Agent 字段
编辑Agent 字段
编辑Agent 字段包含有关软件实体的数据(如果存在),这些实体负责在主机上收集、检测或观察事件,或对主机进行测量。
例如 Beats。Agent 也可能在观察者上运行。ECS agent.* 字段应填充在发生事件或进行测量的主机或观察者上运行的 Agent 的详细信息。
Agent 字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
Agent 的扩展构建信息。 此字段旨在包含数据源可能提供的任何构建信息,无需任何特定格式。 类型:keyword 示例: |
核心 |
|
|
此 Agent 的临时标识符(如果存在)。 此 ID 通常会在重启后更改,但 类型:keyword 示例: |
扩展 |
|
|
此 Agent 的唯一标识符(如果存在)。 示例:对于 Beats,这将是 beat.id。 类型:keyword 示例: |
核心 |
|
|
Agent 的自定义名称。 这是一个可以赋予 Agent 的名称。例如,如果同一主机上运行两个 Filebeat 实例,但需要对哪个 Filebeat 实例的数据进行区分,这将非常有用。 类型:keyword 示例: |
核心 |
|
|
Agent 的类型。 Agent 类型始终保持不变,应由使用的 Agent 提供。如果是 Filebeat,即使同一台机器上运行两个 Filebeat 实例,Agent 也始终是 Filebeat。 类型:keyword 示例: |
核心 |
|
|
Agent 的版本。 类型:keyword 示例: |
核心 |