从高层次上讲,ECS 提供字段以两种不同的方式对事件进行分类:"事件来源"(例如,event.module、event.dataset、agent.type、observer.type 等)和 "事件类型"。分类字段保存 "事件类型" 信息,与事件源无关。
event.module
event.dataset
agent.type
observer.type
ECS 为此目的定义了四个分类字段,每个字段都属于 event.* 字段集。
event.*
如果您的事件与这些分类值都不匹配,您应该将这些字段留空。这将确保您可以在后续版本中发布适当的分类值后开始填充这些字段。
使用分类字段 包含将分类字段组合在一起以对不同类型的事件进行分类的示例。
最受欢迎
视频
Elasticsearch 入门
Kibana 简介
ELK 用于日志和指标