ECS 分类字段：event.kind

这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最高级别。

event.kind 提供有关事件包含的信息类型的高级信息，而不特定于事件的内容。例如，此字段的值区分警报事件和指标事件。

此字段的值可用于指示如何处理这些类型的事件。它们可能需要不同的保留期、不同的访问控制，它还可以帮助了解数据是否以规律的间隔传入。

允许的值

alert编辑

此值表示由在 Elastic Stack 之外执行的检测规则触发的事件，例如警报或值得注意的事件。

event.kind:alert 通常用于来自防火墙、入侵检测系统、终端检测和响应系统等的事件。

Elastic 解决方案不会将此值用于由 Kibana 警报框架内执行的规则创建的警报文档。

asset编辑

[测试版] 此事件分类值处于测试阶段，可能会发生变化。

此值表示主要用于存储资产/实体及其属性的事件。资产/实体是指预期在系统内进行详细分析的对象（例如用户和主机）。

例如，从 Active Directory (AD) 等目录服务提取的用户身份或帐户列表、从配置管理数据库 (CMDB) 中提取的主机清单以及从云提供商 API 中提取的云存储桶列表。

Elastic Security 使用此值来进行资产管理解决方案。event.kind: asset 不适用于来自资产/实体的普通系统事件或日志，也不适用于来自目录或 CMDB 系统的系统事件或日志。

enrichment编辑

enrichment 值表示为提供其他上下文（通常是为其他事件）而收集的事件。

例如，从威胁情报提供程序收集危害指标 (IOC)，目的是使用这些值来丰富其他事件。来自情报提供程序的 IOC 事件应分类为 event.kind:enrichment。

event编辑

此值是此字段最通用、最常用的值。它用于表示指示发生了某事的事件。

metric编辑

此值用于指示此事件描述了在给定时间点进行的数值测量。

例如 CPU 利用率、内存使用率或设备温度。

指标事件通常以可预测的频率收集，例如每隔几秒钟一次或每分钟一次，但也可以用于描述临时数值指标查询。

state编辑

状态值类似于指标，表示此事件描述了在给定时间点进行的测量，不同之处在于测量不会产生数值，而是产生一组固定的表示条件或状态的分类值中的一个。

例如，报告 Elasticsearch 集群状态（绿色/黄色/红色）的定期事件、TCP 连接的状态（打开、关闭、fin_wait 等）、主机相对于软件漏洞的状态（易受攻击、不易受攻击）以及系统遵守监管标准的状态（合规、不合规）。

请注意，描述状态更改的事件不会使用 event.kind:state，而是使用 *event.kind:event*，因为状态更改更符合发生的事情的通用事件定义。

状态事件通常以可预测的频率收集，例如每隔几秒钟一次、每分钟一次、每小时一次或每天一次，但也可以用于描述临时状态查询。

pipeline_error编辑

此值表示在此事件的提取过程中发生错误，并且事件数据可能丢失、不一致或不正确。event.kind:pipeline_error 通常与解析错误相关联。

signal编辑

Elastic 解决方案（例如，安全、可观察性）将此值用于由 Kibana 警报框架内执行的规则创建的警报文档。

此值的使用已保留，数据提取管道不得使用值“signal”填充 event.kind。