« Containerd 集成 Corelight »
Elastic 文档 Elastic 集成

CoreDNS 集成

编辑

CoreDNS 集成

编辑

版本

0.9.0 [beta] 此功能为 Beta 版,可能会发生变化。其设计和代码不如正式 GA 功能成熟,按“原样”提供,不提供任何保证。 Beta 功能不受正式 GA 功能的支持 SLA 约束。 (查看所有)

兼容的 Kibana 版本

8.13.0 或更高版本

支持的 Serverless 项目类型
这是什么?

安全性
可观测性

订阅级别
这是什么?

基本

支持级别
这是什么?

Elastic

此集成解析来自 CoreDNS 实例的日志。

兼容性

编辑

此集成旨在读取在 Kubernetes 集群中运行或通过 systemd 运行且日志输出到 journald 的 CoreDNS 日志。 CoreDNS 数据集已使用 1.9.3 和 1.10.0 版本进行了测试。

日志

编辑

日志数据流期望来自 CoreDNS errors 插件和 log 插件的日志。来自 log 插件的查询日志可以是 commoncombined 格式(详细信息请参见 日志格式)。启用日志记录的示例配置为

. {
  forward . 8.8.8.8
  errors
  log
}

ECS 字段参考

有关 ECS 字段的详细信息,请参阅以下文档

导出的字段
字段 描述 类型

@timestamp

事件时间戳。

日期

cloud.image.id

云实例的镜像 ID。

关键词

coredns.log.buffer_size

查询中通告的 EDNS0 缓冲区大小

长整数

coredns.log.dnssec_ok

DO 位包含在 DNS 查询中,是“DNSSEC OK”的缩写。如果设置了 DO 位 (DO=1),则客户端是支持 DNSSEC 的,并且 DNS 服务器可以在响应中返回 DNSSEC 数据。如果未设置 DO 位 (DO=0),则客户端不支持 DNSSEC,并且 DNS 服务器不得在 DNS 响应中包含任何 DNSSEC 数据。

布尔值

coredns.log.error.message

错误消息

文本

data_stream.dataset

数据流数据集。

常量关键词

data_stream.namespace

数据流命名空间。

常量关键词

data_stream.type

数据流类型。

常量关键词

event.dataset

事件数据集

常量关键词

event.module

事件模块

常量关键词

host.containerized

主机是否为容器。

布尔值

host.os.build

操作系统构建信息。

关键词

host.os.codename

操作系统代号(如果有)。

关键词

input.type

输入类型

关键词

kubernetes.container.name

Kubernetes 容器名称

关键词

kubernetes.labels.*

Kubernetes 标签映射

对象

kubernetes.namespace

Kubernetes 命名空间

关键词

kubernetes.node.name

Kubernetes 节点名称

关键词

kubernetes.pod.name

Kubernetes Pod 名称

关键词

kubernetes.pod.uid

Kubernetes Pod UID

关键词

kubernetes.replicaset.name

Kubernetes 副本集名称

关键词

log.file.device_id

包含文件所在的 文件系统的设备的 ID。

关键词

log.file.fingerprint

启用指纹识别时文件的 sha256 指纹标识。

关键词

log.file.idxhi

与文件关联的唯一标识符的高位部分。(仅限 Windows)

关键词

log.file.idxlo

与文件关联的唯一标识符的低位部分。(仅限 Windows)

关键词

log.file.inode

日志文件的索引节点号。

关键词

log.file.vol

包含文件的卷的序列号。(仅限 Windows)

关键词

log.offset

日志偏移量

长整数
示例

log 的示例事件如下

{
    "@timestamp": "2023-09-27T18:59:58.096Z",
    "agent": {
        "ephemeral_id": "bbb180b6-3756-4f5b-81d5-6e333e740796",
        "id": "86a82f91-ff66-4d28-ab7c-eb9350f317ed",
        "name": "docker-fleet-agent",
        "type": "filebeat",
        "version": "8.10.1"
    },
    "coredns": {
        "log": {
            "buffer_size": 1232,
            "dnssec_ok": false
        }
    },
    "data_stream": {
        "dataset": "coredns.log",
        "namespace": "ep",
        "type": "logs"
    },
    "destination": {
        "bytes": 65
    },
    "dns": {
        "header_flags": [
            "RD",
            "RA"
        ],
        "id": "58521",
        "question": {
            "class": "IN",
            "name": "google.com",
            "registered_domain": "google.com",
            "top_level_domain": "com",
            "type": "A"
        },
        "response_code": "NOERROR"
    },
    "ecs": {
        "version": "8.11.0"
    },
    "elastic_agent": {
        "id": "86a82f91-ff66-4d28-ab7c-eb9350f317ed",
        "snapshot": false,
        "version": "8.10.1"
    },
    "event": {
        "agent_id_status": "verified",
        "category": [
            "network"
        ],
        "created": "2023-09-27T18:59:58.096Z",
        "dataset": "coredns.log",
        "duration": 32133957.999999996,
        "ingested": "2023-09-27T18:59:59Z",
        "kind": "event",
        "original": "[INFO] 192.168.112.3:45632 - 58521 \"A IN google.com. udp 51 false 1232\" NOERROR qr,rd,ra 65 0.032133958s",
        "outcome": "success",
        "type": [
            "protocol"
        ]
    },
    "host": {
        "architecture": "aarch64",
        "containerized": false,
        "hostname": "docker-fleet-agent",
        "id": "ddbe644fa129402e9d5cf6452db1422d",
        "ip": [
            "172.31.0.7"
        ],
        "mac": [
            "02-42-AC-1F-00-07"
        ],
        "name": "docker-fleet-agent",
        "os": {
            "codename": "focal",
            "family": "debian",
            "kernel": "5.15.49-linuxkit",
            "name": "Ubuntu",
            "platform": "ubuntu",
            "type": "linux",
            "version": "20.04.6 LTS (Focal Fossa)"
        }
    },
    "input": {
        "type": "filestream"
    },
    "log": {
        "file": {
            "device_id": 141,
            "inode": 18614042,
            "path": "/tmp/service_logs/coredns.log"
        },
        "level": "info",
        "offset": 67
    },
    "network": {
        "bytes": 116,
        "iana_number": "17",
        "protocol": "dns",
        "transport": "udp"
    },
    "related": {
        "hosts": [
            "google.com"
        ],
        "ip": [
            "192.168.112.3"
        ]
    },
    "source": {
        "address": "192.168.112.3",
        "bytes": 51,
        "ip": "192.168.112.3",
        "port": 45632
    },
    "tags": [
        "preserve_original_event",
        "coredns-log"
    ]
}

变更日志

编辑
变更日志
版本 详细信息 Kibana 版本

0.9.0

增强功能 (查看拉取请求)
允许 @custom 管道访问 event.original,而无需设置 preserve_original_event。

0.8.0

增强功能 (查看拉取请求)
ECS 版本更新至 8.11.0。将 kibana 约束更新为 ^8.13.0。修改了字段定义,以删除 ecs@mappings 组件模板中已变得冗余的 ECS 字段。

0.7.0

增强功能 (查看拉取请求)
在 data_stream.dataset 上添加全局过滤器,以提高性能。

0.6.1

缺陷修复 (查看拉取请求)
添加空值和 ignore_missing 检查以处理 event.original 字段。

0.6.0

增强功能 (查看拉取请求)
将软件包 format_version 更新为 3.0.0。

0.5.0

增强功能 (查看拉取请求)
调整字段以适应文件系统信息的更改

0.4.0

增强功能 (查看拉取请求)
将所有权从 obs-service-integrations 重命名为 obs-infraobs-integrations

0.3.0

增强功能 (查看拉取请求)
将“概览”仪表板可视化迁移到 Lens。

0.2.2

缺陷修复 (查看拉取请求)
修复“概览”仪表板中的引用错误。

0.2.1

增强功能 (查看拉取请求)
添加了类别和/或子类别。

0.2.0

增强功能 (查看拉取请求)
将 ECS 版本更新为 8.5.1

0.1.0

增强功能 (查看拉取请求)
软件包的初始草案

« Containerd 集成 Corelight »