- Filebeat 参考其他版本
- Filebeat 概述
- 快速入门:安装和配置
- 设置和运行
- 升级
- Filebeat 的工作原理
- 配置
- 输入
- 模块
- 通用设置
- 项目路径
- 配置文件加载
- 输出
- Kerberos
- SSL
- 索引生命周期管理 (ILM)
- Elasticsearch 索引模板
- Kibana 端点
- Kibana 仪表板
- 处理器
- 定义处理器
- add_cloud_metadata
- add_cloudfoundry_metadata
- add_docker_metadata
- add_fields
- add_host_metadata
- add_id
- add_kubernetes_metadata
- add_labels
- add_locale
- add_network_direction
- add_nomad_metadata
- add_observer_metadata
- add_process_metadata
- add_tags
- append
- cache
- community_id
- convert
- copy_fields
- decode_base64_field
- decode_cef
- decode_csv_fields
- decode_duration
- decode_json_fields
- decode_xml
- decode_xml_wineventlog
- decompress_gzip_field
- detect_mime_type
- dissect
- dns
- drop_event
- drop_fields
- extract_array
- fingerprint
- include_fields
- move_fields
- parse_aws_vpc_flow_log
- rate_limit
- registered_domain
- rename
- replace
- script
- syslog
- timestamp
- translate_ldap_attribute
- translate_sid
- truncate_fields
- urldecode
- 自动发现
- 内部队列
- 日志记录
- HTTP 端点
- 正则表达式支持
- 检测
- 功能标志
- filebeat.reference.yml
- 操作指南
- 模块
- 模块概述
- ActiveMQ 模块
- Apache 模块
- Auditd 模块
- AWS 模块
- AWS Fargate 模块
- Azure 模块
- CEF 模块
- Check Point 模块
- Cisco 模块
- CoreDNS 模块
- CrowdStrike 模块
- Cyberark PAS 模块
- Elasticsearch 模块
- Envoyproxy 模块
- Fortinet 模块
- Google Cloud 模块
- Google Workspace 模块
- HAproxy 模块
- IBM MQ 模块
- Icinga 模块
- IIS 模块
- Iptables 模块
- Juniper 模块
- Kafka 模块
- Kibana 模块
- Logstash 模块
- Microsoft 模块
- MISP 模块
- MongoDB 模块
- MSSQL 模块
- MySQL 模块
- MySQL Enterprise 模块
- NATS 模块
- NetFlow 模块
- Nginx 模块
- Office 365 模块
- Okta 模块
- Oracle 模块
- Osquery 模块
- Palo Alto Networks 模块
- pensando 模块
- PostgreSQL 模块
- RabbitMQ 模块
- Redis 模块
- Salesforce 模块
- Santa 模块
- Snyk 模块
- Sophos 模块
- Suricata 模块
- System 模块
- Threat Intel 模块
- Traefik 模块
- Zeek (Bro) 模块
- ZooKeeper 模块
- Zoom 模块
- 导出的字段
- ActiveMQ 字段
- Apache 字段
- Auditd 字段
- AWS 字段
- AWS CloudWatch 字段
- AWS Fargate 字段
- Azure 字段
- Beat 字段
- 解码 CEF 处理器字段
- CEF 字段
- Checkpoint 字段
- Cisco 字段
- 云提供商元数据字段
- Coredns 字段
- Crowdstrike 字段
- CyberArk PAS 字段
- Docker 字段
- ECS 字段
- Elasticsearch 字段
- Envoyproxy 字段
- Fortinet 字段
- Google Cloud Platform (GCP) 字段
- google_workspace 字段
- HAProxy 字段
- 主机字段
- ibmmq 字段
- Icinga 字段
- IIS 字段
- iptables 字段
- Jolokia Discovery 自动发现提供程序字段
- Juniper JUNOS 字段
- Kafka 字段
- kibana 字段
- Kubernetes 字段
- 日志文件内容字段
- logstash 字段
- Lumberjack 字段
- Microsoft 字段
- MISP 字段
- mongodb 字段
- mssql 字段
- MySQL 字段
- MySQL Enterprise 字段
- NATS 字段
- NetFlow 字段
- Nginx 字段
- Office 365 字段
- Okta 字段
- Oracle 字段
- Osquery 字段
- panw 字段
- Pensando 字段
- PostgreSQL 字段
- 进程字段
- RabbitMQ 字段
- Redis 字段
- s3 字段
- Salesforce 字段
- Google Santa 字段
- Snyk 字段
- sophos 字段
- Suricata 字段
- System 字段
- threatintel 字段
- Traefik 字段
- Windows ETW 字段
- Zeek 字段
- ZooKeeper 字段
- Zoom 字段
- 监控
- 安全
- 故障排除
- 获取帮助
- 调试
- 了解记录的指标
- 常见问题
- 在使用 Kubernetes 元数据时提取容器 ID 时出错
- 无法从网络卷读取日志文件
- Filebeat 未从文件中收集行
- 打开的文件句柄过多
- 注册表文件太大
- Inode 重用导致 Filebeat 跳过行
- 日志轮换导致事件丢失或重复
- 打开的文件句柄导致 Windows 文件轮换出现问题
- Filebeat 占用过多 CPU
- Kibana 中的仪表板错误地分解数据字段
- 字段未在 Kibana 可视化中编制索引或可用
- Filebeat 未传输文件的最后一行
- Filebeat 长时间保持已删除文件的打开文件句柄
- Filebeat 使用过多带宽
- 加载配置文件时出错
- 发现意外或未知字符
- Logstash 连接不起作用
- 发布到 Logstash 失败,并显示“connection reset by peer”消息
- @metadata 在 Logstash 中丢失
- 不确定是使用 Logstash 还是 Beats
- SSL 客户端无法连接到 Logstash
- 监控 UI 显示的 Beats 比预期的少
- 仪表板无法定位索引模式
- 由于 MADV 设置导致高 RSS 内存使用率
- 为 Beats 做贡献
添加云元数据
编辑添加云元数据
编辑add_cloud_metadata 处理器使用来自机器托管提供商的实例元数据来丰富每个事件。在启动时,它会查询一系列托管提供商,并缓存实例元数据。
支持以下云提供商
- 亚马逊云服务 (AWS)
- Digital Ocean
- 谷歌计算引擎 (GCE)
- 腾讯云 (QCloud)
- 阿里云 (ECS)
- 华为云 (ECS)
- Azure 虚拟机
- Openstack Nova
- Hetzner Cloud
huawei 是 openstack 的别名。华为云运行在 OpenStack 平台上,并且从元数据 API 的角度来看,无法将其与 OpenStack 区分开来。如果您知道您的部署仅在华为云上运行,并且希望将 cloud.provider 的值设置为 huawei,您可以使用 add_fields 处理器覆盖该值来实现此目的。
默认情况下,阿里云和腾讯云提供商处于禁用状态,因为它们需要访问远程主机。providers 设置允许用户选择要查询的默认提供商列表。
下面的简单配置启用了该处理器。
processors: - add_cloud_metadata: ~
add_cloud_metadata 处理器有三个可选的配置设置。第一个是 timeout,它指定在检测托管提供商时等待成功响应的最大时间量。默认超时值为 3s。
如果发生超时,则不会将实例元数据添加到事件中。这使得可以为所有部署(在云端或本地)启用此处理器。
第二个可选设置是 providers。providers 设置接受要使用的云提供商名称列表。如果未配置 providers,则默认情况下会启用所有不访问远程端点的提供商。也可以使用环境变量 BEATS_ADD_CLOUD_METADATA_PROVIDERS 配置提供商列表,方法是将其设置为以逗号分隔的提供商名称列表。
providers 设置支持的名称列表
- “alibaba” 或 “ecs”,用于阿里云提供商(默认禁用)。
- “azure”,用于 Azure 虚拟机(默认启用)。如果虚拟机是 AKS 托管集群的一部分,则还可以检索字段
orchestrator.cluster.name和orchestrator.cluster.id。需要设置 “TENANT_ID”、“CLIENT_ID” 和 “CLIENT_SECRET” 环境变量以进行身份验证。如果未设置,我们将回退到 DefaultAzureCredential,用户可以选择不同的身份验证方法(例如,工作负载标识)。 - “digitalocean”,用于 Digital Ocean(默认启用)。
- “aws” 或 “ec2”,用于亚马逊云服务(默认启用)。
- “gcp”,用于 Google Compute Engine(默认启用)。
- “openstack”、“nova” 或 “huawei”,用于 Openstack Nova(默认启用)。
- “openstack-ssl” 或 “nova-ssl”,用于启用 SSL 元数据 API 时 Openstack Nova(默认启用)。
- “tencent” 或 “qcloud”,用于腾讯云(默认禁用)。
- “hetzner”,用于 Hetzner Cloud(默认启用)。
第三个可选配置设置是 overwrite。当 overwrite 为 true 时,add_cloud_metadata 将覆盖现有的 cloud.* 字段(默认为 false)。
add_cloud_metadata 处理器支持 SSL 选项,用于配置用于查询云元数据的 HTTP 客户端。有关详细信息,请参阅 SSL。
添加到事件中的元数据因托管提供商而异。以下是每个受支持提供商的示例。
AWS
下面给出的元数据是从 实例身份文档 中提取的。
{ "cloud": { "account.id": "123456789012", "availability_zone": "us-east-1c", "instance.id": "i-4e123456", "machine.type": "t2.medium", "image.id": "ami-abcd1234", "provider": "aws", "region": "us-east-1" } }
如果 EC2 实例启用了 IMDS,并且允许通过 IMDS 端点使用标签,则处理器将进一步在元数据中附加标签。有关详细信息,请参阅 IMDS 端点上的官方文档。
{ "aws": { "tags": { "org" : "myOrg", "owner": "userID" } } }
Digital Ocean
{ "cloud": { "instance.id": "1234567", "provider": "digitalocean", "region": "nyc2" } }
GCP
{ "cloud": { "availability_zone": "us-east1-b", "instance.id": "1234556778987654321", "machine.type": "f1-micro", "project.id": "my-dev", "provider": "gcp" } }
腾讯云
{ "cloud": { "availability_zone": "gz-azone2", "instance.id": "ins-qcloudv5", "provider": "qcloud", "region": "china-south-gz" } }
阿里云
仅当选择 VPC 作为 ECS 实例的网络类型时,此元数据才可用。
{ "cloud": { "availability_zone": "cn-shenzhen", "instance.id": "i-wz9g2hqiikg0aliyun2b", "provider": "ecs", "region": "cn-shenzhen-a" } }
Azure 虚拟机
{ "cloud": { "provider": "azure", "instance.id": "04ab04c3-63de-4709-a9f9-9ab8c0411d5e", "instance.name": "test-az-vm", "machine.type": "Standard_D3_v2", "region": "eastus2" } }
Openstack Nova
{ "cloud": { "instance.name": "test-998d932195.mycloud.tld", "instance.id": "i-00011a84", "availability_zone": "xxxx-az-c", "provider": "openstack", "machine.type": "m2.large" } }
Hetzner Cloud
{ "cloud": { "availability_zone": "hel1-dc2", "instance.name": "my-hetzner-instance", "instance.id": "111111", "provider": "hetzner", "region": "eu-central" } }
Was this helpful?
Thank you for your feedback.