配置功能标志
auditbeat.yml 配置文件的“功能标志”部分包含 Auditbeat 中默认禁用的设置。这些设置可能包括实验性功能、Auditbeat 中的行为更改或可能导致重大更改的设置。例如,更改事件中包含的信息的设置可能与已配置的 Auditbeat 输出中预期的命名模式不一致。
要启用本页列出的任何设置,请将关联的 enabled 标志从 false 更改为 true。
features:
mysetting:
enabled: true
您可以在 auditbeat.yml 配置文件的 features 部分指定以下选项
包含 FQDN 报告功能的配置。启用此功能后,主机的完全限定域名会报告在 Auditbeat 生成的事件的 host.name 字段中。
警告
此功能目前处于技术预览阶段,并且可能会在未来版本中更改或移除。Elastic 将致力于修复任何问题,但技术预览阶段的功能不受正式 GA(普遍可用)功能的支持 SLA 的约束。
为使 FQDN 报告按预期工作,当前主机的主机名必须满足以下条件之一:
- 在 DNS 中定义了 CNAME 条目。
- 其对应的 IP 地址之一能够成功响应反向 DNS 查找。
如果以上任一先决条件均不满足,host.name 会继续报告当前主机的主机名,就如同 FQDN 功能标志未启用一样。
示例配置
features:
fqdn:
enabled: true
设置为 true 以启用 Auditbeat 的 FQDN 报告功能。默认为 false。