按资源类型查看基础设施指标
Elastic Stack Serverless
基础设施 Inventory 页面提供了由您正在监控的资源分组的整个基础设施的指标驱动视图。 将显示发出核心基础设施指标的所有监控资源,让您快速查看基础设施的整体运行状况。
要打开 基础设施 Inventory 页面,请在
- Elastic Stack 中,在主菜单中查找 基础设施,或使用全局搜索字段。
- Serverless 中,转到 Observability Serverless 项目中的 基础设施 Inventory。
要了解有关此页面上显示的指标的更多信息,请参阅指标参考。
要开始分析,请选择要在高级视图中显示的资源类型。 从 显示 菜单中,选择以下选项之一:
- 主机 — 默认选项
- Kubernetes Pod
- Docker 容器 — 显示所有容器,而不仅仅是 Docker
- AWS — 包括 EC2 实例、S3 存储桶、RDS 数据库和 SQS 队列
将鼠标悬停在 waffle 地图中的每个资源上时,将显示特定于该资源的指标。
您可以按资源排序,按与其相关的特定字段对资源进行分组,以及按名称或指标值排序。 例如,您可以筛选视图以显示 Kubernetes pod 的内存使用情况,按命名空间分组,并按内存使用情况值排序。
您还可以使用搜索栏使用 Kibana 查询语言创建结构化查询。 例如,输入 host.hostname : "host1" 以仅查看 host1 的信息。
要检查特定时间的指标,请使用时间过滤器选择日期和时间。
默认情况下,基础设施 Inventory 页面会显示一个 waffle 地图,其中显示您正在监控的主机以及每个主机的当前 CPU 使用率。 或者,您可以单击 表视图 图标 
以切换到表视图。
无需离开 基础设施 Inventory 页面,您可以查看与基础设施中运行的每个主机相关的增强指标。 在 waffle 地图上,选择一个主机以显示主机详细信息叠加层。
要展开叠加层并查看更多详细信息,请单击右上角的 在新页面中打开。
主机详细信息叠加层包含以下选项卡:
概览
概览 选项卡显示有关所选主机的关键指标,例如 CPU 使用率、标准化负载、内存使用率和最大磁盘使用率。
更改时间范围以查看特定时间段内的指标。
展开每个部分以查看与所选主机相关的更多详细信息,例如元数据、活动警报、主机上检测到的服务和指标。
将鼠标悬停在图表上的特定时间段上,以比较该给定时间的不同指标。
单击 全部显示 以深入查看相关数据。
元数据
指标
进程
进程 选项卡列出主机上运行的进程总数 (system.process.summary.total),以及这些各种状态的进程总数
- 正在运行 (
system.process.summary.running) - 正在休眠 (
system.process.summary.sleeping) - 已停止 (
system.process.summary.stopped) - 空闲 (
system.process.summary.idle) - 已死 (
system.process.summary.dead) - 僵尸 (
system.process.summary.zombie) - 未知 (
system.process.summary.unknown)
顶层进程 表中列出的进程基于顶层 CPU 和顶层内存消耗进程的聚合。 顶层进程的数量由 process.include_top_n.by_cpu 和 process.include_top_n.by_memory 控制。
| 命令 | 启动进程的完整命令行,包括可执行文件的绝对路径和所有参数 (system.process.cmdline)。 |
| PID | 进程 ID (process.pid)。 |
| 用户 | 用户名 (user.name)。 |
| CPU | 自上次事件以来进程花费的 CPU 时间百分比 (system.process.cpu.total.pct)。 |
| 时间 | 进程启动的时间 (system.process.cpu.start_time)。 |
| 内存 | 进程在主内存 (RAM) 中占用的内存百分比 (system.process.memory.rss.pct)。 |
| 状态 | 进程的当前状态和进程总数 (system.process.state)。 预期值为:running、sleeping、dead、stopped、idle、zombie 和 unknown。 |
通用分析
日志
日志 选项卡显示与您选择的主机相关的日志。 默认情况下,日志选项卡显示以下列。
| 时间戳 | 来自 timestamp 字段的日志条目的时间戳。 |
| 消息 | 从文档中提取的消息。 此字段的内容取决于日志消息的类型。 如果未检测到任何特殊的日志消息类型,则使用 Elastic Common Schema (ECS) 基本字段 message。 |
要在 Logs 应用程序中查看日志以进行详细分析,请单击 在 Logs 中打开。
异常
异常 选项卡显示特定主机的每个单一度量标准异常检测作业的列表。默认情况下,异常作业按时间排序,首先显示最新的作业。
除了每个异常作业的名称之外,还会列出检测到的严重性评分等于或高于 50 的异常。这些分数代表所选时间段内的“警告”或更高严重程度。摘要 值表示异常记录结果中主机度量标准的实际值与预期(“典型”)值之间的增加量。
要深入研究和分析度量标准异常,请选择 操作 → 在异常浏览器中打开。您还可以选择 操作 → 在清单中显示 以查看主机清单页面,并按特定度量标准进行过滤。
Osquery
对于可观测性无服务器项目,需要以下角色之一才能使用 Osquery。
- 管理员: 拥有对项目配置的完全访问权限,包括通过 Elastic Agent 安装、管理和运行 Osquery 查询的能力。此角色支持针对受监控主机的即席(实时)查询和计划查询。管理员可以直接在 Elasticsearch 中查看和分析结果。
- 编辑者: 具有有限的访问权限。编辑者可以运行预配置的查询,但设置和计划新查询的权限可能受到限制,特别是需要更广泛的访问权限或权限调整的查询。
- 查看者:具有对数据的只读访问权限,包括查看具有更高权限的用户配置的 Osquery 结果。查看者无法自行启动或计划 Osquery 查询。
要了解有关角色的更多信息,请参阅 分配用户角色和权限。
您必须拥有一个活跃的 Elastic Agent,并分配包含 Osquery Manager 集成的代理策略。
通过 Osquery 选项卡,您可以构建 SQL 语句来查询主机数据。您可以针对 Elastic Agent 创建和运行实时或保存的查询。Osquery 结果存储在 Elasticsearch 中,因此您可以使用 Elastic Stack 来搜索、分析和可视化您的主机度量标准。要创建保存的查询并添加计划的查询组,请参阅 Osquery。
要查看有关查询的更多信息,请单击 状态 选项卡。查询状态可能导致 success、error(以及错误消息)或 pending(如果 Elastic Agent 离线)。
其他选项包括
- 在 Discover 中查看以搜索、过滤和查看有关主机度量标准字段结构的信息。要了解更多信息,请参阅 Discover。
- 在 Lens 中查看以根据您的主机度量标准字段创建可视化。要了解更多信息,请参阅 Lens。
- 以全屏模式查看结果。
- 添加、删除、重新排序和调整列的大小。
- 按升序或降序对字段名称进行排序。
这些度量标准也可在 主机 页面上查看主机时使用。
当您选择 Docker 容器 时,基础设施清单 页面会显示一个华夫饼图,显示您正在监控的容器以及每个容器的当前 CPU 使用率。或者,您可以单击 表视图 图标 
切换到表视图。
无需离开 基础设施清单 页面,您就可以查看与基础设施中运行的每个容器相关的增强型度量标准。
为什么有些容器在华夫饼图中报告 0% 或空 (-) 值?
华夫饼图显示所有受监控的容器,包括 containerd,前提是来自容器的数据具有 container.id 字段。但是,华夫饼图目前仅显示 Docker 字段的度量标准。此显示问题将在未来的版本中得到解决。
在华夫饼图上,选择一个容器以显示容器详细信息覆盖。
要展开叠加层并查看更多详细信息,请单击右上角的 在新页面中打开。
容器详细信息覆盖包含以下选项卡
概览
概述 选项卡显示有关所选容器的关键指标,例如 CPU、内存、网络和磁盘使用情况。显示的指标可能因您正在监控的容器类型而异。
更改时间范围以查看特定时间段内的指标。
展开每个部分以查看与所选容器相关的更多详细信息,例如元数据、活动警报和指标。
将鼠标悬停在图表上的特定时间段上,以比较该给定时间的不同指标。
单击 全部显示 以深入查看相关数据。
元数据
指标
日志
日志 选项卡显示与您选择的容器相关的日志。默认情况下,“日志”选项卡显示以下列。
| 时间戳 | 来自 timestamp 字段的日志条目的时间戳。 |
| 消息 | 从文档中提取的消息。 此字段的内容取决于日志消息的类型。 如果未检测到任何特殊的日志消息类型,则使用 Elastic Common Schema (ECS) 基本字段 message。 |
要在 Logs 应用程序中查看日志以进行详细分析,请单击 在 Logs 中打开。
当您搜索和过滤特定资源时,可以向下钻取以分析与其相关的指标。例如,在高层视图中查看 Kubernetes Pod 时,单击要分析的 Pod,然后选择 Kubernetes Pod 指标 以查看详细指标
如果每个资源的“清单”页面上显示的预定义指标不足以满足您的特定用例,则可以添加和定义自定义指标。
选择您的资源,然后从 指标 过滤器菜单中,单击 添加指标。
根据您安装和配置的功能,您可以查看与特定资源相关的日志或跟踪。例如,在高层视图中,当您单击 Kubernetes Pod 资源时,您可以选择
- Kubernetes Pod 日志 以在日志应用程序中查看相应的日志。
- Kubernetes Pod APM 跟踪 以在 APM 应用程序中查看相应的 APM 跟踪。
- Uptime 中的 Kubernetes Pod 以在 Uptime 应用程序中查看相关的运行时间信息。