ECS 分类字段：event.kind

这是四个 ECS 分类字段之一，表示 ECS 分类层次结构中的最高级别。

event.kind 提供关于事件包含何种类型信息的高级信息，而不会具体到事件内容。例如，此字段的值区分警报事件和指标事件。

此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制，也可能有助于了解数据是否以规律的间隔传入。

允许的值

此值表示由在 Elastic Stack 外部执行的检测规则触发的事件，例如警报或重要事件。

event.kind:alert 通常用于来自防火墙、入侵检测系统、端点检测和响应系统等的事件。

此值不用于由 Kibana 警报框架内执行的规则创建的警报文档。

[测试版] 此事件分类值处于测试阶段，可能会发生更改。

此值表示其主要目的是存储资产/实体及其属性的清单的事件。资产/实体是在系统内有望成为详细分析对象的物件（例如用户和主机）。

示例包括从 Active Directory (AD) 等目录服务中提取的用户身份或帐户列表、从配置管理数据库 (CMDB) 中提取的主机清单以及从云提供商 API 中提取的云存储桶列表。

Elastic Security 的资产管理解决方案使用此值。event.kind: asset 不用于来自资产/实体的普通系统事件或日志，也不用于来自目录或 CMDB 系统的系统事件或日志。

enrichment 值表示收集的事件，用于提供其他上下文，通常用于其他事件。

例如，从威胁情报提供商收集入侵指标 (IOC)，目的是使用这些值来丰富其他事件。来自情报提供商的 IOC 事件应被分类为event.kind:enrichment。

此值是此字段最通用和最常见的值。它用于表示表示发生了某些事情的事件。

此值用于表示此事件描述在给定时间点进行的数值测量。

示例包括 CPU 利用率、内存使用情况或设备温度。

指标事件通常以可预测的频率收集，例如每隔几秒钟一次或每分钟一次，但也可以用于描述临时数值指标查询。

state 值类似于指标，表示此事件描述在给定时间点进行的测量，不同之处在于测量不会产生数值，而是产生一组表示条件或状态的固定分类值。

示例包括定期报告 Elasticsearch 集群状态（绿色/黄色/红色）、TCP 连接的状态（打开、关闭、fin_wait 等）、主机相对于软件漏洞的状态（易受攻击、不易受攻击）以及系统相对于法规遵从性的状态（符合、不符合）。

请注意，描述状态更改的事件不会使用event.kind:state，而是会使用event.kind:event，因为状态更改符合“发生了某些事情”的更一般的事件定义。

状态事件通常以可预测的频率收集，例如每隔几秒钟一次、每分钟一次、每小时一次或每天一次，但也可以用于描述临时状态查询。

此值表示在此事件的摄取过程中发生了错误，并且事件数据可能缺失、不一致或不正确。event.kind:pipeline_error 通常与解析错误相关联。

此值由 Elastic 解决方案（例如，安全、可观察性）用于由 Kibana 警报框架内执行的规则创建的警报文档。

此值的用法是保留的，数据摄取管道不得使用“signal”值填充event.kind。