添加 Docker 元数据
编辑添加 Docker 元数据编辑
add_docker_metadata 处理器使用来自 Docker 容器的相关元数据来注释每个事件。它在启动时检测 Docker 环境并缓存元数据。只有在检测到有效的配置并且处理器能够访问 Docker API 时,才会使用 Docker 元数据注释事件。
每个事件都标注有以下内容
- 容器 ID
- 名称
- 镜像
- 标签
在容器中运行 Auditbeat 时,您需要提供对 Docker Unix 套接字的访问权限,以便 add_docker_metadata 处理器能够正常工作。您可以通过在容器内挂载套接字来实现此目的。例如
docker run -v /var/run/docker.sock:/var/run/docker.sock ...
为了避免权限问题,您可能还需要将 --user=root 添加到 docker run 标志中。因为用户必须是 docker 组的成员才能访问 /var/run/docker.sock,所以如果 Auditbeat 在容器内以非 root 用户身份运行,则需要 root 访问权限。
如果 Docker 守护进程重新启动,则挂载的套接字将变为无效,元数据将停止工作,在这种情况下,有两种选择
- 每次 Docker 重新启动时都重新启动 Auditbeat
- 挂载整个
/var/run目录(而不仅仅是套接字)
processors:
- add_docker_metadata:
host: "unix:///var/run/docker.sock"
#match_fields: ["system.process.cgroup.id"]
#match_pids: ["process.pid", "process.parent.pid"]
#match_source: true
#match_source_index: 4
#match_short_id: true
#cleanup_timeout: 60
#labels.dedot: false
# To connect to Docker over TLS you must specify a client and CA certificate.
#ssl:
# certificate_authority: "/etc/pki/root/ca.pem"
# certificate: "/etc/pki/client/cert.pem"
# key: "/etc/pki/client/cert.key"
它具有以下设置
-
主机 - (可选)Docker 套接字(UNIX 或 TCP 套接字)。默认情况下,它使用
unix:///var/run/docker.sock。 -
ssl - (可选)连接到 Docker 套接字时使用的 SSL 配置。
-
match_fields - (可选)用于匹配容器 ID 的字段列表,至少其中一个字段应包含容器 ID 才能丰富事件。
-
match_pids - (可选)包含进程 ID 的字段列表。如果进程在 Docker 中运行,则事件将被丰富。默认值为
["process.pid", "process.parent.pid"]。 -
match_source - (可选)从
log.file.path字段中存在的日志路径匹配容器 ID。默认情况下启用。 -
match_short_id - (可选)从
log.file.path字段中存在的日志路径匹配容器短 ID。默认情况下禁用。这允许匹配名称包含容器 ID 前 12 个字符的目录。例如,/var/log/containers/b7e3460e2b21/*.log。 -
match_source_index - (可选)在由
/分割的源路径中的索引,用于查找容器 ID。默认为 4,以匹配/var/lib/docker/containers/<container_id>/*.log -
cleanup_timeout - (可选)不活动时间,以考虑我们可以清理和忘记容器的元数据,默认为 60 秒。
-
labels.dedot - (可选)默认为 false。如果设置为 true,则将标签中的点替换为
_。