添加进程元数据

编辑

add_process_metadata 处理器使用运行中的进程信息来丰富事件,这些进程通过其进程 ID (PID) 来标识。

processors:
  - add_process_metadata:
      match_pids:
        - process.pid

添加到事件中的字段如下所示:

{
  "container": {
    "id": "b5285682fba7449c86452b89a800609440ecc88a7ba5f2d38bedfb85409b30b1"
  },
  "process": {
    "args": [
      "/usr/lib/systemd/systemd",
      "--switched-root",
      "--system",
      "--deserialize",
      "22"
    ],
    "executable": "/usr/lib/systemd/systemd",
    "name": "systemd",
    "owner": {
      "id": "0",
      "name": "root"
    },
    "parent": {
      "pid": 0
    },
    "pid": 1,
    "start_time": "2018-08-22T08:44:50.684Z",
    "title": "/usr/lib/systemd/systemd --switched-root --system --deserialize 22"
  }
}

(可选)也可以包含进程环境。

  ...
  "env": {
    "HOME":       "/",
    "TERM":       "linux",
    "BOOT_IMAGE": "/boot/vmlinuz-4.11.8-300.fc26.x86_64",
    "LANG":       "en_US.UTF-8",
  }
  ...

它具有以下设置:

match_pids
用于查找 PID 的字段列表。处理器将按顺序搜索列表,直到在当前事件中找到该字段,然后将 PID 查找应用于该字段的值。
target
(可选)将创建 process 对象的目标前缀。默认为事件的根目录。
include_fields
(可选)要添加的字段列表。默认情况下,处理器将添加所有可用字段,但 process.env 除外。
ignore_missing
(可选)当设置为 false 时,不包含 match_pids 中任何字段的事件将被丢弃,并生成错误。默认情况下,此条件将被忽略。
overwrite_keys
(可选)默认情况下,如果目标字段已存在,则不会覆盖它,并且会记录一个错误。如果 overwrite_keys 设置为 true,则会忽略此条件。
restricted_fields
(可选)默认情况下,为了避免泄露敏感数据,不会输出 process.env 字段。如果 restricted_fieldstrue,则该字段将出现在输出中。
host_path
(可选)默认情况下,host_path 字段设置为主机根目录 //proc 挂载在此路径下。对于 Kubernetes 或 Docker 的不同运行时配置,可以设置 host_path 来覆盖默认值。
cgroup_prefixes
(可选)将与 cgroup 路径匹配的前缀列表。当 cgroup 路径以列表中的前缀开头时,该路径的最后一个元素将作为容器 ID 返回。只能配置 cgroup_prefixescgroup_rexex 中的一个。如果两者都未配置,则使用默认的 cgroup_regex 值,该值匹配包含 64 个字符容器 ID 的 cgroup 路径(如来自 Docker、Kubernetes 和 Podman 的那些)。
cgroup_regex
(可选)将与 cgroup 路径匹配的正则表达式。它必须包含一个捕获组。当 cgroup 路径与正则表达式匹配时,捕获组的值将作为容器 ID 返回。只能配置 cgroup_prefixescgroup_rexex 中的一个。如果两者都未配置,则使用默认的 cgroup_regex 值,该值匹配包含 64 个字符容器 ID 的 cgroup 路径(如来自 Docker、Kubernetes 和 Podman 的那些)。
cgroup_cache_expire_time
(可选)默认情况下,cgroup_cache_expire_time 设置为 30 秒。这是 cgroup 缓存元素过期的秒数长度。可以设置为 0 以禁用 cgroup 缓存。在某些容器运行时技术(如 runc)中,容器的进程也是主机内核中的进程,并且会受到 PID 滚动/重用的影响。过期时间需要设置小于 PID 回绕时间,以避免错误的容器 ID。