配置要监控的进程

packetbeat.yml配置文件的这一部分是可选的，但配置进程可以使 Packetbeat 不仅显示流量流经的服务器，还可以显示进程。Packetbeat 甚至可以显示在同一主机上运行的两个进程之间的流量，当您在同一服务器上运行许多服务时，这尤其有用。默认情况下，进程增强功能被禁用。

Packetbeat 启动后，以及之后定期扫描进程表以查找与配置文件匹配的进程。对于每个进程，它都会监控该进程打开的文件描述符。捕获新数据包时，它会读取活动 TCP 和 UDP 连接的列表，并将相应的连接与文件描述符列表匹配。

所有这些信息都可通过系统接口获得：Linux 系统中的/proc文件系统和 Windows 上的 IP Helper API（iphlpapi.dll），因此 Packetbeat 不需要内核模块。

示例配置

packetbeat.procs.enabled: true

启用进程监控器后，它将丰富其源或目标是本地进程的所有事件。当连接的服务器端或客户端属于本地进程时，将分别向事件添加source.process和/或destination.process字段。

您可以在packetbeat.yml配置文件的monitored部分中指定以下进程监控选项以自定义进程名称

进程的名称，它将显示在发布的事务中。该名称不必与可执行文件的名称匹配，因此您可以随意选择更具描述性的名称（例如，使用“myapp”代替“gunicorn”）。

用于在运行时识别进程的名称。Packetbeat 启动后，以及之后定期扫描进程表以查找与为此选项指定的匹配的值。匹配是针对从/proc/<pid>/cmdline读取的进程命令行进行的。

Packetbeat 在关闭时等待的时间。默认情况下，此选项被禁用。Packetbeat 将等待shutdown_timeout然后关闭。它不会跟踪之前是否发送了所有事件。

示例配置

packetbeat.shutdown_timeout: 5s

默认情况下，如果已存在具有相同 ID 的管道，则不会更新 Ingest 管道。如果启用此选项，Packetbeat 每次建立新的 Elasticsearch 连接时都会覆盖管道。

默认值为false。