MySQL Enterprise 模块
编辑MySQL Enterprise 模块
编辑此功能处于测试阶段,可能随时更改。其设计和代码不如正式 GA 功能成熟,按现状提供,不提供任何担保。测试版功能不受正式 GA 功能支持 SLA 的约束。
这是一个用于不同类型 MySQL 日志的模块。目前专注于 MySQL Enterprise Audit 插件以 JSON 格式生成的数据。
要将 Enterprise Audit 插件配置为以 JSON 格式输出,请按照MySQL 文档中的说明操作。
阅读快速入门,了解如何配置和运行模块。
兼容性
编辑此模块已针对 MySQL Enterprise 5.7.x 和 8.0.x 版本进行了测试。
配置模块
编辑您可以通过在modules.d/mysqlenterprise.yml文件中指定变量设置或在命令行中覆盖设置,进一步优化mysqlenterprise模块的行为。
您必须在模块中启用至少一个文件集。文件集默认情况下处于禁用状态。
变量设置
编辑每个文件集都有单独的变量设置,用于配置模块的行为。如果您未指定变量设置,mysqlenterprise模块将使用默认设置。
对于高级用例,您还可以覆盖输入设置。请参阅覆盖输入设置。
在命令行中指定设置时,请记住在设置前加上模块名称前缀,例如,使用mysqlenterprise.audit.var.paths而不是audit.var.paths。
audit文件集设置
编辑示例配置
- module: mysqlenterprise
audit:
var.input: file
var.paths: /home/user/mysqlauditlogs/audit.*.log
-
var.paths - 指定查找日志文件位置的一组基于 glob 的路径。Go Glob支持的所有模式在此处也受支持。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将获取/path/to/log子文件夹中的所有.log文件。它不会获取/path/to/log文件夹本身中的日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要在事件中包含的标签列表。包含
forwarded表示事件并非源自此主机,并且不会将host.name添加到事件中。默认为[mysqlenterprise-audit]。
MySQL Enterprise ECS 字段
编辑MySQL Enterprise Audit 字段映射到 ECS 的方式如下
| MySQL Enterprise 字段 | ECS 字段 | |
|---|---|---|
account.user |
server.user.name |
|
account.host |
client.domain |
|
login.os |
client.user.name |
|
login.ip |
client.ip |
|
startup_data.os_version |
host.os.full |
|
startup_data.args |
process.args |
|
connection_attributes._pid |
process.pid |
|
timestamp |
@timestamp |
字段
编辑有关模块中每个字段的说明,请参阅导出字段部分。