DHCPスキーマ

正規化されたフィールド	型	パーサーのフィールド	説明
resource_id	string	resourceId$	レコードを識別する完全なリソース文字列
tenant_id	string	tenantId$	このCTPX IDに固有のテナントID
sensor_type	string	sensorType$	このイベントを生成したデバイスのタイプ。例: redcloak
sensor_event_id	string	sensorEventId$	センサーによって割り当てられたoriginal_dataのイベントID
sensor_tenant	string	sensorTenant$	データの発生元アプリケーションによって提供されたお客様ID。例: redloak-domain, ctp-client-id
sensor_id	string	sensorId$	データの発生元アプリケーションによって提供されたID。例: redcloak-agent-id
sensor_cpe	string	sensorCpe$	アラートを生成したプラットフォームのCPE。 例: cpe:2.3:a:secureworks:redcloak:*:*:*:*:*:*:*
original_data	string	originalData$	変換前の元の未加工データ。
event_time_usec	uint64	eventTimeUsec$	イベント発生時刻（マイクロ秒単位、µs）
ingest_time_usec	uint64	ingestTimeUsec$	取り込み時刻（マイクロ秒単位、µs）
event_time_fidelity	TimeFidelity	eventTimeFidelity$	event_time_usecに使用された元の時刻精度を指定
client_hostname	string	clientHostname$	DHCPクライアントマシンのホスト名
client_address	string	clientAddress$	DHCPクライアントマシンのIPアドレス
client_mac	string	clientMac$	クライアントのMACアドレス
server_hostname	string	serverHostname$	DHCPサーバーのホスト名
server_address	string	serverAddress$	DHCPサーバーのIPアドレス
server_mac	string	serverMac$	サーバーのMACアドレス
action	Dhcp.DHCP_Action	action$	DHCPイベントのアクション
expiration_time_usec	uint64	expirationTimeUsec$	リースの有効期限
host_id	string	hostId$	ホストID -- イベント発生元のホストを一意に識別。例: IPv(4/6)アドレス、デバイスのMACアドレス
sensor_version	string	sensorVersion$	エージェントのバージョン（文字列）

Dhcp.DHCP_Action

Name	Number	説明
UNKNOWN	0	内部用: 未使用だがproto3で必須
DISCOVER	1	クライアントがDHCPサーバーを検出するためのブロードキャスト
OFFER	2	サーバーがクライアントの検出に応答（複数のオファーがある場合も）
REQUEST	3	クライアントが特定のサーバーにリクエスト
INFORM	4	クライアントからサーバーへ - IPは不要だがネットワークパラメータが必要な場合に使用
ACK	5	サーバーがREQUESTまたはINFORMに応答
NACK	6
DECLINE	7	サーバーのACKに対するクライアントの任意応答
RELEASE	8	クライアントからサーバーへ - IPリースの解放
LEASE	9	一部のデバイスは詳細を報告せず、リースが取得されたことのみを示す