지니안 EDR 프로세스 로그
process event_type 유형
| 타입 | 필드 | 이름 | 설명 |
|---|---|---|---|
| 날짜 | _time | 시각 | |
| 문자열 | event_type | 이벤트분류 | Process |
| 문자열 | event_subtype | 이벤트상세분류 | ProcessStart, TerminateProcess, ChildProcessCreate |
| 32비트 정수 | important | 중요이벤트 | 예) 1 |
| IP 주소 | host_ip | 호스트IP | |
| 문자열 | nt_domain | NT도메인 | 예) WORKGROUP |
| 문자열 | hostname | 호스트명 | |
| 문자열 | tag | 태그 | 예) cmd |
| 문자열 | cmd_line | 명령줄 | |
| 문자열 | req_image | 요청프로세스명 | |
| 문자열 | parent_image | 부모프로세스명 | |
| 문자열 | image | 프로세스명 | |
| 문자열 | image_path | 프로세스경로 | |
| 문자열 | file_name | 파일이름 | |
| 문자열 | file_path | 파일경로 | |
| 날짜 | file_ctime | 파일생성시각 | |
| 날짜 | file_mtime | 파일수정시각 | |
| 문자열 | md5 | MD5 | |
| 문자열 | sha256 | SHA256 | |
| 문자열 | logon_id | 로그온ID | 예) RDV GRAPHICS SERVICE |
| 32비트 정수 | session_id | 세션ID | 예) 0, 1, 6 |
| 문자열 | proc_user_id | 프로세스사용자ID | 예) SYSTEM |
| 32비트 정수 | req_pid | 요청PID | |
| 32비트 정수 | ppid | 부모PID | |
| 32비트 정수 | pid | PID | |
| 32비트 정수 | child_pid | 자식PID | |
| 문자열 | req_pguid | 요청프로세스GUID | |
| 문자열 | parent_pguid | 부모프로세스GUID | |
| 문자열 | pguid | 프로세스GUID | |
| 문자열 | child_pguid | 자식프로세스GUID | |
| 문자열 | device_id | 장비ID | |
| 64비트 정수 | event_seq | 이벤트순서 | |
| 문자열 | driver_type | 드라이버분류 | FIXED, REMOVABLE, INTERNET |
| 문자열 | file_type | 파일유형 | PE, IMAGE, DB, ZIP, DOC, SCRIPT, MEDIA |
| 문자열 | file_ext | 파일확장자 | 예) exe |
| 문자열 | file_attr | 파일속성 | A, N, H, AR |
| 불리언 | exit_flag | 프로세스종료여부 | true, false |
| 날짜 | exit_time | 프로세스종료시각 | |
| 불리언 | is_system | 시스템프로세스여부 | true, false |
| 문자열 | integrity_level | 프로세스권한 | 예) SYSTEM |
| 32비트 정수 | interactive_flag | GUI제공여부 | 예) 0 |
| 64비트 정수 | parent_proc_event_seq | 부모프로세스이벤트순서 | |
| 64비트 정수 | req_event_seq | 요청이벤트순서 | |
| 문자열 | trunk_id | 연결된프로세스ID | |
| 문자열 | trunk_idx | 연결된프로세스IDX | |
| 문자열 | info_title | 추가정보명 | 예) DNS Data |
| 문자열 | info | 추가정보 |