Auditbeatからファイル作成日時の取得について

表題の件
auditbeatからファイル作成日時を取得したいのです。

公式docをみるとファイルの日付データとして

file.ctime
file.mtime

があります。

kibanaにてデータを見ると file.ctime に古い日時が埋め込まれています。
恐らくファイル作成日時はfile.ctimeを参照したらよいとは思いますが、認識あってますでしょうか？

また、ファイル作成日時を調べるにあたり条件などを加味しないといけない事とかあるのでしょうか？

例えば
event.action:created
でないと正確なファイル作成日時ではないなど。

よろしくお願いいたします。

ファイル作成、という意味では、
event.actionが「file-created」のものでフィルタすると良いのではないでしょうか。

yoshiokaさん

createdかどうか参照するのが無難ですよね。
ありがとうございました。

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.