« 添加 Nomad 元数据 添加进程元数据 »
Elastic 文档 Fleet 和 Elastic Agent 指南 [8.14] 定义处理器

添加 Observer 元数据

编辑

添加 Observer 元数据编辑

此功能处于测试阶段,可能会发生变化。其设计和代码不如正式的 GA 功能成熟,按原样提供,不作任何保证。测试版功能不受正式 GA 功能支持 SLA 的约束。

add_observer_metadata 处理器使用来自 observer 机器的相关元数据来注释每个事件。

示例编辑

  - add_observer_metadata:
      cache.ttl: 5m
      geo:
        name: nyc-dc1-rack1
        location: 40.7128, -74.0060
        continent_name: North America
        country_iso_code: US
        region_name: New York
        region_iso_code: NY
        city_name: New York

添加到事件中的字段如下所示

{
  "observer" : {
    "hostname" : "avce",
    "type" : "heartbeat",
    "vendor" : "elastic",
    "ip" : [
      "192.168.1.251",
      "fe80::64b2:c3ff:fe5b:b974",
    ],
    "mac" : [
      "dc:c1:02:6f:1b:ed",
    ],
    "geo": {
      "continent_name": "North America",
      "country_iso_code": "US",
      "region_name": "New York",
      "region_iso_code": "NY",
      "city_name": "New York",
      "name": "nyc-dc1-rack1",
      "location": "40.7128, -74.0060"
    }
  }
}

配置设置编辑

Elastic Agent 处理器在摄取管道*之前*执行,这意味着它们处理的是原始事件数据,而不是发送到 Elasticsearch 的最终事件。有关相关限制,请参阅使用处理器有哪些限制?

名称 必需 默认值 说明

netinfo.enabled

true

是否将 IP 地址和 MAC 地址包含为字段 observer.ipobserver.mac

cache.ttl

5 分钟

设置处理器使用的内部缓存的缓存过期时间。负值将完全禁用缓存。

geo.name

用户可定义的标记,用于标识离散位置。通常是数据中心、机架或类似位置。

geo.location

经度和纬度,以逗号分隔的格式。

geo.continent_name

洲名。

geo.country_name

国家/地区名称。

geo.region_name

地区名称。

geo.city_name

城市名称。

geo.country_iso_code

ISO 国家/地区代码。

geo.region_iso_code

ISO 地区代码。
« 添加 Nomad 元数据 添加进程元数据 »