Object 对象
一组 键值对的集合,描述”一个东西的多个属性”。按键名取值。
{ "user": "alice", "ip": "10.0.0.5", "action": "login_failed" }一看就知道:谁、从哪个 IP、做了什么。
在安全/日志场景里
现代日志(尤其 JSON 格式)基本都是 object 结构——这正是 CEF、structured logging 想达到的:让日志从”一团文本”变成”可按字段查询的数据”。
跟 Array 的区别
| Object | Array | |
|---|---|---|
| 结构 | 键值对(无序) | 有序列表 |
| 取值 | 按键名(obj.ip) | 按位置(arr[0]) |
| 适合 | 一个东西的多属性 | 同类的一串 |
为什么对分析重要
object 的字段化让 日志分析变成”查数据库”:用 SPL/KQL 直接 where user="alice" 精确筛,而不是在文本里瞎 grep。看懂 object 嵌套 array 的结构,是写好检测查询的基本功。