系统进程数据集
编辑系统进程数据集
编辑此功能处于 Beta 测试阶段,可能会发生变化。其设计和代码不如正式 GA 功能成熟,按“现状”提供,不提供任何保证。Beta 功能不受正式 GA 功能的支持 SLA 约束。
这是系统模块的 process 数据集。它会在进程启动和停止时生成事件。
它已为 Linux、macOS (Darwin) 和 Windows 实现。
配置选项
编辑-
process.state.period - 数据集发送完整状态信息的间隔。如果设置,此选项将优先于
state.period。默认值为12h。 -
process.hash.max_file_size - Auditbeat 将计算哈希的文件最大大小(以字节为单位)。大于此大小的文件将不进行哈希处理。默认值为 100 MiB。为方便起见,可以将单位指定为值的后缀。支持的单位为
b(默认)、kib、kb、mib、mb、gib、gb、tib、tb、pib、pb、eib和eb。 -
process.hash.hash_types - 文件更改时要计算的哈希类型列表。支持的哈希类型为
blake2b_256、blake2b_384、blake2b_512、md5、sha1、sha224、sha256、sha384、sha512、sha512_224、sha512_256、sha3_224、sha3_256、sha3_384、sha3_512和xxh64。默认值为sha1。
示例仪表板
编辑数据集附带一个示例仪表板
字段
编辑有关数据集中每个字段的描述,请参阅导出的字段部分。
这是此数据集生成的示例文档
{
"@timestamp": "2017-10-12T08:05:34.853Z",
"event": {
"action": "process_stopped",
"dataset": "process",
"kind": "event",
"module": "system"
},
"message": "Process zsh (PID: 9086) by user elastic STOPPED",
"process": {
"args": [
"zsh"
],
"entity_id": "+fYshazplsMYlr0y",
"executable": "/bin/zsh",
"hash": {
"sha1": "33646536613061316366353134643135613631643363383733653261373130393737633131303364"
},
"name": "zsh",
"pid": 9086,
"ppid": 9085,
"start": "2019-01-01T00:00:01Z",
"working_directory": "/home/elastic"
},
"service": {
"type": "system"
},
"user": {
"effective": {
"group": {
"id": "1000"
},
"id": "1000"
},
"group": {
"id": "1000",
"name": "elastic"
},
"id": "1000",
"name": "elastic",
"saved": {
"group": {
"id": "1000"
},
"id": "1000"
}
}
}