› ›

添加主机元数据

编辑

添加主机元数据

编辑

收集日志和指标的输入默认使用此处理器，因此您无需显式配置它。

add_host_metadata 处理器使用主机上的相关元数据来注释每个事件。

如果您使用 Elastic Agent 监控外部系统，请使用 add_observer_metadata 处理器代替 add_host_metadata。

示例

编辑

  - add_host_metadata:
      cache.ttl: 5m
      geo:
        name: nyc-dc1-rack1
        location: 40.7128, -74.0060
        continent_name: North America
        country_iso_code: US
        region_name: New York
        region_iso_code: NY
        city_name: New York

添加到事件的字段如下所示

{
   "host":{
      "architecture":"x86_64",
      "name":"example-host",
      "id":"",
      "os":{
         "family":"darwin",
         "type":"macos",
         "build":"16G1212",
         "platform":"darwin",
         "version":"10.12.6",
         "kernel":"16.7.0",
         "name":"Mac OS X"
      },
      "ip": ["192.168.0.1", "10.0.0.1"],
      "mac": ["00:25:96:12:34:56", "72:00:06:ff:79:f1"],
      "geo": {
          "continent_name": "North America",
          "country_iso_code": "US",
          "region_name": "New York",
          "region_iso_code": "NY",
          "city_name": "New York",
          "name": "nyc-dc1-rack1",
          "location": "40.7128, -74.0060"
        }
   }
}

配置设置

编辑

Elastic Agent 处理器在摄取管道 *之前* 执行，这意味着它们处理原始事件数据而不是发送到 Elasticsearch 的最终事件。有关相关限制，请参阅使用处理器的某些限制是什么？

如果事件中已经存在 host.* 字段，除非您在处理器配置中将 replace_fields 设置为 true，否则默认情况下它们将被覆盖。

名称	必填	默认值	描述
`netinfo.enabled`	否	`true`	是否将 IP 地址和 MAC 地址作为字段 `host.ip` 和 `host.mac` 包含。
`cache.ttl`	否	`5m`	设置处理器使用的内部缓存的缓存过期时间。负值完全禁用缓存。
`geo.name`	否		用于标识离散位置的用户定义令牌。通常是数据中心、机架或类似位置。
`geo.location`	否		以逗号分隔的经度和纬度格式。
`geo.continent_name`	否		大陆名称。
`geo.country_name`	否		国家/地区名称。
`geo.region_name`	否		地区名称。
`geo.city_name`	否		城市名称。
`geo.country_iso_code`	否		ISO 国家/地区代码。
`geo.region_iso_code`	否		ISO 地区代码。
`replace_fields`	否	`true`	是否替换事件中的原始主机字段。如果设置为 `false`，则不会用 `add_host_metadata` 中的主机字段替换事件中的原始主机字段。

« 添加字段为事件生成 ID »