› ›

事件字段

事件字段编辑

事件字段用于记录日志或指标事件本身的上下文信息。

日志定义为包含已发生事件详细信息的事件。日志事件必须包括事件发生的时间。日志事件的例子包括主机上启动的进程、从源发送到目标的网络数据包，或者客户端和服务器之间启动或关闭的网络连接。指标定义为包含一个或多个数值测量值以及进行测量的时间的事件。指标事件的例子包括主机上测量的内存压力和设备温度。有关指标和状态事件的更多详细信息，请参阅本节中的 event.kind 定义。

事件字段详细信息编辑

字段	描述	级别
event.action	事件捕获的操作。这描述了事件中的信息。它比 `event.category` 更具体。例子有 `group-add`、`process-started`、`file-created`。该值通常由实现者定义。类型：关键字例子：`user-password-change`	核心
event.agent_id_status	代理通常负责填充 `agent.id` 字段值。如果接收事件的系统能够根据客户端的身份验证信息验证该值，则可以使用此字段反映该验证的结果。例如，如果代理的连接使用 mTLS 进行身份验证，并且客户端证书包含颁发证书的代理的 ID，则可以根据证书检查事件中的 `agent.id` 值。如果值匹配，则将 `event.agent_id_status: verified` 添加到事件中，否则应使用其他允许值之一。如果没有执行验证，则应省略该字段。允许的值为 `verified` - `agent.id` 字段值与从身份验证元数据获得的预期值匹配。 `mismatch` - `agent.id` 字段值与从身份验证元数据获得的预期值不匹配。 `missing` - 事件中没有要验证的 `agent.id` 字段。 `auth_metadata_missing` - 没有身份验证元数据，或者缺少有关代理 ID 的信息。类型：关键字例子：`verified`	扩展
event.category	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第二级。 `event.category` 表示 ECS 类别的“大桶”。例如，过滤 `event.category:process` 将产生与进程活动相关的所有事件。此字段与用作子类别的 `event.type` 密切相关。此字段是一个数组。这将允许对属于多个类别的某些事件进行正确的分类。类型：关键字注意：此字段应包含一个值数组。重要提示：字段值必须是以下之一 api、authentication、configuration、database、driver、email、file、host、iam、intrusion_detection、library、malware、network、package、process、registry、session、threat、vulnerability、web 要详细了解何时使用哪个值，请访问 event.category 的允许值页面	核心
event.code	此事件的标识代码（如果存在）。某些事件源使用事件代码来明确标识消息，而不管消息语言或措辞随时间的调整。Windows 事件 ID 就是一个例子。类型：关键字例子：`4648`	扩展
event.created	`event.created` 包含代理或管道首次读取事件的日期/时间。此字段与 `@timestamp` 不同，因为 `@timestamp` 通常包含从原始事件中提取的时间。在大多数情况下，这两个时间戳会略有不同。可以使用这种差异来计算源生成事件与代理首次处理事件之间的时间延迟。这可用于监控代理或管道跟上事件源的能力。如果两个时间戳相同，则应使用 `@timestamp`。类型：日期例子：`2016-05-23T08:05:34.857Z`	核心
event.dataset	数据集的名称。如果事件源发布多种类型的日志或事件（例如，访问日志、错误日志），则使用数据集指定事件来自哪个日志或事件。建议（但不是必需）以模块名称开头，后跟一个点，然后是数据集名称。类型：关键字例子：`apache.access`	核心
event.duration	事件的持续时间（以纳秒为单位）。如果已知 `event.start` 和 `event.end`，则此值应为结束时间和开始时间之间的差。类型：长整型	核心
event.end	`event.end` 包含事件结束或上次观察到活动的日期。类型：日期	扩展
event.hash	原始字段的哈希值（可能是 logstash 指纹），能够证明日志完整性。类型：关键字例子：`123456789012345678901234567890ABCD`	扩展
event.id	用于描述事件的唯一 ID。类型：关键字例子：`8a4f500d`	核心
event.ingested	事件到达中央数据存储的时间戳。这与 `@timestamp`（事件最初发生的时间）不同。它也不同于 `event.created`（旨在捕获代理首次看到事件的时间）。在正常情况下，假设没有篡改，时间戳在时间顺序上应如下所示：`@timestamp` < `event.created` < `event.ingested`。类型：日期例子：`2016-05-23T08:05:35.101Z`	核心
event.kind	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最高级别。 `event.kind` 提供有关事件包含的信息类型的概要信息，而不特定于事件的内容。例如，此字段的值区分警报事件和指标事件。此字段的值可用于告知应如何处理这些类型的事件。它们可能需要不同的保留期、不同的访问控制，它还可以帮助了解数据是否以固定的时间间隔传入。类型：关键字重要提示：字段值必须是以下之一 alert、asset、enrichment、event、metric、state、pipeline_error、signal 要详细了解何时使用哪个值，请访问 event.kind 的允许值页面	核心
event.module	此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源（例如，Apache 日志）的事件，则 `event.module` 应包含此模块的名称。类型：关键字例子：`apache`	核心
event.original	整个事件的原始文本消息。用于证明日志完整性，或者在需要完整日志消息（将其分成多个部分之前）的情况下使用，例如，用于重新索引。此字段未编入索引，并且 doc_values 被禁用。无法搜索它，但可以从 `_source` 检索它。如果用户希望覆盖此设置并对该字段进行索引，请参阅 `Elasticsearch 参考` 中的 `字段数据类型`。类型：关键字例子：`Sep 19 08:26:10 host CEF:0\|Security\| threatmanager\|1.0\|100\| worm successfully stopped\|10\|src=10.0.0.1 dst=2.1.2.2spt=1232`	核心
event.outcome	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的最低级别。 `event.outcome` 仅表示事件是从生成事件的实体的角度来看表示成功还是失败。请注意，当在多个事件中描述单个事务时，每个事件可能会根据其视角填充不同的 `event.outcome` 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，应使用最能反映从事件生成器的角度来看的总体成功或失败的值填充此字段。还要注意，并非所有事件都有关联的结果。例如，此字段通常不填充指标事件、`event.type:info` 事件或任何结果没有逻辑意义的事件。类型：关键字重要提示：字段值必须是以下之一 failure、success、unknown 要详细了解何时使用哪个值，请访问 event.outcome 的允许值页面	核心
event.provider	事件的来源。 Syslog 或 Windows 事件日志等事件传输通常会提及事件的来源。它可以是生成事件的软件的名称（例如，Sysmon、httpd），也可以是操作系统的子系统的名称（内核、Microsoft-Windows-Security-Auditing）。类型：关键字例子：`kernel`	扩展
event.reason	根据来源，此事件发生的原因。这描述了事件中捕获的特定操作或结果的原因。其中 `event.action` 从事件中捕获操作，而 `event.reason` 描述了采取该操作的原因。例如，`event.action` 拒绝请求的 Web 代理也可以使用原因（例如，`blocked site`）填充 `event.reason`。类型：关键字例子：`Terminated an unexpected process`	扩展
event.reference	链接到有关此事件的其他信息的参考 URL。此 URL 链接到此事件的静态定义。警报事件（由 `event.kind:alert` 指示）是此字段的常见用例。类型：关键字例子：`https://system.example.com/event/#0001234`	扩展
event.risk_score	事件风险评分或优先级（例如，安全解决方案）。在此处使用系统的原始值。类型：浮点数	核心
event.risk_score_norm	事件的标准化风险评分或优先级，范围从 0 到 100。如果您使用多个分配风险评分的系统，并且希望查看所有系统的标准化值，则此字段非常有用。类型：浮点数	扩展
event.sequence	事件的序列号。序列号是由某些事件源发布的值，用于明确事件的确切顺序，而不管时间戳精度如何。类型：长整型	扩展
event.severity	根据事件源的事件数字严重性。不同严重性值的含义可能因来源和用例而异。实施者需要确保来自同一来源的事件之间的严重性保持一致。 Syslog 严重性属于 `log.syslog.severity.code`。 `event.severity` 用于表示根据事件源（例如，防火墙，IDS）的严重性。如果事件源未发布其自身的严重性，您可以选择将 `log.syslog.severity.code` 复制到 `event.severity`。类型：长整型例如：`7`	核心
event.start	`event.start` 包含事件开始或首次观察到活动的日期。类型：日期	扩展
event.timezone	如果事件的时间戳不包含时区信息（例如，默认的 Syslog 时间戳），则应填充此字段。否则为可选字段。可接受的时区格式为：规范 ID（例如，“Europe/Amsterdam”）、缩写（例如，“EST”）或 HH:mm 差值（例如，“-05:00”）。类型：关键字	扩展
event.type	这是四个 ECS 分类字段之一，表示 ECS 类别层次结构中的第三级。 `event.type` 表示一个分类“子桶”，当与 `event.category` 字段值一起使用时，可以将事件过滤到适合单个可视化的级别。此字段是一个数组。这将允许对属于多个事件类型的某些事件进行正确的分类。类型：关键字注意：此字段应包含一个值数组。重要提示：字段值必须是以下之一访问、管理员、允许、更改、连接、创建、删除、拒绝、结束、错误、组、指示器、信息、安装、协议、开始、用户要详细了解何时使用哪个值，请访问页面 event.type 的允许值	核心
event.url	链接到外部系统以继续调查此事件的 URL。此 URL 链接到另一个系统，可以在其中对此事件的特定发生进行深入调查。由 `event.kind:alert` 指示的警报事件是此字段的常见用例。类型：关键字例如：`https://mysystem.example.com/alert/5271dedb-f5b0-4218-87f0-4ac4870a38fe`	扩展

« 错误字段 FaaS 字段 »