ECS 分类字段：event.outcome

这是四个 ECS 分类字段之一，表示 ECS 分类层次结构中的最低级别。

event.outcome 简单地表示事件从产生该事件的实体的角度来看是成功还是失败。

请注意，当单个事务在多个事件中描述时，每个事件可能会根据其自身角度填充不同的 event.outcome 值。

另请注意，对于复合事件（包含多个逻辑事件的单个事件），此字段应填充最能体现事件产生者角度的整体成功或失败的值。

此外，并非所有事件都具有关联的结果。例如，度量事件、event.type:info 的事件或任何结果在逻辑上没有意义的事件通常不会填充此字段。

允许的值

表示此事件描述了一个失败的结果。一个常见的例子是 event.category:file AND event.type:access AND event.outcome:failure，表示尝试访问文件但未成功。

表示此事件描述了一个成功的结果。一个常见的例子是 event.category:file AND event.type:create AND event.outcome:success，表示文件已成功创建。

表示此事件仅描述一个尝试，其结果从事件产生者的角度来看是未知的。例如，如果事件仅包含关于导致响应的事务请求端的信息，则在请求事件中填充 event.outcome:unknown 是合适的。当结果对事件没有逻辑意义时，不应使用 unknown 值。在这种情况下，不应填充 event.outcome。