Event 필드

event 필드는 로그 또는 메트릭 이벤트 자체에 대한 컨텍스트 정보에 사용됩니다.

로그는 발생한 일에 대한 세부 정보가 포함된 이벤트로 정의됩니다. 로그 이벤트에는 어떤 일이 발생한 시간이 포함되어야 합니다. 로그 이벤트의 예로는 호스트에서 프로세스 시작, 소스에서 대상으로 전송되는 네트워크 패킷, 클라이언트와 서버 간의 네트워크 연결이 시작되거나 종료되는 것 등이 있습니다. 메트릭은 하나 이상의 수치 측정값과 측정이 수행된 시간을 포함하는 이벤트로 정의됩니다. 메트릭 이벤트의 예로는 호스트에서 측정된 메모리 사용율, 디바이스 온도 등이 있습니다.

필드 변환

원본 필드정규 필드정규 타입ECS 필드 설명
event.actionaction문자열예: group-add, process-started, file-created
event.agent_id_statusagent_id_status문자열예: verified, mismatch, missing, auth_metadata_missing
event.categorycategory문자열예: api, authentication, configuration, database, driver, email, file, host, iam, intrusion_detection, library, malware, network, package, process, registry, session, threat, vulnerability, web
event.codeevent_code문자열예: 윈도우 이벤트 ID
event.createdevent_created날짜이벤트를 에이전트가 수집한 시각
event.datasetevent_dataset문자열데이터셋 이름. 예: apache.access
event.durationduration64비트 실수이벤트 지속 시간. 원본은 나노초 단위이며 초 단위 변환 필요
event.endlast_seen날짜이벤트 최근 발견 시점
event.hashevent_hash문자열로그 무결성 검증에 필요한 해시
event.idevent_uid문자열이벤트 유일 식별자
event.ingestedevent_ingested날짜데이터가 중앙 클러스터에 유입된 시점
event.kindevent_kind문자열예: alert, asset, enrichment, event, metric, state, pipeline_error, signal
event.moduleevent_module문자열예: apache
event.originalline문자열원본 로그 메시지
event.outcomeoutcome문자열예: failure, success, unknown
event.providerevent_provider문자열예: kernel, Microsoft-Windows-Security-Auditing
event.reasonreason문자열이벤트 발생 사유. 예: blocked site
event.referencereference문자열이벤트 정의에 대한 추가 정보 URL
event.risk_scorerisk_score64비트 실수위험 점수 또는 우선순위
event.risk_score_normrisk_score_norm64비트 실수0-100 범위로 정규화된 위험 점수
event.sequenceevent_seq64비트 정수이벤트 일련번호
event.severityseverity32비트 정수0(unusable)-7(debug) 범위의 위험도
event.startfirst_seen날짜이벤트 최초 발견 시점
event.timezonetimezone문자열예: Europe/Amsterdam, EST, -05:00
event.typeevent_type문자열예: access, admin, allowed, change, connection, creation, deletion, denied, end, error, group, indicator, info, installation, protocol, start, user
event.urlexternal_url문자열외부 시스템으로 연결되는 이벤트 URL