MySQL Enterprise 模块
编辑MySQL Enterprise 模块编辑
此功能处于测试阶段,可能会发生变化。其设计和代码不如正式 GA 功能成熟,按“现状”提供,不附带任何保证。测试版功能不受正式 GA 功能支持 SLA 的约束。
这是一个用于不同类型 MySQL 日志的模块。目前专注于以 JSON 格式从 MySQL Enterprise Audit Plugin 中获取数据。
要将 Enterprise Audit Plugin 配置为以 JSON 格式输出,请按照 MySQL 文档 中的说明操作。
阅读 快速入门,了解如何配置和运行模块。
兼容性编辑
此模块已针对 MySQL Enterprise 5.7.x 和 8.0.x 进行了测试
配置模块编辑
您可以通过在 modules.d/mysqlenterprise.yml 文件中指定 变量设置 或在命令行覆盖设置来进一步优化 mysqlenterprise 模块的行为。
您必须在模块中启用至少一个文件集。 文件集默认情况下处于禁用状态。
变量设置编辑
每个文件集都有单独的变量设置,用于配置模块的行为。如果您未指定变量设置,则 mysqlenterprise 模块将使用默认值。
对于高级用例,您还可以覆盖输入设置。请参阅 覆盖输入设置。
在命令行指定设置时,请记住在设置前加上模块名称,例如,mysqlenterprise.audit.var.paths 而不是 audit.var.paths。
audit 文件集设置编辑
示例配置
- module: mysqlenterprise
audit:
var.input: file
var.paths: /home/user/mysqlauditlogs/audit.*.log
-
var.paths - 一个 glob 模式路径数组,用于指定查找日志文件的位置。这里也支持 Go Glob 支持的所有模式。例如,您可以使用通配符从预定义级别的子目录中获取所有文件:
/path/to/log/*/*.log。这将从/path/to/log的子文件夹中获取所有.log文件。它不会从/path/to/log文件夹本身获取日志文件。如果此设置为空,Filebeat 将根据您的操作系统选择日志路径。 -
var.tags - 要在事件中包含的标签列表。包含
forwarded表示事件并非源于此主机,并导致host.name不添加到事件中。默认值为[mysqlenterprise-audit]。
MySQL Enterprise ECS 字段编辑
MySQL Enterprise Audit 字段以以下方式映射到 ECS
| MySQL Enterprise 字段 | ECS 字段 | |
|---|---|---|
account.user |
server.user.name |
|
account.host |
client.domain |
|
login.os |
client.user.name |
|
login.ip |
client.ip |
|
startup_data.os_version |
host.os.full |
|
startup_data.args |
process.args |
|
connection_attributes._pid |
process.pid |
|
timestamp |
@timestamp |
字段编辑
有关模块中每个字段的描述,请参阅 导出字段 部分。