配置要监控的进程

`packetbeat.yml` 配置文件的此部分是可选的，但是配置进程可以使 Packetbeat 不仅显示流量在哪些服务器之间流动，还可以显示流量在哪些进程之间流动。Packetbeat 甚至可以显示同一主机上运行的两个进程之间的流量，这在同一服务器上运行多个服务时特别有用。默认情况下，进程增强功能是禁用的。

当 Packetbeat 启动时，以及之后定期启动时，它会扫描进程表以查找与配置文件匹配的进程。对于每个这些进程，它会监视其打开的文件描述符。当捕获到新的数据包时，它会读取活动 TCP 和 UDP 连接的列表，并将相应的连接与文件描述符列表进行匹配。

所有这些信息都可通过系统接口获得：Linux 中的 `/proc` 文件系统和 Windows 上的 IP Helper API (`iphlpapi.dll`)，因此 Packetbeat 不需要内核模块。

配置示例

packetbeat.procs.enabled: true

启用进程监控后，它将丰富所有源或目标是本地进程的事件。当连接的服务器端或客户端属于本地进程时，`source.process` 和/或 `destination.process` 字段将被添加到事件中。

您可以在 `packetbeat.yml` 配置文件的 `monitored` 部分中指定以下进程监控选项，以自定义进程的名称

该进程在已发布的事务中显示的名称。该名称不必与可执行文件的名称匹配，因此可以随意选择更具描述性的名称（例如，“myapp”而不是“gunicorn”）。

在运行时用于标识进程的名称。当 Packetbeat 启动时，以及之后定期启动时，它会扫描进程表以查找与此选项指定的值匹配的进程。该匹配是根据从 `/proc//cmdline` 读取的进程命令行完成的。

Packetbeat 在关闭时等待的时间。默认情况下，此选项处于禁用状态。Packetbeat 将等待 `shutdown_timeout` 时间然后关闭。它不会跟踪之前是否发送了所有事件。

配置示例

packetbeat.shutdown_timeout: 5s

默认情况下，如果已存在具有相同 ID 的管道，则不会更新 Ingest 管道。如果启用此选项，则 Packetbeat 会在每次建立新的 Elasticsearch 连接时覆盖管道。

默认值为 false。