{
"$id": "https://github.com/DataDog/datadog-agent/tree/main/pkg/security/serializers",
"$defs": {
"AWSIMDSEvent": {
"properties": {
"is_imds_v2": {
"type": "boolean",
"description": "is_imds_v2 は、IMDS イベントが IMDSv1 か IMDSv2 のどちらの仕様に従っているかを示します"
},
"security_credentials": {
"$ref": "#/$defs/AWSSecurityCredentials",
"description": "SecurityCredentials には、セキュリティ認証情報から収集したマスク済みデータが格納されます"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"is_imds_v2"
],
"description": "AWSIMDSEventSerializer は、AWS IMDS イベントを JSON にシリアライズします"
},
"AWSSecurityCredentials": {
"properties": {
"code": {
"type": "string",
"description": "code は、IMDS サーバーの応答コードです"
},
"type": {
"type": "string",
"description": "type は、セキュリティ認証情報の種類です"
},
"access_key_id": {
"type": "string",
"description": "access_key_id は、認証情報の一意なアクセス キー ID です"
},
"last_updated": {
"type": "string",
"description": "last_updated は、認証情報が最後に更新された日時です"
},
"expiration": {
"type": "string",
"description": "expiration は、認証情報の有効期限です"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"code",
"type",
"access_key_id",
"last_updated",
"expiration"
],
"description": "AWSSecurityCredentialsSerializer は、AWS IMDS リクエストから取得したセキュリティ認証情報をシリアライズします"
},
"AcceptEvent": {
"properties": {
"addr": {
"$ref": "#/$defs/IPPortFamily",
"description": "バインドされたアドレス (存在する場合)"
},
"hostnames": {
"items": {
"type": "string"
},
"type": "array"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"addr",
"hostnames"
],
"description": "AcceptEventSerializer は、バインド イベントを JSON にシリアライズします"
},
"AgentContext": {
"properties": {
"rule_id": {
"type": "string"
},
"rule_version": {
"type": "string"
},
"rule_actions": {
"items": true,
"type": "array"
},
"policy_name": {
"type": "string"
},
"policy_version": {
"type": "string"
},
"version": {
"type": "string"
},
"os": {
"type": "string"
},
"arch": {
"type": "string"
},
"origin": {
"type": "string"
},
"kernel_version": {
"type": "string"
},
"distribution": {
"type": "string"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"rule_id"
]
},
"BPFEvent": {
"properties": {
"cmd": {
"type": "string",
"description": "BPF コマンド"
},
"map": {
"$ref": "#/$defs/BPFMap",
"description": "BPF マップ"
},
"program": {
"$ref": "#/$defs/BPFProgram",
"description": "BPF プログラム"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"cmd"
],
"description": "BPFEventSerializer は、BPF イベントを JSON にシリアライズします"
},
"BPFMap": {
"properties": {
"name": {
"type": "string",
"description": "BPF マップの名前"
},
"map_type": {
"type": "string",
"description": "BPF マップのタイプ"
}
},
"additionalProperties": false,
"type": "object",
"description": "BPFMapSerializer は、BPF マップを JSON にシリアライズします"
},
"BPFProgram": {
"properties": {
"name": {
"type": "string",
"description": "BPF プログラムの名前"
},
"tag": {
"type": "string",
"description": "BPF プログラムのハッシュ (sha1)"
},
"program_type": {
"type": "string",
"description": "BPF プログラムのタイプ"
},
"attach_type": {
"type": "string",
"description": "BPF プログラムのアタッチ タイプ"
},
"helpers": {
"items": {
"type": "string"
},
"type": "array",
"description": "BPF プログラムで使用されるヘルパーの一覧"
}
},
"additionalProperties": false,
"type": "object",
"description": "BPFProgramSerializer は、BPF マップを JSON にシリアライズします"
},
"BindEvent": {
"properties": {
"addr": {
"$ref": "#/$defs/IPPortFamily",
"description": "バインドされたアドレス (存在する場合)"
},
"protocol": {
"type": "string"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"addr",
"protocol"
],
"description": "BindEventSerializer は、バインド イベントを JSON にシリアライズします"
},
"CGroupContext": {
"properties": {
"id": {
"type": "string",
"description": "CGroup の ID"
},
"manager": {
"type": "string",
"description": "CGroup マネージャー"
}
},
"additionalProperties": false,
"type": "object",
"description": "CGroupContextSerializer は、cgroup コンテキストを JSON にシリアライズします"
},
"ConnectEvent": {
"properties": {
"addr": {
"$ref": "#/$defs/IPPortFamily"
},
"hostnames": {
"items": {
"type": "string"
},
"type": "array"
},
"protocol": {
"type": "string"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"addr",
"hostnames",
"protocol"
],
"description": "ConnectEventSerializer は、接続イベントを JSON にシリアライズします"
},
"ContainerContext": {
"properties": {
"id": {
"type": "string",
"description": "コンテナ ID"
},
"created_at": {
"type": "string",
"format": "date-time",
"description": "コンテナの作成時刻"
},
"variables": {
"$ref": "#/$defs/Variables",
"description": "Variables の値"
}
},
"additionalProperties": false,
"type": "object",
"description": "ContainerContextSerializer は、コンテナ コンテキストを JSON にシリアライズします"
},
"DDContext": {
"properties": {
"span_id": {
"type": "string",
"description": "APM 相関に使用する Span ID"
},
"trace_id": {
"type": "string",
"description": "APM 相関に使用する Trace ID"
}
},
"additionalProperties": false,
"type": "object",
"description": "DDContextSerializer は、スパン コンテキストを JSON にシリアライズします"
},
"DNSEvent": {
"properties": {
"id": {
"type": "integer",
"description": "id は DNS リクエストの一意な識別子です"
},
"question": {
"$ref": "#/$defs/DNSQuestion",
"description": "question は DNS リクエストの DNS 質問です"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"id",
"question"
],
"description": "DNSEventSerializer は、DNS イベントを JSON にシリアライズします"
},
"DNSQuestion": {
"properties": {
"class": {
"type": "string",
"description": "class は DNS 質問で参照されるクラスです"
},
"type": {
"type": "string",
"description": "type は DNS 質問タイプを指定する 2 オクテットのコードです"
},
"name": {
"type": "string",
"description": "name は問い合わせ対象のドメイン名です"
},
"size": {
"type": "integer",
"description": "size は DNS リクエストの合計サイズ (バイト) です"
},
"count": {
"type": "integer",
"description": "count は DNS リクエストに含まれる質問数の合計です"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"class",
"type",
"name",
"size",
"count"
],
"description": "DNSQuestionSerializer は、DNS 質問を JSON にシリアライズします"
},
"EventContext": {
"properties": {
"name": {
"type": "string",
"description": "イベント名"
},
"category": {
"type": "string",
"description": "イベント カテゴリ"
},
"outcome": {
"type": "string",
"description": "イベントの結果"
},
"async": {
"type": "boolean",
"description": "イベントが非同期の場合は true"
},
"matched_rules": {
"items": {
"$ref": "#/$defs/MatchedRule"
},
"type": "array",
"description": "イベントが一致したルールの一覧 (異常検知のコンテキストでのみ有効)"
},
"variables": {
"$ref": "#/$defs/Variables",
"description": "Variables の値"
},
"rule_context": {
"$ref": "#/$defs/RuleContext",
"description": "RuleContext のルール コンテキスト"
}
},
"additionalProperties": false,
"type": "object",
"description": "EventContextSerializer は、イベント コンテキストを JSON にシリアライズします"
},
"ExitEvent": {
"properties": {
"cause": {
"type": "string",
"description": "プロセス終了の原因 (EXITED, SIGNALED, COREDUMPED のいずれか)"
},
"code": {
"type": "integer",
"description": "プロセスの終了コード、またはプロセスを終了させたシグナル番号"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"cause",
"code"
],
"description": "ExitEventSerializer は、終了イベントを JSON にシリアライズします"
},
"File": {
"properties": {
"path": {
"type": "string",
"description": "ファイル パス"
},
"name": {
"type": "string",
"description": "ファイルのベース名"
},
"path_resolution_error": {
"type": "string",
"description": "パス解決のエラー メッセージ"
},
"inode": {
"type": "integer",
"description": "ファイルの inode 番号"
},
"mode": {
"type": "integer",
"description": "ファイル モード"
},
"in_upper_layer": {
"type": "boolean",
"description": "ファイルが OverlayFS レイヤー上にあることを示すフラグ"
},
"mount_id": {
"type": "integer",
"description": "ファイルのマウント ID"
},
"filesystem": {
"type": "string",
"description": "ファイル システム名"
},
"uid": {
"type": "integer",
"description": "ファイルのユーザー ID"
},
"gid": {
"type": "integer",
"description": "ファイルのグループ ID"
},
"user": {
"type": "string",
"description": "ファイルのユーザー"
},
"group": {
"type": "string",
"description": "ファイルのグループ"
},
"attribute_name": {
"type": "string",
"description": "ファイルの拡張属性名"
},
"attribute_namespace": {
"type": "string",
"description": "ファイルの拡張属性の名前空間"
},
"flags": {
"items": {
"type": "string"
},
"type": "array",
"description": "ファイル フラグ"
},
"access_time": {
"type": "string",
"format": "date-time",
"description": "ファイルのアクセス時刻"
},
"modification_time": {
"type": "string",
"format": "date-time",
"description": "ファイル内容の更新時刻"
},
"change_time": {
"type": "string",
"format": "date-time",
"description": "ファイルメタデータの変更時刻"
},
"package_name": {
"type": "string",
"description": "システム パッケージ名"
},
"package_version": {
"type": "string",
"description": "システム パッケージのバージョン"
},
"hashes": {
"items": {
"type": "string"
},
"type": "array",
"description": "ファイルの暗号学的ハッシュの一覧"
},
"hash_state": {
"type": "string",
"description": "ハッシュの状態、または計算できなかった理由"
},
"mount_path": {
"type": "string",
"description": "マウントの MountPath (パス)"
},
"mount_source": {
"type": "string",
"description": "マウントの MountSource (ソース)"
},
"mount_origin": {
"type": "string",
"description": "マウントの MountOrigin (起点)"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"uid",
"gid"
],
"description": "FileSerializer は、ファイルを JSON にシリアライズします"
},
"FileEvent": {
"properties": {
"path": {
"type": "string",
"description": "ファイル パス"
},
"name": {
"type": "string",
"description": "ファイルのベース名"
},
"path_resolution_error": {
"type": "string",
"description": "パス解決のエラー メッセージ"
},
"inode": {
"type": "integer",
"description": "ファイルの inode 番号"
},
"mode": {
"type": "integer",
"description": "ファイル モード"
},
"in_upper_layer": {
"type": "boolean",
"description": "ファイルが OverlayFS レイヤー上にあることを示すフラグ"
},
"mount_id": {
"type": "integer",
"description": "ファイルのマウント ID"
},
"filesystem": {
"type": "string",
"description": "ファイル システム名"
},
"uid": {
"type": "integer",
"description": "ファイルのユーザー ID"
},
"gid": {
"type": "integer",
"description": "ファイルのグループ ID"
},
"user": {
"type": "string",
"description": "ファイルのユーザー"
},
"group": {
"type": "string",
"description": "ファイルのグループ"
},
"attribute_name": {
"type": "string",
"description": "ファイルの拡張属性名"
},
"attribute_namespace": {
"type": "string",
"description": "ファイルの拡張属性の名前空間"
},
"flags": {
"items": {
"type": "string"
},
"type": "array",
"description": "ファイル フラグ"
},
"access_time": {
"type": "string",
"format": "date-time",
"description": "ファイルのアクセス時刻"
},
"modification_time": {
"type": "string",
"format": "date-time",
"description": "ファイル内容の更新時刻"
},
"change_time": {
"type": "string",
"format": "date-time",
"description": "ファイルメタデータの変更時刻"
},
"package_name": {
"type": "string",
"description": "システム パッケージ名"
},
"package_version": {
"type": "string",
"description": "システム パッケージのバージョン"
},
"hashes": {
"items": {
"type": "string"
},
"type": "array",
"description": "ファイルの暗号学的ハッシュの一覧"
},
"hash_state": {
"type": "string",
"description": "ハッシュの状態、または計算できなかった理由"
},
"mount_path": {
"type": "string",
"description": "マウントの MountPath (パス)"
},
"mount_source": {
"type": "string",
"description": "マウントの MountSource (ソース)"
},
"mount_origin": {
"type": "string",
"description": "マウントの MountOrigin (起点)"
},
"destination": {
"$ref": "#/$defs/File",
"description": "対象ファイルの情報"
},
"new_mount_id": {
"type": "integer",
"description": "新しいマウント ID"
},
"device": {
"type": "integer",
"description": "ファイルに関連付けられたデバイス"
},
"fstype": {
"type": "string",
"description": "ファイル システムの種類"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"uid",
"gid"
],
"description": "FileEventSerializer は、ファイル イベントを JSON にシリアライズします"
},
"Flow": {
"properties": {
"l3_protocol": {
"type": "string",
"description": "l3_protocol はレイヤー 3 のプロトコル名です"
},
"l4_protocol": {
"type": "string",
"description": "l4_protocol はレイヤー 4 のプロトコル名です"
},
"source": {
"$ref": "#/$defs/IPPort",
"description": "source はネットワーク イベントの送信元です"
},
"destination": {
"$ref": "#/$defs/IPPort",
"description": "destination はネットワーク イベントの宛先です"
},
"ingress": {
"$ref": "#/$defs/NetworkStats",
"description": "ingress は、ingress トラフィックのネットワーク統計を保持します"
},
"egress": {
"$ref": "#/$defs/NetworkStats",
"description": "egress は、egress トラフィックのネットワーク統計を保持します"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"l3_protocol",
"l4_protocol",
"source",
"destination"
],
"description": "FlowSerializer は、新しいフロー シリアライザを定義します"
},
"IMDSEvent": {
"properties": {
"type": {
"type": "string",
"description": "type は IMDS イベントの種類です"
},
"cloud_provider": {
"type": "string",
"description": "cloud_provider は、この IMDS イベントが想定するクラウド プロバイダです"
},
"url": {
"type": "string",
"description": "url は IMDS リクエストの URL です"
},
"host": {
"type": "string",
"description": "host は HTTP プロトコルのホスト名です"
},
"user_agent": {
"type": "string",
"description": "user_agent は HTTP クライアントのユーザー エージェントです"
},
"server": {
"type": "string",
"description": "server はレスポンスの Server ヘッダーです"
},
"aws": {
"$ref": "#/$defs/AWSIMDSEvent",
"description": "AWS には、IMDS イベントから解析した AWS 固有のデータが格納されます"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"type",
"cloud_provider"
],
"description": "IMDSEventSerializer は、IMDS イベントを JSON にシリアライズします"
},
"IPPort": {
"properties": {
"ip": {
"type": "string",
"description": "IP アドレス"
},
"port": {
"type": "integer",
"description": "ポート番号"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"ip",
"port"
],
"description": "IPPortSerializer は、IP とポートのコンテキストを JSON にシリアライズするために使用します"
},
"IPPortFamily": {
"properties": {
"family": {
"type": "string",
"description": "アドレス ファミリ"
},
"ip": {
"type": "string",
"description": "IP アドレス"
},
"port": {
"type": "integer",
"description": "ポート番号"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"family",
"ip",
"port"
],
"description": "IPPortFamilySerializer は、IP、ポート、アドレス ファミリのコンテキストを JSON にシリアライズするために使用します"
},
"MMapEvent": {
"properties": {
"address": {
"type": "string",
"description": "メモリ セグメントのアドレス"
},
"offset": {
"type": "integer",
"description": "ファイル オフセット"
},
"length": {
"type": "integer",
"description": "メモリ セグメントの長さ"
},
"protection": {
"type": "string",
"description": "メモリ セグメントの保護設定"
},
"flags": {
"type": "string",
"description": "メモリ セグメントのフラグ"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"address",
"offset",
"length",
"protection",
"flags"
],
"description": "MMapEventSerializer は、mmap イベントを JSON にシリアライズします"
},
"MProtectEvent": {
"properties": {
"vm_start": {
"type": "string",
"description": "メモリ セグメントの開始アドレス"
},
"vm_end": {
"type": "string",
"description": "メモリ セグメントの終了アドレス"
},
"vm_protection": {
"type": "string",
"description": "初期のメモリ セグメントの保護設定"
},
"req_protection": {
"type": "string",
"description": "変更後のメモリ セグメントの保護設定"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"vm_start",
"vm_end",
"vm_protection",
"req_protection"
],
"description": "MProtectEventSerializer は、mmap イベントを JSON にシリアライズします"
},
"MatchedRule": {
"properties": {
"id": {
"type": "string",
"description": "ルールの ID"
},
"version": {
"type": "string",
"description": "ルールのバージョン"
},
"tags": {
"items": {
"type": "string"
},
"type": "array",
"description": "ルールに付与されたタグ"
},
"policy_name": {
"type": "string",
"description": "そのルールを導入したポリシー名"
},
"policy_version": {
"type": "string",
"description": "そのルールを導入したポリシーのバージョン"
}
},
"additionalProperties": false,
"type": "object",
"description": "MatchedRuleSerializer は、ルールをシリアライズします"
},
"MatchingSubExpr": {
"properties": {
"offset": {
"type": "integer"
},
"length": {
"type": "integer"
},
"value": {
"type": "string"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"offset",
"length",
"value"
],
"description": "MatchingSubExpr は、一致した部分式を JSON にシリアライズします"
},
"ModuleEvent": {
"properties": {
"name": {
"type": "string",
"description": "モジュール名"
},
"loaded_from_memory": {
"type": "boolean",
"description": "モジュールがファイルではなくメモリから読み込まれたかどうかを示します"
},
"argv": {
"items": {
"type": "string"
},
"type": "array"
},
"args_truncated": {
"type": "boolean"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"name"
],
"description": "ModuleEventSerializer は、モジュール イベントを JSON にシリアライズします"
},
"MountEvent": {
"properties": {
"mp": {
"$ref": "#/$defs/File",
"description": "マウント ポイントのファイル情報"
},
"root": {
"$ref": "#/$defs/File",
"description": "ルートのファイル情報"
},
"mount_id": {
"type": "integer",
"description": "新しいマウントのマウント ID"
},
"parent_mount_id": {
"type": "integer",
"description": "親マウントのマウント ID"
},
"bind_src_mount_id": {
"type": "integer",
"description": "バインド マウント元のマウント ID"
},
"device": {
"type": "integer",
"description": "ファイルに関連付けられたデバイス"
},
"fs_type": {
"type": "string",
"description": "ファイル システムの種類"
},
"mountpoint.path": {
"type": "string",
"description": "マウント ポイントのパス"
},
"source.path": {
"type": "string",
"description": "マウント元のパス"
},
"mountpoint.path_error": {
"type": "string",
"description": "マウント ポイントのパス エラー"
},
"source.path_error": {
"type": "string",
"description": "マウント元のパス エラー"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"mount_id",
"parent_mount_id",
"bind_src_mount_id",
"device"
],
"description": "MountEventSerializer は、マウント イベントを JSON にシリアライズします"
},
"NetworkContext": {
"properties": {
"device": {
"$ref": "#/$defs/NetworkDevice",
"description": "device は、イベントをキャプチャしたネットワーク デバイスです"
},
"l3_protocol": {
"type": "string",
"description": "l3_protocol はレイヤー 3 のプロトコル名です"
},
"l4_protocol": {
"type": "string",
"description": "l4_protocol はレイヤー 4 のプロトコル名です"
},
"source": {
"$ref": "#/$defs/IPPort",
"description": "source はネットワーク イベントの送信元です"
},
"destination": {
"$ref": "#/$defs/IPPort",
"description": "destination はネットワーク イベントの受信先です"
},
"size": {
"type": "integer",
"description": "size はネットワーク イベントのサイズをバイト単位で表します"
},
"network_direction": {
"type": "string",
"description": "network_direction は、パケットが ingress と egress のどちらでキャプチャされたかを示します"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"l3_protocol",
"l4_protocol",
"source",
"destination",
"size",
"network_direction"
],
"description": "NetworkContextSerializer は、ネットワーク コンテキストを JSON にシリアライズします"
},
"NetworkDevice": {
"properties": {
"netns": {
"type": "integer",
"description": "netns はインターフェイスの ifindex です"
},
"ifindex": {
"type": "integer",
"description": "ifindex はネットワーク インターフェイスの ifindex です"
},
"ifname": {
"type": "string",
"description": "ifname はネットワーク インターフェイス名です"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"netns",
"ifindex",
"ifname"
],
"description": "NetworkDeviceSerializer は、ネットワーク デバイス コンテキストを JSON にシリアライズします"
},
"NetworkFlowMonitor": {
"properties": {
"device": {
"$ref": "#/$defs/NetworkDevice",
"description": "device は、イベントをキャプチャしたネットワーク デバイスです"
},
"flows": {
"items": {
"$ref": "#/$defs/Flow"
},
"type": "array",
"description": "flows は、キャプチャされたネットワーク統計を含むフローの一覧です"
}
},
"additionalProperties": false,
"type": "object",
"description": "NetworkFlowMonitorSerializer は、ネットワーク モニタ イベント シリアライザを定義します"
},
"NetworkStats": {
"properties": {
"data_size": {
"type": "integer",
"description": "data_size は送受信したバイト数の合計です"
},
"packet_count": {
"type": "integer",
"description": "packet_count は送受信したパケット数の合計です"
}
},
"additionalProperties": false,
"type": "object",
"description": "NetworkStatsSerializer は、新しいネットワーク統計用シリアライザを定義します"
},
"PTraceEvent": {
"properties": {
"request": {
"type": "string",
"description": "ptrace リクエスト"
},
"address": {
"type": "string",
"description": "ptrace リクエストが実行されたアドレス"
},
"tracee": {
"$ref": "#/$defs/ProcessContext",
"description": "トレース対象プロセスのコンテキスト"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"request",
"address"
],
"description": "PTraceEventSerializer は、mmap イベントを JSON にシリアライズします"
},
"Process": {
"properties": {
"pid": {
"type": "integer",
"description": "プロセス ID"
},
"ppid": {
"type": "integer",
"description": "親プロセス ID"
},
"tid": {
"type": "integer",
"description": "スレッド ID"
},
"uid": {
"type": "integer",
"description": "ユーザー ID"
},
"gid": {
"type": "integer",
"description": "グループ ID"
},
"user": {
"type": "string",
"description": "ユーザー名"
},
"group": {
"type": "string",
"description": "グループ名"
},
"path_resolution_error": {
"type": "string",
"description": "パス解決で発生したエラーの説明"
},
"comm": {
"type": "string",
"description": "コマンド名"
},
"tty": {
"type": "string",
"description": "プロセスに関連付けられた TTY"
},
"fork_time": {
"type": "string",
"format": "date-time",
"description": "プロセスの fork 時刻"
},
"exec_time": {
"type": "string",
"format": "date-time",
"description": "プロセスの exec 時刻"
},
"exit_time": {
"type": "string",
"format": "date-time",
"description": "プロセスの終了時刻"
},
"credentials": {
"$ref": "#/$defs/ProcessCredentials",
"description": "プロセスに紐付く認証情報"
},
"user_session": {
"$ref": "#/$defs/UserSessionContext",
"description": "このイベントにおけるユーザー セッションのコンテキスト"
},
"executable": {
"$ref": "#/$defs/File",
"description": "実行ファイルの情報"
},
"interpreter": {
"$ref": "#/$defs/File",
"description": "インタープリタの情報"
},
"container": {
"$ref": "#/$defs/ContainerContext",
"description": "コンテナ コンテキスト"
},
"argv0": {
"type": "string",
"description": "最初のコマンド ライン引数"
},
"args": {
"items": {
"type": "string"
},
"type": "array",
"description": "コマンド ライン引数"
},
"args_truncated": {
"type": "boolean",
"description": "引数が切り詰められたかどうかを示すフラグ"
},
"envs": {
"items": {
"type": "string"
},
"type": "array",
"description": "プロセスの環境変数"
},
"envs_truncated": {
"type": "boolean",
"description": "環境変数が切り詰められたかどうかを示すフラグ"
},
"is_thread": {
"type": "boolean",
"description": "プロセスがスレッドと見なされるかどうかを示します (つまり、別のプログラムを exec していない子プロセス)"
},
"is_kworker": {
"type": "boolean",
"description": "プロセスが kworker かどうかを示します"
},
"is_exec_child": {
"type": "boolean",
"description": "プロセスが別の exec の直後に行われた exec かどうかを示します"
},
"source": {
"type": "string",
"description": "プロセスの発生元"
},
"syscalls": {
"$ref": "#/$defs/SyscallsEvent",
"description": "イベント生成のためにキャプチャしたシステム コールの一覧"
},
"aws_security_credentials": {
"items": {
"$ref": "#/$defs/AWSSecurityCredentials"
},
"type": "array",
"description": "プロセスがアクセスできた AWS Security Credentials の一覧"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"uid",
"gid"
],
"description": "ProcessSerializer は、プロセスを JSON にシリアライズします"
},
"ProcessContext": {
"properties": {
"pid": {
"type": "integer",
"description": "プロセス ID"
},
"ppid": {
"type": "integer",
"description": "親プロセス ID"
},
"tid": {
"type": "integer",
"description": "スレッド ID"
},
"uid": {
"type": "integer",
"description": "ユーザー ID"
},
"gid": {
"type": "integer",
"description": "グループ ID"
},
"user": {
"type": "string",
"description": "ユーザー名"
},
"group": {
"type": "string",
"description": "グループ名"
},
"path_resolution_error": {
"type": "string",
"description": "パス解決で発生したエラーの説明"
},
"comm": {
"type": "string",
"description": "コマンド名"
},
"tty": {
"type": "string",
"description": "プロセスに関連付けられた TTY"
},
"fork_time": {
"type": "string",
"format": "date-time",
"description": "プロセスの fork 時刻"
},
"exec_time": {
"type": "string",
"format": "date-time",
"description": "プロセスの exec 時刻"
},
"exit_time": {
"type": "string",
"format": "date-time",
"description": "プロセスの終了時刻"
},
"credentials": {
"$ref": "#/$defs/ProcessCredentials",
"description": "プロセスに紐付く認証情報"
},
"user_session": {
"$ref": "#/$defs/UserSessionContext",
"description": "このイベントにおけるユーザー セッションのコンテキスト"
},
"executable": {
"$ref": "#/$defs/File",
"description": "実行ファイルの情報"
},
"interpreter": {
"$ref": "#/$defs/File",
"description": "インタープリタの情報"
},
"container": {
"$ref": "#/$defs/ContainerContext",
"description": "コンテナ コンテキスト"
},
"argv0": {
"type": "string",
"description": "最初のコマンド ライン引数"
},
"args": {
"items": {
"type": "string"
},
"type": "array",
"description": "コマンド ライン引数"
},
"args_truncated": {
"type": "boolean",
"description": "引数が切り詰められたかどうかを示すフラグ"
},
"envs": {
"items": {
"type": "string"
},
"type": "array",
"description": "プロセスの環境変数"
},
"envs_truncated": {
"type": "boolean",
"description": "環境変数が切り詰められたかどうかを示すフラグ"
},
"is_thread": {
"type": "boolean",
"description": "プロセスがスレッドと見なされるかどうかを示します (つまり、別のプログラムを exec していない子プロセス)"
},
"is_kworker": {
"type": "boolean",
"description": "プロセスが kworker かどうかを示します"
},
"is_exec_child": {
"type": "boolean",
"description": "プロセスが別の exec の直後に行われた exec かどうかを示します"
},
"source": {
"type": "string",
"description": "プロセスの発生元"
},
"syscalls": {
"$ref": "#/$defs/SyscallsEvent",
"description": "イベント生成のためにキャプチャしたシステム コールの一覧"
},
"aws_security_credentials": {
"items": {
"$ref": "#/$defs/AWSSecurityCredentials"
},
"type": "array",
"description": "プロセスがアクセスできた AWS Security Credentials の一覧"
},
"parent": {
"$ref": "#/$defs/Process",
"description": "親プロセス"
},
"ancestors": {
"items": {
"$ref": "#/$defs/Process"
},
"type": "array",
"description": "祖先プロセスの一覧"
},
"variables": {
"$ref": "#/$defs/Variables",
"description": "Variables の値"
},
"truncated_ancestors": {
"type": "boolean",
"description": "祖先リストが大きすぎて切り詰められた場合は true"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"uid",
"gid"
],
"description": "ProcessContextSerializer は、プロセス コンテキストを JSON にシリアライズします"
},
"ProcessCredentials": {
"properties": {
"uid": {
"type": "integer",
"description": "ユーザー ID"
},
"user": {
"type": "string",
"description": "ユーザー名"
},
"gid": {
"type": "integer",
"description": "グループ ID"
},
"group": {
"type": "string",
"description": "グループ名"
},
"euid": {
"type": "integer",
"description": "実効ユーザー ID"
},
"euser": {
"type": "string",
"description": "実効ユーザー名"
},
"egid": {
"type": "integer",
"description": "実効グループ ID"
},
"egroup": {
"type": "string",
"description": "実効グループ名"
},
"fsuid": {
"type": "integer",
"description": "ファイル システム ユーザー ID"
},
"fsuser": {
"type": "string",
"description": "ファイル システム ユーザー名"
},
"fsgid": {
"type": "integer",
"description": "ファイル システム グループ ID"
},
"fsgroup": {
"type": "string",
"description": "ファイル システム グループ名"
},
"auid": {
"type": "integer",
"description": "ログイン UID"
},
"cap_effective": {
"items": {
"type": "string"
},
"type": "array",
"description": "実効 Capability セット"
},
"cap_permitted": {
"items": {
"type": "string"
},
"type": "array",
"description": "許可された Capability セット"
},
"destination": {
"description": "操作後の認証情報"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"uid",
"gid",
"euid",
"egid",
"fsuid",
"fsgid",
"auid",
"cap_effective",
"cap_permitted"
],
"description": "ProcessCredentialsSerializer は、プロセスの認証情報を JSON にシリアライズします"
},
"RawPacket": {
"properties": {
"device": {
"$ref": "#/$defs/NetworkDevice",
"description": "device は、イベントをキャプチャしたネットワーク デバイスです"
},
"l3_protocol": {
"type": "string",
"description": "l3_protocol はレイヤー 3 のプロトコル名です"
},
"l4_protocol": {
"type": "string",
"description": "l4_protocol はレイヤー 4 のプロトコル名です"
},
"source": {
"$ref": "#/$defs/IPPort",
"description": "source はネットワーク イベントの送信元です"
},
"destination": {
"$ref": "#/$defs/IPPort",
"description": "destination はネットワーク イベントの受信先です"
},
"size": {
"type": "integer",
"description": "size はネットワーク イベントのサイズをバイト単位で表します"
},
"network_direction": {
"type": "string",
"description": "network_direction は、パケットが ingress と egress のどちらでキャプチャされたかを示します"
},
"tls": {
"$ref": "#/$defs/TLSContext"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"l3_protocol",
"l4_protocol",
"source",
"destination",
"size",
"network_direction"
],
"description": "RawPacketSerializer は、raw パケット シリアライザを定義します"
},
"RuleContext": {
"properties": {
"matching_subexprs": {
"items": {
"$ref": "#/$defs/MatchingSubExpr"
},
"type": "array"
},
"expression": {
"type": "string"
}
},
"additionalProperties": false,
"type": "object",
"description": "RuleContext は、ルール コンテキストを JSON にシリアライズします"
},
"SELinuxBoolChange": {
"properties": {
"name": {
"type": "string",
"description": "SELinux ブール値の名前"
},
"state": {
"type": "string",
"description": "SELinux ブール値の状態 ('on' または 'off')"
}
},
"additionalProperties": false,
"type": "object",
"description": "SELinuxBoolChangeSerializer は、SELinux ブール値の変更を JSON にシリアライズします"
},
"SELinuxBoolCommit": {
"properties": {
"state": {
"type": "boolean",
"description": "SELinux ブール値のコミット操作"
}
},
"additionalProperties": false,
"type": "object",
"description": "SELinuxBoolCommitSerializer は、SELinux ブール値のコミットを JSON にシリアライズします"
},
"SELinuxEnforceStatus": {
"properties": {
"status": {
"type": "string",
"description": "SELinux の強制モード ステータス ('enforcing', 'permissive', 'disabled' のいずれか)"
}
},
"additionalProperties": false,
"type": "object",
"description": "SELinuxEnforceStatusSerializer は、SELinux の強制モード ステータスの変更を JSON にシリアライズします"
},
"SELinuxEvent": {
"properties": {
"bool": {
"$ref": "#/$defs/SELinuxBoolChange",
"description": "SELinux ブール値の操作"
},
"enforce": {
"$ref": "#/$defs/SELinuxEnforceStatus",
"description": "SELinux の強制モード変更"
},
"bool_commit": {
"$ref": "#/$defs/SELinuxBoolCommit",
"description": "SELinux ブール値のコミット"
}
},
"additionalProperties": false,
"type": "object",
"description": "SELinuxEventSerializer は、SELinux コンテキストを JSON にシリアライズします"
},
"SecurityProfileContext": {
"properties": {
"name": {
"type": "string",
"description": "セキュリティ プロファイル名"
},
"version": {
"type": "string",
"description": "使用中のプロファイルのバージョン"
},
"tags": {
"items": {
"type": "string"
},
"type": "array",
"description": "このプロファイルに関連付けられたタグの一覧"
},
"event_in_profile": {
"type": "boolean",
"description": "該当イベントがこのプロファイルに含まれる場合は true"
},
"event_type_state": {
"type": "string",
"description": "このプロファイルにおけるイベント タイプの状態"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"name",
"version",
"tags",
"event_in_profile",
"event_type_state"
],
"description": "SecurityProfileContextSerializer は、イベント内のセキュリティ プロファイル コンテキストを JSON にシリアライズします"
},
"SignalEvent": {
"properties": {
"type": {
"type": "string",
"description": "シグナル タイプ"
},
"pid": {
"type": "integer",
"description": "シグナルの対象 pid"
},
"target": {
"$ref": "#/$defs/ProcessContext",
"description": "シグナル対象のプロセス コンテキスト"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"type",
"pid"
],
"description": "SignalEventSerializer は、シグナル イベントを JSON にシリアライズします"
},
"SpliceEvent": {
"properties": {
"pipe_entry_flag": {
"type": "string",
"description": "splice システム コールに渡された fd_out パイプのエントリ フラグ"
},
"pipe_exit_flag": {
"type": "string",
"description": "splice システム コールに渡された fd_out パイプのエグジット フラグ"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"pipe_entry_flag",
"pipe_exit_flag"
],
"description": "SpliceEventSerializer は、splice イベントを JSON にシリアライズします"
},
"SysCtlEvent": {
"properties": {
"proc": {
"type": "object",
"description": "Proc には /proc のシステム制御パラメータとその値が含まれます"
},
"action": {
"type": "string",
"description": "システム制御パラメータに対する操作"
},
"file_position": {
"type": "integer",
"description": "file_position は、sysctl 制御パラメータ ファイル内で操作が行われた位置です"
},
"name": {
"type": "string",
"description": "name は、システム制御パラメータ名です"
},
"name_truncated": {
"type": "boolean",
"description": "name_truncated は、name フィールドが切り詰められているかどうかを示します"
},
"value": {
"type": "string",
"description": "value は、アクション タイプによって、新しい値または現在値 (あるいはその両方) を示します"
},
"value_truncated": {
"type": "boolean",
"description": "value_truncated は、value フィールドが切り詰められているかどうかを示します"
},
"old_value": {
"type": "string",
"description": "old_value は、システム制御パラメータの旧値です"
},
"old_value_truncated": {
"type": "boolean",
"description": "old_value_truncated は、old_value フィールドが切り詰められているかどうかを示します"
}
},
"additionalProperties": false,
"type": "object",
"description": "SysCtlEventSerializer は、sysctl イベント シリアライザを定義します"
},
"Syscall": {
"properties": {
"name": {
"type": "string",
"description": "システム コール名"
},
"id": {
"type": "integer",
"description": "ホスト アーキテクチャにおけるシステム コール ID"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"name",
"id"
],
"description": "SyscallSerializer は、システム コールをシリアライズします"
},
"SyscallArgs": {
"properties": {
"path": {
"type": "string",
"description": "パス引数"
},
"flags": {
"type": "integer",
"description": "フラグ引数"
},
"mode": {
"type": "integer",
"description": "モード引数"
},
"uid": {
"type": "integer",
"description": "UID 引数"
},
"gid": {
"type": "integer",
"description": "GID 引数"
},
"dirfd": {
"type": "integer",
"description": "ディレクトリのファイル ディスクリプタ引数"
},
"destination_path": {
"type": "string",
"description": "宛先パス引数"
},
"fs_type": {
"type": "string",
"description": "ファイル システム タイプ引数"
}
},
"additionalProperties": false,
"type": "object",
"description": "SyscallArgsSerializer は、引数 (args) のシリアライザです"
},
"SyscallContext": {
"properties": {
"chmod": {
"$ref": "#/$defs/SyscallArgs"
},
"chown": {
"$ref": "#/$defs/SyscallArgs"
},
"chdir": {
"$ref": "#/$defs/SyscallArgs"
},
"exec": {
"$ref": "#/$defs/SyscallArgs"
},
"open": {
"$ref": "#/$defs/SyscallArgs"
},
"unlink": {
"$ref": "#/$defs/SyscallArgs"
},
"link": {
"$ref": "#/$defs/SyscallArgs"
},
"rename": {
"$ref": "#/$defs/SyscallArgs"
},
"utimes": {
"$ref": "#/$defs/SyscallArgs"
},
"mount": {
"$ref": "#/$defs/SyscallArgs"
},
"mkdir": {
"$ref": "#/$defs/SyscallArgs"
},
"rmdir": {
"$ref": "#/$defs/SyscallArgs"
}
},
"additionalProperties": false,
"type": "object",
"description": "SyscallContextSerializer は、syscall コンテキストをシリアライズします"
},
"SyscallsEvent": {
"items": {
"$ref": "#/$defs/Syscall"
},
"type": "array",
"description": "SyscallsEventSerializer は、syscalls イベントのシステム コールをシリアライズします"
},
"TLSContext": {
"properties": {
"version": {
"type": "string"
}
},
"additionalProperties": false,
"type": "object",
"description": "TLSContextSerializer は、TLS コンテキスト シリアライザを定義します"
},
"UserContext": {
"properties": {
"id": {
"type": "string",
"description": "ユーザー名"
},
"group": {
"type": "string",
"description": "グループ名"
}
},
"additionalProperties": false,
"type": "object",
"description": "UserContextSerializer は、ユーザー コンテキストを JSON にシリアライズします"
},
"UserSessionContext": {
"properties": {
"id": {
"type": "string",
"description": "ホスト上のユーザー セッションを一意に識別する ID"
},
"session_type": {
"type": "string",
"description": "ユーザー セッションのタイプ"
},
"k8s_username": {
"type": "string",
"description": "Kubernetes \"kubectl exec\" セッションのユーザー名"
},
"k8s_uid": {
"type": "string",
"description": "Kubernetes \"kubectl exec\" セッションの UID"
},
"k8s_groups": {
"items": {
"type": "string"
},
"type": "array",
"description": "Kubernetes \"kubectl exec\" セッションのグループの一覧"
},
"k8s_extra": {
"additionalProperties": {
"items": {
"type": "string"
},
"type": "array"
},
"type": "object",
"description": "Kubernetes \"kubectl exec\" セッションの追加情報"
}
},
"additionalProperties": false,
"type": "object",
"description": "UserSessionContextSerializer は、ユーザー セッション コンテキストを JSON にシリアライズします"
},
"Variables": {
"type": "object",
"description": "Variables は、変数の値をシリアライズします"
}
},
"properties": {
"agent": {
"$ref": "#/$defs/AgentContext"
},
"title": {
"type": "string"
},
"evt": {
"$ref": "#/$defs/EventContext"
},
"date": {
"type": "string",
"format": "date-time"
},
"file": {
"$ref": "#/$defs/FileEvent"
},
"exit": {
"$ref": "#/$defs/ExitEvent"
},
"process": {
"$ref": "#/$defs/ProcessContext"
},
"container": {
"$ref": "#/$defs/ContainerContext"
},
"network": {
"$ref": "#/$defs/NetworkContext"
},
"dd": {
"$ref": "#/$defs/DDContext"
},
"security_profile": {
"$ref": "#/$defs/SecurityProfileContext"
},
"cgroup": {
"$ref": "#/$defs/CGroupContext"
},
"selinux": {
"$ref": "#/$defs/SELinuxEvent"
},
"bpf": {
"$ref": "#/$defs/BPFEvent"
},
"mmap": {
"$ref": "#/$defs/MMapEvent"
},
"mprotect": {
"$ref": "#/$defs/MProtectEvent"
},
"ptrace": {
"$ref": "#/$defs/PTraceEvent"
},
"module": {
"$ref": "#/$defs/ModuleEvent"
},
"signal": {
"$ref": "#/$defs/SignalEvent"
},
"splice": {
"$ref": "#/$defs/SpliceEvent"
},
"dns": {
"$ref": "#/$defs/DNSEvent"
},
"imds": {
"$ref": "#/$defs/IMDSEvent"
},
"accept": {
"$ref": "#/$defs/AcceptEvent"
},
"bind": {
"$ref": "#/$defs/BindEvent"
},
"connect": {
"$ref": "#/$defs/ConnectEvent"
},
"mount": {
"$ref": "#/$defs/MountEvent"
},
"syscalls": {
"$ref": "#/$defs/SyscallsEvent"
},
"usr": {
"$ref": "#/$defs/UserContext"
},
"syscall": {
"$ref": "#/$defs/SyscallContext"
},
"packet": {
"$ref": "#/$defs/RawPacket"
},
"network_flow_monitor": {
"$ref": "#/$defs/NetworkFlowMonitor"
},
"sysctl": {
"$ref": "#/$defs/SysCtlEvent"
}
},
"additionalProperties": false,
"type": "object",
"required": [
"agent",
"title"
]
}
