ECS 分类字段:event.outcome
编辑ECS 分类字段:event.outcome编辑
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低级别。
event.outcome 简单地表示事件是从产生事件的实体的角度来看是成功还是失败。
请注意,当在多个事件中描述单个事务时,每个事件可能会根据其视角填充不同的 event.outcome 值。
另请注意,在复合事件(包含多个逻辑事件的单个事件)的情况下,应使用最能体现事件生成器角度的总体成功或失败的值来填充此字段。
还要注意的是,并非所有事件都会有关联的结果。例如,此字段通常不会为指标事件、event.type:info 事件或结果没有逻辑意义的任何事件填充。
允许值
failure编辑
表示此事件描述了一个失败的结果。一个常见的例子是 event.category:file AND event.type:access AND event.outcome:failure,表示尝试访问文件,但未成功。
success编辑
表示此事件描述了一个成功的结果。一个常见的例子是 event.category:file AND event.type:create AND event.outcome:success,表示文件已成功创建。
unknown编辑
表示此事件仅描述了从事件生成器的角度来看结果未知的尝试。例如,如果事件仅包含有关导致响应的事务的请求方的信息,则在请求事件中填充 event.outcome:unknown 是合适的。当结果对事件没有逻辑意义时,不应使用未知值。在这种情况下,不应填充 event.outcome。