日志应用字段

事件发生的日期/时间。

这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收事件的时间填充。所有事件的必填字段。

类型：日期

必需：是

ECS 字段：是

示例： 2020 年 5 月 27 日 @ 15:22:27.982

此字段用于区分具有相同时间戳的两个条目。

必需：是

ECS 字段：否

唯一的容器 ID。

类型：关键字

必需：是

ECS 字段：是

示例： data

数据集的名称。

如果事件源发布多种类型的日志或事件（例如，访问日志、错误日志），则使用数据集指定事件来自哪个事件源。

建议（但不是必需）以模块名称开头，后跟一个点，然后是数据集名称。

类型：关键字

必需：如果要使用机器学习功能，则为必填项。

ECS 字段：是

示例： apache.access

主机的名称。

它通常包含 hostname 命令在主机上返回的内容。

类型：关键字

必需：如果要启用和使用 在上下文中查看 功能，则为必填项。

ECS 字段：是

示例： Elastic.local

主机的名称。

它可以包含 hostname 在 Unix 系统上返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

类型：关键字

必需：是

ECS 字段：是

示例： MacBook-Elastic.local

Kubernetes Pod UID。

类型：关键字

必需：是

ECS 字段：否

示例： 8454328b-673d-11ea-7d80-21010a840123

此事件来自的日志文件的完整路径，包括文件名。它应在适当时包含驱动器号。

如果事件不是从日志文件读取的，请勿填充此字段。

类型：关键字

必需：如果要使用 在上下文中查看 功能，则为必填项。

ECS 字段：是

示例： /var/log/demo.log

对于日志事件，消息字段包含日志消息，该消息已针对在日志查看器中查看进行了优化。

对于没有原始消息字段的结构化日志，可以连接其他字段以形成事件的人类可读摘要。

如果存在多条消息，则可以将它们合并为一条消息。

类型：文本

必需：是

ECS 字段：是

示例： Hello World