添加主机元数据
编辑添加主机元数据
编辑收集日志和指标的输入默认使用此处理器,因此您无需显式配置它。
add_host_metadata
处理器使用来自主机计算机的相关元数据来注释每个事件。
如果您使用 Elastic Agent 监控外部系统,请使用 add_observer_metadata
处理器,而不是 add_host_metadata
。
示例
编辑- add_host_metadata: cache.ttl: 5m geo: name: nyc-dc1-rack1 location: 40.7128, -74.0060 continent_name: North America country_iso_code: US region_name: New York region_iso_code: NY city_name: New York
添加到事件的字段如下所示
{ "host":{ "architecture":"x86_64", "name":"example-host", "id":"", "os":{ "family":"darwin", "type":"macos", "build":"16G1212", "platform":"darwin", "version":"10.12.6", "kernel":"16.7.0", "name":"Mac OS X" }, "ip": ["192.168.0.1", "10.0.0.1"], "mac": ["00:25:96:12:34:56", "72:00:06:ff:79:f1"], "geo": { "continent_name": "North America", "country_iso_code": "US", "region_name": "New York", "region_iso_code": "NY", "city_name": "New York", "name": "nyc-dc1-rack1", "location": "40.7128, -74.0060" } } }
配置设置
编辑Elastic Agent 处理器在摄取管道之前执行,这意味着它们处理原始事件数据,而不是发送到 Elasticsearch 的最终事件。有关相关限制,请参阅 使用处理器有哪些限制?
如果事件中已经存在 host.*
字段,则默认情况下它们会被覆盖,除非您在处理器配置中将 replace_fields
设置为 true
。
名称 | 必填 | 默认值 | 描述 |
---|---|---|---|
|
否 |
|
是否将 IP 地址和 MAC 地址作为字段 |
|
否 |
|
设置处理器使用的内部缓存的缓存过期时间。负值会完全禁用缓存。 |
|
否 |
用于标识离散位置的用户可定义令牌。通常是数据中心、机架或类似的位置。 |
|
|
否 |
以逗号分隔的格式表示的经度和纬度。 |
|
|
否 |
洲的名称。 |
|
|
否 |
国家的名称。 |
|
|
否 |
地区的名称。 |
|
|
否 |
城市的名称。 |
|
|
否 |
ISO 国家代码。 |
|
|
否 |
ISO 地区代码。 |
|
|
否 |
|
是否替换事件中的原始主机字段。如果设置为 |