Key-Value Pair 键值对

一对关联的数据:一个键(名字)+ 一个值(内容)。 结构化数据的最小单元。

src=10.0.0.1
user=alice
action=login_failed

src 是键,10.0.0.1 是值。

为什么是日志分析的基础

键值对是把日志从”非结构化文本”变成”可查询数据”的关键:

• CEF 格式就是一串键值对
• JSON 对象本质是键值对集合
• 字段化后,SIEM 能直接 user=alice AND action=login_failed 精确搜

对比:有键 vs 没键

没有键值对(纯文本)	有键值对
Failed login from 10.0.0.1 by alice	action=fail src=10.0.0.1 user=alice
只能整行 grep	能按字段精确查、统计、关联

落地

写 SPL、YARA-L、KQL 查询时,操作的就是键值对的键。“structured logging(结构化日志)“的核心就是:多用键值对,少用自由文本,让机器和人都能高效解析。