« 添加字段 为事件生成 ID »
Elastic 文档 Auditbeat 参考 [8.14] 配置 Auditbeat 使用处理器过滤和增强数据

添加主机元数据

编辑

添加主机元数据编辑

processors:
  - add_host_metadata:
      cache.ttl: 5m
      geo:
        name: nyc-dc1-rack1
        location: 40.7128, -74.0060
        continent_name: North America
        country_iso_code: US
        region_name: New York
        region_iso_code: NY
        city_name: New York

它具有以下设置

netinfo.enabled
(可选)默认值为 true。将 IP 地址和 MAC 地址作为字段 host.ip 和 host.mac 包含在内。
cache.ttl
(可选)处理器对主机元数据使用内部缓存。这将设置缓存过期时间。默认值为 5m,负值将完全禁用缓存。
geo.name
(可选)用户可定义的标记,用于标识离散位置。通常是数据中心、机架或类似位置。
geo.location
(可选)以逗号分隔格式的经度和纬度。
geo.continent_name
(可选)洲名。
geo.country_name
(可选)国家/地区名称。
geo.region_name
(可选)地区名称。
geo.city_name
(可选)城市名称。
geo.country_iso_code
(可选)ISO 国家/地区代码。
geo.region_iso_code
(可选)ISO 地区代码。
replace_fields
(可选)默认值为 true。如果设置为 false,则事件中的原始主机字段不会被 add_host_metadata 中的主机字段替换。

add_host_metadata 处理器使用来自主机计算机的相关元数据注释每个事件。添加到事件中的字段如下所示

{
   "host":{
      "architecture":"x86_64",
      "name":"example-host",
      "id":"",
      "os":{
         "family":"darwin",
         "type":"macos",
         "build":"16G1212",
         "platform":"darwin",
         "version":"10.12.6",
         "kernel":"16.7.0",
         "name":"Mac OS X"
      },
      "ip": ["192.168.0.1", "10.0.0.1"],
      "mac": ["00:25:96:12:34:56", "72:00:06:ff:79:f1"],
      "geo": {
          "continent_name": "North America",
          "country_iso_code": "US",
          "region_name": "New York",
          "region_iso_code": "NY",
          "city_name": "New York",
          "name": "nyc-dc1-rack1",
          "location": "40.7128, -74.0060"
        }
   }
}

注意:如果事件中已存在来自 Beats 的 host.* 字段,且 replace_fields 等于 true,则 add_host_metadata 处理器默认情况下将覆盖主机字段。如果 Beat 用于监控外部系统,请使用 add_observer_metadata

« 添加字段 为事件生成 ID »