添加主机元数据

编辑

收集日志和指标的输入默认使用此处理器,因此您无需显式配置它。

add_host_metadata 处理器使用来自主机计算机的相关元数据来注释每个事件。

如果您使用 Elastic Agent 监控外部系统,请使用 add_observer_metadata 处理器,而不是 add_host_metadata

示例

编辑
  - add_host_metadata:
      cache.ttl: 5m
      geo:
        name: nyc-dc1-rack1
        location: 40.7128, -74.0060
        continent_name: North America
        country_iso_code: US
        region_name: New York
        region_iso_code: NY
        city_name: New York

添加到事件的字段如下所示

{
   "host":{
      "architecture":"x86_64",
      "name":"example-host",
      "id":"",
      "os":{
         "family":"darwin",
         "type":"macos",
         "build":"16G1212",
         "platform":"darwin",
         "version":"10.12.6",
         "kernel":"16.7.0",
         "name":"Mac OS X"
      },
      "ip": ["192.168.0.1", "10.0.0.1"],
      "mac": ["00:25:96:12:34:56", "72:00:06:ff:79:f1"],
      "geo": {
          "continent_name": "North America",
          "country_iso_code": "US",
          "region_name": "New York",
          "region_iso_code": "NY",
          "city_name": "New York",
          "name": "nyc-dc1-rack1",
          "location": "40.7128, -74.0060"
        }
   }
}

配置设置

编辑

Elastic Agent 处理器在摄取管道之前执行,这意味着它们处理原始事件数据,而不是发送到 Elasticsearch 的最终事件。有关相关限制,请参阅 使用处理器有哪些限制?

如果事件中已经存在 host.* 字段,则默认情况下它们会被覆盖,除非您在处理器配置中将 replace_fields 设置为 true

名称 必填 默认值 描述

netinfo.enabled

true

是否将 IP 地址和 MAC 地址作为字段 host.iphost.mac 包含在内。

cache.ttl

5m

设置处理器使用的内部缓存的缓存过期时间。负值会完全禁用缓存。

geo.name

用于标识离散位置的用户可定义令牌。通常是数据中心、机架或类似的位置。

geo.location

以逗号分隔的格式表示的经度和纬度。

geo.continent_name

洲的名称。

geo.country_name

国家的名称。

geo.region_name

地区的名称。

geo.city_name

城市的名称。

geo.country_iso_code

ISO 国家代码。

geo.region_iso_code

ISO 地区代码。

replace_fields

true

是否替换事件中的原始主机字段。如果设置为 false,则事件中的原始主机字段不会被 add_host_metadata 中的主机字段替换。