« 系统软件包数据集 系统套接字数据集 »
Elastic 文档 Auditbeat 参考 [8.14] 模块 系统模块

系统进程数据集

编辑

系统进程数据集编辑

此功能处于测试阶段,可能会发生变化。其设计和代码不如正式的 GA 功能成熟,并且按原样提供,不作任何保证。测试版功能不受正式 GA 功能的支持 SLA 的约束。

这是系统模块的 process 数据集。它在进程启动和停止时生成事件。

它适用于 Linux、macOS (Darwin) 和 Windows。

配置选项编辑

process.state.period
数据集发送完整状态信息的间隔。如果设置,这将优先于 state.period。默认值为 12h
process.hash.max_file_size
Auditbeat 将计算其哈希值的文件的最大大小(以字节为单位)。大于此大小的文件将不会进行哈希计算。默认值为 100 MiB。为了方便起见,可以将单位指定为值的 suffix。支持的单位有 b(默认)、kibkbmibmbgibgbtibtbpibpbeibeb
process.hash.hash_types
文件更改时要计算的哈希类型列表。支持的哈希类型有 blake2b_256blake2b_384blake2b_512md5sha1sha224sha256sha384sha512sha512_224sha512_256sha3_224sha3_256sha3_384sha3_512xxh64。默认值为 sha1

示例仪表板编辑

该数据集附带一个示例仪表板

Auditbeat System Process Dashboard

字段编辑

有关数据集中每个字段的描述,请参阅导出字段部分。

以下是此数据集生成的示例文档

{
    "@timestamp": "2017-10-12T08:05:34.853Z",
    "event": {
        "action": "process_stopped",
        "dataset": "process",
        "kind": "event",
        "module": "system"
    },
    "message": "Process zsh (PID: 9086) by user elastic STOPPED",
    "process": {
        "args": [
            "zsh"
        ],
        "entity_id": "+fYshazplsMYlr0y",
        "executable": "/bin/zsh",
        "hash": {
            "sha1": "33646536613061316366353134643135613631643363383733653261373130393737633131303364"
        },
        "name": "zsh",
        "pid": 9086,
        "ppid": 9085,
        "start": "2019-01-01T00:00:01Z",
        "working_directory": "/home/elastic"
    },
    "service": {
        "type": "system"
    },
    "user": {
        "effective": {
            "group": {
                "id": "1000"
            },
            "id": "1000"
        },
        "group": {
            "id": "1000",
            "name": "elastic"
        },
        "id": "1000",
        "name": "elastic",
        "saved": {
            "group": {
                "id": "1000"
            },
            "id": "1000"
        }
    }
}
« 系统软件包数据集 系统套接字数据集 »