配置要监控的进程

编辑

`packetbeat.yml` 配置文件的此部分是可选的,但是配置进程可以使 Packetbeat 不仅显示流量在哪些服务器之间流动,还可以显示流量在哪些进程之间流动。Packetbeat 甚至可以显示同一主机上运行的两个进程之间的流量,这在同一服务器上运行多个服务时特别有用。默认情况下,进程增强功能是禁用的。

当 Packetbeat 启动时,以及之后定期启动时,它会扫描进程表以查找与配置文件匹配的进程。对于每个这些进程,它会监视其打开的文件描述符。当捕获到新的数据包时,它会读取活动 TCP 和 UDP 连接的列表,并将相应的连接与文件描述符列表进行匹配。

所有这些信息都可通过系统接口获得:Linux 中的 `/proc` 文件系统和 Windows 上的 IP Helper API (`iphlpapi.dll`),因此 Packetbeat 不需要内核模块。

进程监控目前仅在 Linux 和 Windows 系统上受支持。当 Packetbeat 检测到其他操作系统时,会自动禁用进程监控。

配置示例

packetbeat.procs.enabled: true

启用进程监控后,它将丰富所有源或目标是本地进程的事件。当连接的服务器端或客户端属于本地进程时,`source.process` 和/或 `destination.process` 字段将被添加到事件中。

配置选项

编辑

您可以在 `packetbeat.yml` 配置文件的 `monitored` 部分中指定以下进程监控选项,以自定义进程的名称

process

编辑

该进程在已发布的事务中显示的名称。该名称不必与可执行文件的名称匹配,因此可以随意选择更具描述性的名称(例如,“myapp”而不是“gunicorn”)。

cmdline_grep

编辑

在运行时用于标识进程的名称。当 Packetbeat 启动时,以及之后定期启动时,它会扫描进程表以查找与此选项指定的值匹配的进程。该匹配是根据从 `/proc//cmdline` 读取的进程命令行完成的。

shutdown_timeout

编辑

Packetbeat 在关闭时等待的时间。默认情况下,此选项处于禁用状态。Packetbeat 将等待 `shutdown_timeout` 时间然后关闭。它不会跟踪之前是否发送了所有事件。

配置示例

packetbeat.shutdown_timeout: 5s

overwrite_pipelines

编辑

默认情况下,如果已存在具有相同 ID 的管道,则不会更新 Ingest 管道。如果启用此选项,则 Packetbeat 会在每次建立新的 Elasticsearch 连接时覆盖管道。

默认值为 false