表題の件
auditbeatからファイル作成日時を取得したいのです。
公式docをみるとファイルの日付データとして
file.ctime
file.mtime
があります。
kibanaにてデータを見ると file.ctime に古い日時が埋め込まれています。
恐らくファイル作成日時はfile.ctimeを参照したらよいとは思いますが、認識あってますでしょうか?
また、ファイル作成日時を調べるにあたり条件などを加味しないといけない事とかあるのでしょうか?
例えば
event.action:created
でないと正確なファイル作成日時ではないなど。
よろしくお願いいたします。
ファイル作成、という意味では、
event.actionが「file-created」のものでフィルタすると良いのではないでしょうか。
yoshiokaさん
createdかどうか参照するのが無難ですよね。
ありがとうございました。
© 2020. All Rights Reserved - Elasticsearch
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant logo are trademarks of the Apache Software Foundation in the United States and/or other countries.