添加进程元数据
编辑添加进程元数据编辑
add_process_metadata 处理器使用来自正在运行的进程的信息来丰富事件,这些信息由其进程 ID (PID) 标识。
processors:
- add_process_metadata:
match_pids:
- process.pid
添加到事件中的字段如下所示
{
"container": {
"id": "b5285682fba7449c86452b89a800609440ecc88a7ba5f2d38bedfb85409b30b1"
},
"process": {
"args": [
"/usr/lib/systemd/systemd",
"--switched-root",
"--system",
"--deserialize",
"22"
],
"executable": "/usr/lib/systemd/systemd",
"name": "systemd",
"owner": {
"id": "0",
"name": "root"
},
"parent": {
"pid": 0
},
"pid": 1,
"start_time": "2018-08-22T08:44:50.684Z",
"title": "/usr/lib/systemd/systemd --switched-root --system --deserialize 22"
}
}
可以选择包含进程环境
...
"env": {
"HOME": "/",
"TERM": "linux",
"BOOT_IMAGE": "/boot/vmlinuz-4.11.8-300.fc26.x86_64",
"LANG": "en_US.UTF-8",
}
...
它具有以下设置
-
match_pids - 用于查找 PID 的字段列表。处理器将按顺序搜索列表,直到在当前事件中找到该字段,并且 PID 查找将应用于该字段的值。
-
target - (可选) 创建
process对象的目标前缀。默认情况下是事件的根目录。 -
include_fields - (可选) 要添加的字段列表。默认情况下,处理器将添加除
process.env之外的所有可用字段。 -
ignore_missing - (可选) 当设置为
false时,不包含 match_pids 中任何字段的事件将被丢弃,并且会生成错误。默认情况下,此条件将被忽略。 -
overwrite_keys - (可选) 默认情况下,如果目标字段已存在,则不会覆盖它,并且会记录错误。如果
overwrite_keys设置为true,则此条件将被忽略。 -
restricted_fields - (可选) 默认情况下,
process.env字段不会输出,以避免泄露敏感数据。如果restricted_fields为true,则该字段将出现在输出中。 -
host_path - (可选) 默认情况下,
host_path字段设置为主机根目录/。这是/proc挂载的路径。对于 Kubernetes 或 Docker 的不同运行时配置,可以设置host_path来覆盖默认值。 -
cgroup_prefixes - (可选) 将与 cgroup 路径匹配的前缀列表。当 cgroup 路径以列表中的前缀开头时,则返回路径的最后一个元素作为容器 ID。仅应配置
cgroup_prefixes或cgroup_rexex之一。如果两者都没有配置,则使用一个默认的cgroup_regex值,该值匹配包含 64 个字符容器 ID 的 cgroup 路径(例如来自 Docker、Kubernetes 和 Podman 的路径)。 -
cgroup_regex - (可选) 将与 cgroup 路径匹配的正则表达式。它必须包含一个捕获组。当 cgroup 路径与正则表达式匹配时,捕获组的值将作为容器 ID 返回。仅应配置
cgroup_prefixes或cgroup_rexex之一。如果两者都没有配置,则使用一个默认的cgroup_regex值,该值匹配包含 64 个字符容器 ID 的 cgroup 路径(例如来自 Docker、Kubernetes 和 Podman 的路径)。 -
cgroup_cache_expire_time - (可选) 默认情况下,
cgroup_cache_expire_time设置为 30 秒。这是 cgroup 缓存元素在秒内过期之前的时间长度。它可以设置为 0 来禁用 cgroup 缓存。在 runc 之类的某些容器运行时技术中,容器的进程也是主机内核中的进程,并将受到 PID 回绕/重用的影响。过期时间需要设置为小于 PID 回绕时间,以避免错误的容器 ID。