从宏观角度来看,ECS 提供了两种不同的事件分类字段:“事件来源”(例如,event.module、event.dataset、agent.type、observer.type 等)和“事件类型”。分类字段保存“事件类型”信息,与事件来源无关。
event.module
event.dataset
agent.type
observer.type
为此目的,ECS 定义了四个分类字段,每个字段都属于 event.* 字段集。
event.*
如果您的事件与任何这些分类值都不匹配,则应将这些字段留空。这将确保您可以在以后的版本中发布相应的分类值后开始填充这些字段。
使用分类字段 包含将分类字段组合起来对不同类型的事件进行分类的示例。
最受欢迎
视频
Elasticsearch 入门
Kibana 简介
用于日志和指标的 ELK