添加观察者元数据

编辑

此功能为测试版,可能会发生更改。其设计和代码不如正式 GA 功能成熟,按原样提供,不提供任何担保。测试版功能不受正式 GA 功能的支持 SLA 约束。

add_observer_metadata 处理器使用来自观察者机器的相关元数据注释每个事件。

示例

编辑
  - add_observer_metadata:
      cache.ttl: 5m
      geo:
        name: nyc-dc1-rack1
        location: 40.7128, -74.0060
        continent_name: North America
        country_iso_code: US
        region_name: New York
        region_iso_code: NY
        city_name: New York

添加到事件的字段如下所示

{
  "observer" : {
    "hostname" : "avce",
    "type" : "heartbeat",
    "vendor" : "elastic",
    "ip" : [
      "192.168.1.251",
      "fe80::64b2:c3ff:fe5b:b974",
    ],
    "mac" : [
      "dc:c1:02:6f:1b:ed",
    ],
    "geo": {
      "continent_name": "North America",
      "country_iso_code": "US",
      "region_name": "New York",
      "region_iso_code": "NY",
      "city_name": "New York",
      "name": "nyc-dc1-rack1",
      "location": "40.7128, -74.0060"
    }
  }
}

配置设置

编辑

Elastic Agent 处理器在摄取管道之前执行,这意味着它们处理原始事件数据,而不是发送到 Elasticsearch 的最终事件。有关相关限制,请参阅使用处理器有哪些限制?

名称 必需 默认值 描述

netinfo.enabled

true

是否将 IP 地址和 MAC 地址作为字段 observer.ipobserver.mac 包含在内。

cache.ttl

5 分钟

设置处理器使用的内部缓存的缓存过期时间。负值完全禁用缓存。

geo.name

用户可定义的令牌,用于标识离散位置。通常是数据中心、机架或类似位置。

geo.location

以逗号分隔的格式表示的经度和纬度。

geo.continent_name

大陆的名称。

geo.country_name

国家的名称。

geo.region_name

地区的名称。

geo.city_name

城市的名称。

geo.country_iso_code

ISO 国家代码。

geo.region_iso_code

ISO 地区代码。