添加进程元数据
编辑添加进程元数据
编辑add_process_metadata
处理器使用运行中的进程信息来丰富事件,这些进程通过其进程 ID (PID) 来标识。
processors: - add_process_metadata: match_pids: - process.pid
添加到事件中的字段如下所示:
{ "container": { "id": "b5285682fba7449c86452b89a800609440ecc88a7ba5f2d38bedfb85409b30b1" }, "process": { "args": [ "/usr/lib/systemd/systemd", "--switched-root", "--system", "--deserialize", "22" ], "executable": "/usr/lib/systemd/systemd", "name": "systemd", "owner": { "id": "0", "name": "root" }, "parent": { "pid": 0 }, "pid": 1, "start_time": "2018-08-22T08:44:50.684Z", "title": "/usr/lib/systemd/systemd --switched-root --system --deserialize 22" } }
(可选)也可以包含进程环境。
... "env": { "HOME": "/", "TERM": "linux", "BOOT_IMAGE": "/boot/vmlinuz-4.11.8-300.fc26.x86_64", "LANG": "en_US.UTF-8", } ...
它具有以下设置:
-
match_pids
- 用于查找 PID 的字段列表。处理器将按顺序搜索列表,直到在当前事件中找到该字段,然后将 PID 查找应用于该字段的值。
-
target
- (可选)将创建
process
对象的目标前缀。默认为事件的根目录。 -
include_fields
- (可选)要添加的字段列表。默认情况下,处理器将添加所有可用字段,但
process.env
除外。 -
ignore_missing
- (可选)当设置为
false
时,不包含match_pids
中任何字段的事件将被丢弃,并生成错误。默认情况下,此条件将被忽略。 -
overwrite_keys
- (可选)默认情况下,如果目标字段已存在,则不会覆盖它,并且会记录一个错误。如果
overwrite_keys
设置为true
,则会忽略此条件。 -
restricted_fields
- (可选)默认情况下,为了避免泄露敏感数据,不会输出
process.env
字段。如果restricted_fields
为true
,则该字段将出现在输出中。 -
host_path
- (可选)默认情况下,
host_path
字段设置为主机根目录/
。/proc
挂载在此路径下。对于 Kubernetes 或 Docker 的不同运行时配置,可以设置host_path
来覆盖默认值。 -
cgroup_prefixes
- (可选)将与 cgroup 路径匹配的前缀列表。当 cgroup 路径以列表中的前缀开头时,该路径的最后一个元素将作为容器 ID 返回。只能配置
cgroup_prefixes
和cgroup_rexex
中的一个。如果两者都未配置,则使用默认的cgroup_regex
值,该值匹配包含 64 个字符容器 ID 的 cgroup 路径(如来自 Docker、Kubernetes 和 Podman 的那些)。 -
cgroup_regex
- (可选)将与 cgroup 路径匹配的正则表达式。它必须包含一个捕获组。当 cgroup 路径与正则表达式匹配时,捕获组的值将作为容器 ID 返回。只能配置
cgroup_prefixes
和cgroup_rexex
中的一个。如果两者都未配置,则使用默认的cgroup_regex
值,该值匹配包含 64 个字符容器 ID 的 cgroup 路径(如来自 Docker、Kubernetes 和 Podman 的那些)。 -
cgroup_cache_expire_time
- (可选)默认情况下,
cgroup_cache_expire_time
设置为 30 秒。这是 cgroup 缓存元素过期的秒数长度。可以设置为 0 以禁用 cgroup 缓存。在某些容器运行时技术(如 runc)中,容器的进程也是主机内核中的进程,并且会受到 PID 滚动/重用的影响。过期时间需要设置小于 PID 回绕时间,以避免错误的容器 ID。