供，无特定的格式或字符集强制要求，但建议保持名称的一致性。 |
| `srcGeoAddress` | 来源详细地址 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的详细地址描述，用于定位来源的具体物理或行政位置。其值为字符串类型，通常包含国家、省份、城市、区县、街道及门牌号等层级信息。 |
| `srcGeoLatitude` | 来源纬度 | `string` | OPTIONAL | 该字段表示网络连接发起方IP地址所对应的地理纬度坐标，以字符串格式存储。纬度坐标应遵循十进制表示法，取值范围为-90.000000到90.000000，其中北纬为正，南纬为负。 |
| `srcGeoLongitude` | 来源经度 | `string` | OPTIONAL | 来源经度表示网络连接发起方IP地址所对应的地理经度坐标。格式为十进制浮点数字符串，取值范围为-180.000000到180.000000，保留小数点后六位，使用点号（.）作为小数点分隔符，负值表示西经，正值表示东经。 |
| `destGeoCountry` | 目的国家 | `string` | OPTIONAL | 目的国家，指网络连接接收方IP地址所对应的国家名称。该字段值为国家或地区的完整中文名称，例如“中国”、“美国”等。 |
| `destGeoRegion` | 目的地区 | `string` | OPTIONAL | 该字段表示网络连接接收方IP地址所对应的中国省级行政区域名称，用于标识网络流量的地理目的地。其值应为中国省级行政区划的规范名称，例如“浙江省”、“北京市”或“新疆维吾尔自治区”等，不包含“省”、“市”、“自治区”等后缀的简称（如“浙江”、“北京”、“新疆”）也可接受。该字段为字符串类型，无特定字符集或长度限制，但应确保名称的准确性和一致性。 |
| `destGeoCity` | 目的城市 | `string` | OPTIONAL | 目的城市是指网络连接接收方IP地址所对应的城市级别行政区域名称。该字段为字符串类型，需使用标准城市名称。 |
| `destGeoAddress` | 目的详细地址 | `string` | OPTIONAL | 目的详细地址，描述网络连接接收方IP地址所对应的详细地址信息。格式为字符串，应包含国家、省/州、城市、街道等层级的详细信息，以构成一个完整的物理位置描述。 |
| `destGeoLatitude` | 目的纬度 | `string` | OPTIONAL | 目的纬度表示网络连接接收方IP地址所对应的地理纬度坐标。该值为字符串类型，通常以十进制小数形式表示，取值范围为-90.000000到90.000000。 |
| `destGeoLongitude` | 目的经度 | `string` | OPTIONAL | 目的经度是指网络连接接收方IP地址所对应的地理经度坐标。格式为十进制小数形式的字符串，取值范围为-180.000000至180.000000。 |
| `srcAddress` | 来源IP | `string` | RECOMMENDED | 来源IP地址，指网络连接或安全事件的发起方所使用的IP地址。该字段必须符合IP地址格式规范，支持IPv4和IPv6地址。IPv4地址为点分十进制格式（如：192.168.1.1），IPv6地址为冒号分隔的十六进制格式（如：2001:0db8:85a3:0000:0000:8a2e:0370:7334）。 |
| `destAddress` | 目的IP | `string` | RECOMMENDED | 目的IP地址，标识网络通信连接的目标IP地址。格式要求：必须符合IP地址格式规范，支持IPv4（如192.168.1.1）或IPv6（如2001:0db8:85a3:0000:0000:8a2e:0370:7334）地址表示法。 |
| `direction` | 数据流方向 | `enum` | RECOMMENDED | 基于源和目标IP地址的网络位置分类数据流方向。该字段为枚举类型，表示数据流在内外网之间的流向，具体取值及含义如下：11 表示外网访问外网；10 表示外网访问内网；01 表示内网访问外网；00 表示内网访问内网。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `11` | 外访问外 | 来源IP为外部IP，目的IP为外部IP，数据方向：外访问外 |
| `10` | 外访问内 | 来源IP为外部IP，目的IP为内部IP，数据方向：外访问内 |
| `01` | 内访问外 | 来源IP为内部IP，目的IP为外部IP，数据方向：内访问外 |
| `00` | 内访问内 | 来源IP为内部IP，目的IP为内部IP，数据方向：内访问内 |

| `transProtocol` | 传输协议 | `enum` | OPTIONAL | 传输层协议类型，表示OSI模型中传输层使用的协议。可选值包括：TCP（传输控制协议）、UDP（用户数据报协议）等标准传输层协议。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `TCP` | 传输控制协议 | 面向连接的可靠传输协议，提供数据包顺序传输、错误检测和重传机制 |
| `UDP` | 用户数据报协议 | 无连接的不可靠传输协议，提供低延迟的数据传输，适用于实时应用 |

| `appProtocol` | 应用协议 | `enum` | RECOMMENDED | 应用协议字段表示OSI模型中应用层使用的协议类型。该字段为枚举类型，取值范围应在预定义的协议标识符列表中。 |

**枚举值详情：**

| 枚举值 | 名称 | 描述 |
|--------|------|------|
| `http` | http | http |
| `https` | https | https |
| `dns` | dns | dns |
| `ssh` | ssh | ssh |
| `telnet` | telnet | telnet |
| `telnets` | telnets | telnets |
| `rsync` | rsync | rsync |
| `tftp` | tftp | tftp |
| `ftp` | ftp | ftp |
| `sftp` | sftp | sftp |
| `smb` | smb | smb |
| `ntp` | ntp | ntp |
| `mysql` | mysql | mysql |
| `ms-sql-s` | ms-sql-s | ms-sql-s |
| `ms-sql-m` | ms-sql-m | ms-sql-m |
| `oracle` | oracle | oracle |
| `nfs` | nfs | nfs |
| `pop2` | pop2 | pop2 |
| `pop3` | pop3 | pop3 |
| `pop3s` | pop3s | pop3s |
| `smtp` | smtp | smtp |
| `imap` | imap | imap |
| `imaps` | imaps | imaps |
| `chargen` | chargen | chargen |
| `qotd` | qotd | qotd |
| `x11` | x11 | x11 |
| `uucp` | uucp | uucp |
| `rcp` | rcp | rcp |
| `postgres` | postgres | postgres |
| `bootps` | bootps | bootps |
| `bootpc` | bootpc | bootpc |
| `squid` | squid | squid |
| `ftps` | ftps | ftps |
| `ircs` | ircs | ircs |
| `echo` | echo | echo |
| `sunrpc` | sunrpc | sunrpc |
| `auth` | auth | auth |
| `tacacs` | tacacs | tacacs |
| `nntp` | nntp | nntp |
| `radius` | radius | radius |
| `netbios-ns` | netbios-ns | netbios-ns |
| `netbios-dgm` | netbios-dgm | netbios-dgm |
| `netbios-ssn` | netbios-ssn | netbios-ssn |
| `wins` | wins | wins |
| `snmp` | snmp | snmp |
| `snmptrap` | snmptrap | snmptrap |
| `bgp` | bgp | bgp |
| `irc` | irc | irc |
| `ldap` | ldap | ldap |
| `ldaps` | ldaps | ldaps |
| `timbuktu` | timbuktu | timbuktu |
| `nnsp` | nnsp | nnsp |
| `daytime` | daytime | daytime |
| `ircd` | ircd | ircd |
| `isakmp` | isakmp | isakmp |
| `printer` | printer | printer |
| `dhcpv6-client` | dhcpv6-client | dhcpv6-client |
| `dhcpv6-server` | dhcpv6-server | dhcpv6-server |
| `rtsp` | rtsp | rtsp |
| `nntps` | nntps | nntps |
| `discard` | discard | discard |
| `ipx` | ipx | ipx |
| `finger` | finger | finger |
| `rdp` | rdp | rdp |

| `fileSize` | 文件大小 | `long` | OPTIONAL | 文件内容的字节大小，表示文件的存储空间占用情况，单位是字节。 |
| `md5` | 文件MD5 | `string` | RECOMMENDED | 文件MD5值，表示使用MD5算法计算的文件内容哈希值。该值必须为32位十六进制字符串，不区分大小写，用于唯一标识文件内容。 |
| `fileName` | 文件名称 | `string` | RECOMMENDED | 文件的基本名称，不包含路径信息。格式要求：字符串类型，长度不超过255个字符，支持常见操作系统允许的文件名字符集（如字母、数字、下划线、点、连字符等），应避免使用系统保留字符和路径分隔符。 |
| `destHostName` | 目标主机名 | `string` | OPTIONAL | 目标主机名（目标标识）指网络连接或安全事件中目标设备的网络标识，它可以是 DNS 主机名（含 FQDN）、NetBIOS 名称、本地主机名或 IP 地址；若访问时包含非标准端口，则通常应在标识后附加 :端口号（如 192.168.1.1:8080 或 host.example.com:8443）。 |
| `requestMethod` | 请求方法 | `string` | OPTIONAL | 网络请求客户端向服务器发送请求时使用的HTTP请求方法类型，如GET、POST、PUT、DELETE等标准方法。该字段值必须统一使用大写英文字母表示 |
| `httpVersion` | HTTP协议版本 | `string` | OPTIONAL | 该字段标识HTTP网络请求中使用的协议版本。格式为字符串，必须符合HTTP协议版本的标准表示格式，例如"HTTP/1.0"、"HTTP/1.1"或"HTTP/2"。 |
| `requestUrlQuery` | 请求URI | `string` | OPTIONAL | 该字段表示HTTP请求URL中从根路径符“/”开始到查询字符串末尾的部分，即包括路径和查询参数。格式要求：必须为有效的URI路径及查询字符串，以“/”开头，可以包含字母、数字、连字符、下划线、点号以及查询参数（以“?”开头，参数间以“&”分隔）。 |
| `requestUrl` | 请求URL | `string` | OPTIONAL | 该字段表示HTTP请求URL中从根路径'/'开始到查询字符串'?'之前的部分，用于标识请求的资源路径。其值必须是一个合法的URL路径字符串，通常以'/'开头，不应包含协议、域名、端口或查询参数（即'?'及之后的内容）。字符串内容应符合URL路径的通用规范，可以包含字母、数字以及特定的安全字符（如-._~!$&'()*+,;=:@%）。 |
| `userAgent` | 用户代理 | `string` | OPTIONAL | 用户代理字符串，用于标识发起请求的客户端（用户代理）的匿名化信息，通常包含客户端的操作系统、浏览器类型、版本、设备类型等。格式需符合HTTP标准的User-Agent字符串。 |
| `responseCode` | 响应码 | `string` | OPTIONAL | 响应码是网络请求后服务器返回的状态码，用于表示请求的处理结果。 |
| `srcUserName` | 源用户名 | `string` | RECOMMENDED | 源用户名指发起网络连接、系统访问或安全事件的主体用户身份名称。 |
| `destUserName` | 目标用户名 | `string` | OPTIONAL | 该字段表示网络连接、系统访问或安全事件的目标主体用户身份名称。其值为字符串类型，具体内容应为操作系统或应用程序中定义的有效用户名。 |
| `shareName` | 共享名称 | `string` | OPTIONAL | 共享资源的名称，用于标识可通过网络访问的共享资源（例如文件共享、打印机）。该字段为字符串类型，其格式通常遵循Windows网络共享的通用命名约定（UNC）。 |
| `smbServerVersion` | SMB服务器版本 | `string` | OPTIONAL | 服务器消息块(SMB)协议版本标识，用于识别远程SMB服务器的具体协议版本。 |
| `httpReferer` | 请求Referer | `string` | OPTIONAL | HTTP请求的来源页面URL，即浏览器在发送当前请求时所来自的页面的完整地址。格式必须符合URL规范，通常以协议（如http://或https://）开头，包含域名和可选的路径、查询参数等组成部分。 |
| `requestBody` | HTTP请求体 | `string` | OPTIONAL | HTTP网络请求客户端向服务器发送请求时传递的数据内容，通常包含请求参数、表单数据或JSON体。 |
| `requestHeader` | 请求头 | `string` | OPTIONAL | 请求头是HTTP网络请求中客户端向服务器发送请求时用于传递附加信息、客户端特性及身份验证等元数据的部分，其内容应为符合HTTP协议规范的字符串。 |
| `requestOs` | 请求操作系统 | `string` | OPTIONAL | 标识网络请求中客户端使用的操作系统类型和版本信息。字段值为字符串类型，应包含操作系统名称及版本号，如“Windows 10”、“Mac OS X 10.13”、“Android 12”等。 |
| `requestParameters` | 请求参数 | `string` | OPTIONAL | 请求参数是网络请求中携带的参数内容，用于传递客户端向服务器发送的具体数据。参数内容通常为字符串格式，可以是查询字符串、表单数据、JSON对象或其他序列化形式，具体格式取决于请求类型（如GET、POST等）和内容类型（Content-Type）。 |
| `responseContentType` | 响应内容类型 | `string` | OPTIONAL | 响应内容类型标识网络请求响应头中的内容类型，用于描述返回数据的媒体类型格式和字符编码。格式应符合HTTP标准的内容类型规范，通常由主类型和子类型组成，可选参数包括字符编码等，例如"application/json; charset=utf-8"。取值应为有效的MIME类型字符串。 |
| `responseHeader` | 响应头 | `string` | OPTIONAL | 响应头字段包含HTTP网络请求中服务器返回给客户端的元数据和服务器信息，用于描述响应内容（如内容类型、长度等）和服务器状态。该字段为字符串类型，其内容需符合HTTP协议标准规范。 |
| `responseOs` | 响应操作系统 | `string` | OPTIONAL | 该字段标识服务器在响应中透露的操作系统类型和版本信息。通常包含操作系统名称（如Linux、Windows）及其版本号（如Ubuntu 20.04、Windows Server 2019）。 |
| `responseBody` | 响应体 | `string` | OPTIONAL | 该字段表示HTTP网络请求响应客户端接收到的响应内容。格式为字符串，内容通常为文本、JSON、XML或HTML等。 |
| `smbClientVersion` | SMB客户端版本 | `string` | OPTIONAL | 该字段表示客户端使用的SMB协议版本标识。其值为字符串类型，通常由客户端在建立SMB会话时协商或声明，用于标识其支持的SMB协议版本。 |
| `transMode` | 传输模式 | `string` | OPTIONAL | 数据传输采用的协议模式，通常用于指定文件传输或数据交换的协议格式。本字段为字符串类型，常见取值为表示特定传输模式的标识符，例如 "netascii"（网络ASCII模式）、"octet"（二进制八位字节模式）或 "mail"（邮件模式）。 |
| `deviceVersion` | 设备版本 | `string` | OPTIONAL | 设备版本标识设备固件、操作系统或嵌入式软件的完整版本信息。版本号通常采用多段数字格式，如主版本号.次版本号.修订号.构建号等。 |

### 字段统计

- **总字段数**: 67
- **必填字段**: 12
- **推荐字段**: 15
- **可选字段**: 40

### 数据类型分布

- **string**: 55 个字段
- **integer**: 3 个字段
- **long**: 2 个字段
- **enum**: 7 个字段