ECS 分类字段：event.type

这是四个 ECS 分类字段之一，表示 ECS 分类层次结构中的第三级。

event.type 代表一个分类的“子桶”，当与 event.category 字段值一起使用时，可以将事件过滤到适合单一可视化的级别。

此字段为数组。这将允许对属于多个事件类型的某些事件进行正确的分类。

允许的值

访问事件类型用于类别中指示某些内容已被访问的事件子集。常见示例包括 event.category:database AND event.type:access 或 event.category:file AND event.type:access。请注意，对于文件访问，目录列表和文件打开都应包含在此子类别中。您可以使用 ECS event.action 字段进一步区分访问操作。

管理事件类型用于与管理对象相关的类别中事件的子集。例如，IAM 框架中未专门影响用户或组的管理更改（例如，向联合解决方案添加新应用程序或连接 Active Directory 中的离散域）将属于此子类别。常见示例：event.category:iam AND event.type:change AND event.type:admin。您可以使用 ECS event.action 字段进一步区分管理操作。

允许事件类型用于类别中指示某些内容已被允许的事件子集。常见示例包括 event.category:network AND event.type:connection AND event.type:allowed（指示网络防火墙事件，其中防火墙处置为允许连接完成）和 event.category:intrusion_detection AND event.type:allowed（指示网络入侵防御系统事件，其中 IPS 处置为允许连接完成）。您可以使用 ECS event.action 字段进一步区分允许的操作，并使用您选择的 value，例如“allow”、“detect”或“pass”。

更改事件类型用于类别中指示某些内容已更改的事件子集。如果语义最能描述修改后的事件，则将其包含在此子类别中。常见示例包括 event.category:process AND event.type:change 和 event.category:file AND event.type:change。您可以使用 ECS event.action 字段进一步区分更改操作。

主要与 event.category:network 一起使用，此值用于网络流量的子集，其中包含足够的信息以将事件包含在流或连接分析中。此子类别中的事件至少包含源和目标 IP 地址、源和目标 TCP/UDP 端口，并且通常包含传输的字节和/或数据包计数。此子类别中的事件可能包含单向或双向信息，包括汇总信息。使用此子类别来可视化和分析网络连接。流分析（包括 Netflow、IPFIX 和其他与流相关的事件）适合此子类别。请注意，许多下一代防火墙 (NGFW) 设备的防火墙事件也适合此子类别。流/连接信息的常见过滤器是 event.category:network AND event.type:connection AND event.type:end（查看或分析所有已完成的网络连接，忽略流中报告）。您可以使用 ECS event.action 字段进一步区分连接事件，并使用您选择的 value，例如“timeout”或“reset”。

“创建”事件类型用于类别中指示某些内容已创建的事件子集。一个常见的例子是 event.category:file AND event.type:creation。

删除事件类型用于类别中指示某些内容已被删除的事件子集。一个常见的例子是 event.category:file AND event.type:deletion，表示文件已被删除。

拒绝事件类型用于类别中指示某些内容已被拒绝的事件子集。常见示例包括 event.category:network AND event.type:denied（指示网络防火墙事件，其中防火墙处置为拒绝连接）和 event.category:intrusion_detection AND event.type:denied（指示网络入侵防御系统事件，其中 IPS 处置为拒绝连接完成）。您可以使用 ECS event.action 字段进一步区分拒绝的操作，并使用您选择的 value，例如“blocked”、“dropped”或“quarantined”。

结束事件类型用于类别中指示某些内容已结束的事件子集。一个常见的例子是 event.category:process AND event.type:end。

错误事件类型用于类别中指示或描述错误的事件子集。一个常见的例子是 event.category:database AND event.type:error。请注意，在事件摄取过程中发生的管道错误不应使用此 event.type 值。相反，它们应该使用 event.kind:pipeline_error。

组事件类型用于与组对象相关的类别中事件的子集。常见示例：event.category:iam AND event.type:creation AND event.type:group。您可以使用 ECS event.action 字段进一步区分组操作。

指标事件类型用于类别中包含有关入侵指标 (IOC) 详情的事件子集。

一个常见的例子是 event.category:threat AND event.type:indicator。

信息事件类型用于类别中指示它们纯粹是信息性的事件子集，并且不报告状态更改或任何类型的操作。例如，文件完整性监控系统 (FIM) 的初始运行，其中代理报告所有受管理的文件，将属于“信息”子类别。类似地，包含所有当前正在运行的进程转储的事件（与报告进程已启动/结束相反）将属于“信息”子类别。另一个常见的例子是 event.category:intrusion_detection AND event.type:info。

安装事件类型用于类别中指示某些内容已安装的事件子集。一个常见的例子是 event.category:package AND event.type:installation。

协议事件类型用于类别中指示它们包含协议详细信息或分析的事件子集，而不仅仅是识别协议。通常，包含特定协议详细信息的网络事件将属于此子类别。一个常见的例子是 event.category:network AND event.type:protocol AND event.type:connection AND event.type:end（指示该事件是在连接结束时发送的网络连接事件，其中还包括协议详细信息细分）。请注意，仅指示协议名称或 ID 的事件不应使用协议值。此外，当使用协议子类别时，识别的协议将填充在 ECS network.protocol 字段中。

开始事件类型用于类别中指示某些内容已启动的事件子集。一个常见的例子是 event.category:process AND event.type:start。

用户事件类型用于与用户对象相关的类别中事件的子集。常见示例：event.category:iam AND event.type:deletion AND event.type:user。您可以使用 ECS event.action 字段进一步区分用户操作。