配置要监控的进程
编辑配置要监控的进程
编辑`packetbeat.yml` 配置文件的此部分是可选的,但是配置进程可以使 Packetbeat 不仅显示流量在哪些服务器之间流动,还可以显示流量在哪些进程之间流动。Packetbeat 甚至可以显示同一主机上运行的两个进程之间的流量,这在同一服务器上运行多个服务时特别有用。默认情况下,进程增强功能是禁用的。
当 Packetbeat 启动时,以及之后定期启动时,它会扫描进程表以查找与配置文件匹配的进程。对于每个这些进程,它会监视其打开的文件描述符。当捕获到新的数据包时,它会读取活动 TCP 和 UDP 连接的列表,并将相应的连接与文件描述符列表进行匹配。
所有这些信息都可通过系统接口获得:Linux 中的 `/proc` 文件系统和 Windows 上的 IP Helper API (`iphlpapi.dll`),因此 Packetbeat 不需要内核模块。
进程监控目前仅在 Linux 和 Windows 系统上受支持。当 Packetbeat 检测到其他操作系统时,会自动禁用进程监控。
配置示例
packetbeat.procs.enabled: true
启用进程监控后,它将丰富所有源或目标是本地进程的事件。当连接的服务器端或客户端属于本地进程时,`source.process` 和/或 `destination.process` 字段将被添加到事件中。
配置选项
编辑您可以在 `packetbeat.yml` 配置文件的 `monitored` 部分中指定以下进程监控选项,以自定义进程的名称
process
编辑该进程在已发布的事务中显示的名称。该名称不必与可执行文件的名称匹配,因此可以随意选择更具描述性的名称(例如,“myapp”而不是“gunicorn”)。
cmdline_grep
编辑在运行时用于标识进程的名称。当 Packetbeat 启动时,以及之后定期启动时,它会扫描进程表以查找与此选项指定的值匹配的进程。该匹配是根据从 `/proc/
shutdown_timeout
编辑Packetbeat 在关闭时等待的时间。默认情况下,此选项处于禁用状态。Packetbeat 将等待 `shutdown_timeout` 时间然后关闭。它不会跟踪之前是否发送了所有事件。
配置示例
packetbeat.shutdown_timeout: 5s
overwrite_pipelines
编辑默认情况下,如果已存在具有相同 ID 的管道,则不会更新 Ingest 管道。如果启用此选项,则 Packetbeat 会在每次建立新的 Elasticsearch 连接时覆盖管道。
默认值为 false
。