Elasticsearch
编辑Elasticsearch
编辑elasticsearch 包收集 Elasticsearch 的指标和日志。
兼容性
编辑elasticsearch 包可以监控 Elasticsearch 8.5.0 及更高版本。
日志
编辑配置 var.paths 设置以指向 JSON 日志。
审计
编辑导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
elasticsearch.audit.action |
已执行的操作的名称 |
keyword |
elasticsearch.audit.authentication.type |
keyword |
|
elasticsearch.audit.component |
keyword |
|
elasticsearch.audit.event_type |
发生的事件类型:anonymous_access_denied、authentication_failed、access_denied、access_granted、connection_granted、connection_denied、tampered_request、run_as_granted、run_as_denied |
keyword |
elasticsearch.audit.indices |
操作访问的索引 |
keyword |
elasticsearch.audit.invalidate.apikeys.owned_by_authenticated_user |
布尔值 |
|
elasticsearch.audit.layer |
此事件的来源层:rest、transport 或 ip_filter |
keyword |
elasticsearch.audit.message |
文本 |
|
elasticsearch.audit.opaque_id |
keyword |
|
elasticsearch.audit.origin.type |
请求的来源:rest(请求来自 REST API 请求)、transport(请求在传输通道上接收)或 local_node(本地节点发出请求) |
keyword |
elasticsearch.audit.realm |
验证所依据的身份验证领域 |
keyword |
elasticsearch.audit.request.id |
请求的唯一 ID |
keyword |
elasticsearch.audit.request.name |
已执行的请求类型 |
keyword |
elasticsearch.audit.url.params |
REST URI 参数 |
keyword |
elasticsearch.audit.user.realm |
经过身份验证的用户身份验证领域(如果已验证) |
keyword |
elasticsearch.audit.user.roles |
主体所属的角色 |
keyword |
elasticsearch.audit.user.run_as.name |
keyword |
|
elasticsearch.audit.user.run_as.realm |
keyword |
|
elasticsearch.cluster.name |
集群名称 |
keyword |
elasticsearch.cluster.uuid |
集群的 UUID |
keyword |
elasticsearch.component |
日志事件来源的 Elasticsearch 组件 |
keyword |
elasticsearch.index.id |
索引 ID |
keyword |
elasticsearch.index.name |
索引名称 |
keyword |
elasticsearch.node.id |
节点的 ID |
keyword |
elasticsearch.node.name |
节点的名称 |
keyword |
elasticsearch.shard.id |
分片的 ID |
keyword |
event.created |
event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同,因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下,这两个时间戳会略有不同。可以使用此差异来计算源生成事件的时间与您的代理首次处理该事件的时间之间的延迟。这可用于监控您的代理或管道跟上事件源的能力。如果这两个时间戳相同,则应使用 @timestamp。 |
日期 |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
日期 |
event.module |
事件模块 |
constant_keyword |
http |
与 HTTP 活动相关的字段。使用 |
组 |
http.request.body.content |
完整的 HTTP 请求正文。 |
通配符 |
http.request.body.content.text |
|
match_only_text |
http.request.id |
每个 HTTP 请求的唯一标识符,用于关联事务中客户端和服务器之间的日志。ID 可能包含在非标准的 HTTP 标头中,例如 |
keyword |
http.request.method |
HTTP 请求方法。该值应保留其在原始事件中的大小写。例如, |
keyword |
input.type |
keyword |
|
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。它应包括盘符(如果适用)。如果该事件不是从日志文件中读取的,请勿填充此字段。 |
keyword |
log.level |
日志事件的原始日志级别。如果事件的源提供日志级别或文本严重性,则此级别或文本严重性会进入 |
keyword |
log.offset |
长整型 |
|
message |
对于日志事件,消息字段包含日志消息,该消息针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来以形成事件的人工可读摘要。如果存在多条消息,则可以将它们组合成一条消息。 |
match_only_text |
related.user |
keyword |
|
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
source |
源字段捕获有关网络交换/数据包发送者的详细信息。这些字段来自网络事件、数据包或其他包含网络事务详细信息的事件。源字段通常与目标字段一起填充。源字段和目标字段被认为是基线,如果事件包含来自网络事务的源和目标详细信息,则应始终填充它们。如果事件还包含对客户端和服务器角色的标识,则还应填充客户端字段和服务器字段。 |
组 |
source.address |
某些事件源地址的定义不明确。该事件有时会列出 IP、域或 Unix 套接字。您应始终将原始地址存储在 |
keyword |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
长整型 |
trace.id |
跟踪的唯一标识符。一个跟踪会将多个事件(如属于一起的事务)分组。例如,由多个互连服务处理的用户请求。 |
keyword |
url |
URL 字段为完整或部分 URL 提供支持,并支持分解为方案、域、路径等。 |
组 |
url.original |
在事件源中看到的未修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。 |
通配符 |
url.original.text |
|
match_only_text |
user |
用户字段描述与事件相关的用户信息。字段可以有一个条目或多个条目。如果用户有多个 ID,请提供一个包含所有 ID 的数组。 |
组 |
user.name |
用户的简称或登录名。 |
keyword |
user.name.text |
|
match_only_text |
弃用
编辑导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
elasticsearch.cluster.name |
集群名称 |
keyword |
elasticsearch.cluster.uuid |
集群的 UUID |
keyword |
elasticsearch.component |
日志事件来源的 Elasticsearch 组件 |
keyword |
elasticsearch.elastic_product_origin |
keyword |
|
elasticsearch.event.category |
keyword |
|
elasticsearch.http.request.x_opaque_id |
keyword |
|
elasticsearch.index.id |
索引 ID |
keyword |
elasticsearch.index.name |
索引名称 |
keyword |
elasticsearch.node.id |
节点的 ID |
keyword |
elasticsearch.node.name |
节点的名称 |
keyword |
elasticsearch.shard.id |
分片的 ID |
keyword |
event.category |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第二层。 |
keyword |
event.created |
event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同,因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下,这两个时间戳会略有不同。可以使用此差异来计算源生成事件的时间与您的代理首次处理该事件的时间之间的延迟。这可用于监控您的代理或管道跟上事件源的能力。如果这两个时间戳相同,则应使用 @timestamp。 |
日期 |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
日期 |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高层。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或在可能需要完整日志消息(在将其拆分为多个部分之前)时(例如,用于重新索引)。此字段未建立索引,并且禁用了 doc_values。无法对其进行搜索,但可以从 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三层。 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
input.type |
keyword |
|
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。它应包括盘符(如果适用)。如果该事件不是从日志文件中读取的,请勿填充此字段。 |
keyword |
log.level |
日志事件的原始日志级别。如果事件的源提供日志级别或文本严重性,则此级别或文本严重性会进入 |
keyword |
log.logger |
应用程序内的记录器的名称。这通常是初始化记录器的类的名称,或自定义名称。 |
keyword |
log.offset |
长整型 |
|
message |
对于日志事件,消息字段包含日志消息,该消息针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来以形成事件的人工可读摘要。如果存在多条消息,则可以将它们组合成一条消息。 |
match_only_text |
process.thread.name |
线程名称。 |
keyword |
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
trace.id |
跟踪的唯一标识符。一个跟踪会将多个事件(如属于一起的事务)分组。例如,由多个互连服务处理的用户请求。 |
keyword |
垃圾回收
编辑导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
elasticsearch.cluster.name |
集群名称 |
keyword |
elasticsearch.cluster.uuid |
集群的 UUID |
keyword |
elasticsearch.component |
日志事件来源的 Elasticsearch 组件 |
keyword |
elasticsearch.gc.heap.size_kb |
总堆大小(以千字节为单位)。 |
整数 |
elasticsearch.gc.heap.used_kb |
已用堆大小(以千字节为单位)。 |
整数 |
elasticsearch.gc.jvm_runtime_sec |
JVM 启动以来的时间(以秒为单位),为浮点数。 |
浮点数 |
elasticsearch.gc.old_gen.size_kb |
老年代的总大小(以千字节为单位)。 |
整数 |
elasticsearch.gc.old_gen.used_kb |
老年代占用量(以千字节为单位)。 |
整数 |
elasticsearch.gc.phase.class_unload_time_sec |
卸载未使用类所花费的时间(以秒为单位)。 |
浮点数 |
elasticsearch.gc.phase.cpu_time.real_sec |
完成从开始到结束的回收所花费的总实际 CPU 时间。 |
浮点数 |
elasticsearch.gc.phase.cpu_time.sys_sec |
在内核中花费的 CPU 时间。 |
浮点数 |
elasticsearch.gc.phase.cpu_time.user_sec |
在内核之外花费的 CPU 时间。 |
浮点数 |
elasticsearch.gc.phase.duration_sec |
根据 Java 虚拟机,收集阶段的持续时间。 |
浮点数 |
elasticsearch.gc.phase.name |
GC 收集阶段的名称。 |
keyword |
elasticsearch.gc.phase.parallel_rescan_time_sec |
在应用程序停止时标记活动对象所花费的时间(以秒为单位)。 |
浮点数 |
elasticsearch.gc.phase.scrub_string_table_time_sec |
清理字符串表所用的暂停时间(以秒为单位)。 |
浮点数 |
elasticsearch.gc.phase.scrub_symbol_table_time_sec |
清理符号表所用的暂停时间(以秒为单位)。 |
浮点数 |
elasticsearch.gc.phase.weak_refs_processing_time_sec |
处理弱引用所花费的时间(以秒为单位)。 |
浮点数 |
elasticsearch.gc.stopping_threads_time_sec |
停止线程所花费的时间(以秒为单位)。 |
浮点数 |
elasticsearch.gc.tags |
GC 日志标签。 |
keyword |
elasticsearch.gc.threads_total_stop_time_sec |
垃圾回收线程的总停止时间(以秒为单位)。 |
浮点数 |
elasticsearch.gc.young_gen.size_kb |
新生代的总大小(以千字节为单位)。 |
整数 |
elasticsearch.gc.young_gen.used_kb |
新生代占用量(以千字节为单位)。 |
整数 |
elasticsearch.index.id |
索引 ID |
keyword |
elasticsearch.index.name |
索引名称 |
keyword |
elasticsearch.node.id |
节点的 ID |
keyword |
elasticsearch.node.name |
节点的名称 |
keyword |
elasticsearch.shard.id |
分片的 ID |
keyword |
event.category |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第二层。 |
keyword |
event.created |
event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同,因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下,这两个时间戳会略有不同。可以使用此差异来计算源生成事件的时间与您的代理首次处理该事件的时间之间的延迟。这可用于监控您的代理或管道跟上事件源的能力。如果这两个时间戳相同,则应使用 @timestamp。 |
日期 |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
日期 |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高层。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或在可能需要完整日志消息(在将其拆分为多个部分之前)时(例如,用于重新索引)。此字段未建立索引,并且禁用了 doc_values。无法对其进行搜索,但可以从 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三层。 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
input.type |
keyword |
|
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。它应包括盘符(如果适用)。如果该事件不是从日志文件中读取的,请勿填充此字段。 |
keyword |
log.level |
日志事件的原始日志级别。如果事件的源提供日志级别或文本严重性,则此级别或文本严重性会进入 |
keyword |
log.offset |
长整型 |
|
message |
对于日志事件,消息字段包含日志消息,该消息针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来以形成事件的人工可读摘要。如果存在多条消息,则可以将它们组合成一条消息。 |
match_only_text |
process.pid |
进程 ID。 |
长整型 |
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
服务器
编辑导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
elasticsearch.cluster.name |
集群名称 |
keyword |
elasticsearch.cluster.uuid |
集群的 UUID |
keyword |
elasticsearch.component |
日志事件来源的 Elasticsearch 组件 |
keyword |
elasticsearch.index.id |
索引 ID |
keyword |
elasticsearch.index.name |
索引名称 |
keyword |
elasticsearch.node.id |
节点的 ID |
keyword |
elasticsearch.node.name |
节点的名称 |
keyword |
elasticsearch.server.gc.collection_duration.ms |
在 GC 中花费的时间(以毫秒为单位) |
浮点数 |
elasticsearch.server.gc.observation_duration.ms |
观察到收集的总时间(以毫秒为单位) |
浮点数 |
elasticsearch.server.gc.overhead_seq |
序列号 |
长整型 |
elasticsearch.server.gc.young.one |
长整型 |
|
elasticsearch.server.gc.young.two |
长整型 |
|
elasticsearch.server.stacktrace |
keyword |
|
elasticsearch.server.tags |
keyword |
|
elasticsearch.server.trace.id |
keyword |
|
elasticsearch.shard.id |
分片的 ID |
keyword |
event.category |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第二层。 |
keyword |
event.created |
event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同,因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下,这两个时间戳会略有不同。可以使用此差异来计算源生成事件的时间与您的代理首次处理该事件的时间之间的延迟。这可用于监控您的代理或管道跟上事件源的能力。如果这两个时间戳相同,则应使用 @timestamp。 |
日期 |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
日期 |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高层。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或在可能需要完整日志消息(在将其拆分为多个部分之前)时(例如,用于重新索引)。此字段未建立索引,并且禁用了 doc_values。无法对其进行搜索,但可以从 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三层。 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
input.type |
keyword |
|
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。它应包括盘符(如果适用)。如果该事件不是从日志文件中读取的,请勿填充此字段。 |
keyword |
log.level |
日志事件的原始日志级别。如果事件的源提供日志级别或文本严重性,则此级别或文本严重性会进入 |
keyword |
log.logger |
应用程序内的记录器的名称。这通常是初始化记录器的类的名称,或自定义名称。 |
keyword |
log.offset |
长整型 |
|
message |
对于日志事件,消息字段包含日志消息,该消息针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来以形成事件的人工可读摘要。如果存在多条消息,则可以将它们组合成一条消息。 |
match_only_text |
process.thread.name |
线程名称。 |
keyword |
server.name |
keyword |
|
server.type |
keyword |
|
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
trace.id |
跟踪的唯一标识符。一个跟踪会将多个事件(如属于一起的事务)分组。例如,由多个互连服务处理的用户请求。 |
keyword |
慢日志
编辑导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
elasticsearch.cluster.name |
集群名称 |
keyword |
elasticsearch.cluster.uuid |
集群的 UUID |
keyword |
elasticsearch.component |
日志事件来源的 Elasticsearch 组件 |
keyword |
elasticsearch.index.id |
索引 ID |
keyword |
elasticsearch.index.name |
索引名称 |
keyword |
elasticsearch.node.id |
节点的 ID |
keyword |
elasticsearch.node.name |
节点的名称 |
keyword |
elasticsearch.shard.id |
分片的 ID |
keyword |
elasticsearch.slowlog.extra_source |
额外的源信息 |
keyword |
elasticsearch.slowlog.id |
ID |
keyword |
elasticsearch.slowlog.logger |
记录器名称 |
keyword |
elasticsearch.slowlog.routing |
路由 |
keyword |
elasticsearch.slowlog.search_type |
搜索类型 |
keyword |
elasticsearch.slowlog.source |
已索引文档的来源 |
keyword |
elasticsearch.slowlog.source_query |
慢查询 |
keyword |
elasticsearch.slowlog.stats |
统计信息组 |
keyword |
elasticsearch.slowlog.took |
执行查询所花费的时间 |
keyword |
elasticsearch.slowlog.total_hits |
总命中数 |
keyword |
elasticsearch.slowlog.total_shards |
查询的总分片数 |
长整型 |
elasticsearch.slowlog.type |
类型 |
keyword |
elasticsearch.slowlog.types |
类型 |
keyword |
event.category |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第二层。 |
keyword |
event.created |
event.created 包含代理或您的管道首次读取事件的日期/时间。此字段与 @timestamp 不同,因为 @timestamp 通常包含从原始事件中提取的时间。在大多数情况下,这两个时间戳会略有不同。可以使用此差异来计算源生成事件的时间与您的代理首次处理该事件的时间之间的延迟。这可用于监控您的代理或管道跟上事件源的能力。如果这两个时间戳相同,则应使用 @timestamp。 |
日期 |
event.ingested |
事件到达中央数据存储的时间戳。这与 |
日期 |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高层。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或在可能需要完整日志消息(在将其拆分为多个部分之前)时(例如,用于重新索引)。此字段未建立索引,并且禁用了 doc_values。无法对其进行搜索,但可以从 |
keyword |
event.type |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第三层。 |
keyword |
input.type |
keyword |
|
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。它应包括盘符(如果适用)。如果该事件不是从日志文件中读取的,请勿填充此字段。 |
keyword |
log.level |
日志事件的原始日志级别。如果事件的源提供日志级别或文本严重性,则此级别或文本严重性会进入 |
keyword |
log.logger |
应用程序内的记录器的名称。这通常是初始化记录器的类的名称,或自定义名称。 |
keyword |
log.offset |
长整型 |
|
message |
对于日志事件,消息字段包含日志消息,该消息针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以将其他字段连接起来以形成事件的人工可读摘要。如果存在多条消息,则可以将它们组合成一条消息。 |
match_only_text |
process.thread.name |
线程名称。 |
keyword |
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
trace.id |
跟踪的唯一标识符。一个跟踪会将多个事件(如属于一起的事务)分组。例如,由多个互连服务处理的用户请求。 |
keyword |
指标
编辑用于堆栈监控的使用情况
编辑elasticsearch 包可用于收集 Kibana 中堆栈监控 UI 中显示的日志和指标。
特定于指标的配置说明
编辑与其他包一样,elasticsearch 指标收集接受 hosts 配置设置。此设置可以包含条目列表。相关的 scope 设置确定模块如何解释 hosts 列表中的每个条目。
- 如果
scope设置为node(默认),则hosts列表中的每个条目都表示 Elasticsearch 集群中的一个不同节点。 - 如果
scope设置为cluster,则hosts列表中的每个条目都表示一个不同 Elasticsearch 集群的单个端点(例如,集群前面的负载均衡代理)。
跨集群复制
编辑CCR 它使用跨集群复制统计 API 端点来获取参与跨集群复制的 Elasticsearch 集群的跨集群复制指标。
如果 Elasticsearch 集群未启用跨集群复制,则此包将不会收集指标。有关此信息,将在日志中发出 DEBUG 日志消息。
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件的原始日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
keyword |
|
ccr_auto_follow_stats.follower.failed_read_requests |
别名 |
||
ccr_auto_follow_stats.number_of_failed_follow_indices |
别名 |
||
ccr_auto_follow_stats.number_of_failed_remote_cluster_state_requests |
别名 |
||
ccr_auto_follow_stats.number_of_successful_follow_indices |
别名 |
||
ccr_stats.bytes_read |
别名 |
||
ccr_stats.failed_read_requests |
别名 |
||
ccr_stats.failed_write_requests |
别名 |
||
ccr_stats.follower_aliases_version |
别名 |
||
ccr_stats.follower_global_checkpoint |
别名 |
||
ccr_stats.follower_index |
别名 |
||
ccr_stats.follower_mapping_version |
别名 |
||
ccr_stats.follower_max_seq_no |
别名 |
||
ccr_stats.follower_settings_version |
别名 |
||
ccr_stats.last_requested_seq_no |
别名 |
||
ccr_stats.leader_global_checkpoint |
别名 |
||
ccr_stats.leader_index |
别名 |
||
ccr_stats.leader_max_seq_no |
别名 |
||
ccr_stats.operations_read |
别名 |
||
ccr_stats.operations_written |
别名 |
||
ccr_stats.outstanding_read_requests |
别名 |
||
ccr_stats.outstanding_write_requests |
别名 |
||
ccr_stats.remote_cluster |
别名 |
||
ccr_stats.shard_id |
别名 |
||
ccr_stats.successful_read_requests |
别名 |
||
ccr_stats.successful_write_requests |
别名 |
||
ccr_stats.total_read_remote_exec_time_millis |
别名 |
||
ccr_stats.total_read_time_millis |
别名 |
||
ccr_stats.total_write_time_millis |
别名 |
||
ccr_stats.write_buffer_operation_count |
别名 |
||
ccr_stats.write_buffer_size_in_bytes |
别名 |
||
cluster_uuid |
别名 |
||
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
|
elasticsearch.ccr.auto_follow.failed.follow_indices.count |
长整型 |
仪表 |
|
elasticsearch.ccr.auto_follow.failed.remote_cluster_state_requests.count |
长整型 |
仪表 |
|
elasticsearch.ccr.auto_follow.success.follow_indices.count |
长整型 |
仪表 |
|
elasticsearch.ccr.bytes_read |
长整型 |
仪表 |
|
elasticsearch.ccr.follower.aliases_version |
长整型 |
仪表 |
|
elasticsearch.ccr.follower.global_checkpoint |
跟随者分片上的全局检查点值 |
长整型 |
仪表 |
elasticsearch.ccr.follower.index |
跟随者索引的名称 |
keyword |
|
elasticsearch.ccr.follower.mapping_version |
长整型 |
仪表 |
|
elasticsearch.ccr.follower.max_seq_no |
跟随者分片上的操作的最大序列号 |
长整型 |
仪表 |
elasticsearch.ccr.follower.operations.read.count |
当前读取操作的计数。 |
长整型 |
仪表 |
elasticsearch.ccr.follower.operations_written |
从主分片索引(复制)到跟随者分片的操作总数 |
长整型 |
计数器 |
elasticsearch.ccr.follower.settings_version |
长整型 |
仪表 |
|
elasticsearch.ccr.follower.shard.number |
索引中分片的数量 |
长整型 |
|
elasticsearch.ccr.follower.time_since_last_read.ms |
自跟随者上次从主服务器获取以来经过的时间(以毫秒为单位) |
长整型 |
仪表 |
elasticsearch.ccr.last_requested_seq_no |
长整型 |
仪表 |
|
elasticsearch.ccr.leader.global_checkpoint |
长整型 |
仪表 |
|
elasticsearch.ccr.leader.index |
主索引的名称 |
keyword |
|
elasticsearch.ccr.leader.max_seq_no |
主分片上的操作的最大序列号 |
长整型 |
仪表 |
elasticsearch.ccr.read_exceptions |
嵌套 |
||
elasticsearch.ccr.read_exceptions.exception |
对象 |
||
elasticsearch.ccr.read_exceptions.exception.reason |
文本 |
||
elasticsearch.ccr.read_exceptions.exception.type |
keyword |
||
elasticsearch.ccr.read_exceptions.from_seq_no |
长整型 |
仪表 |
|
elasticsearch.ccr.read_exceptions.retries |
整数 |
仪表 |
|
elasticsearch.ccr.remote_cluster |
keyword |
||
elasticsearch.ccr.requests.failed.read.count |
长整型 |
计数器 |
|
elasticsearch.ccr.requests.failed.write.count |
长整型 |
计数器 |
|
elasticsearch.ccr.requests.outstanding.read.count |
长整型 |
计数器 |
|
elasticsearch.ccr.requests.outstanding.write.count |
长整型 |
计数器 |
|
elasticsearch.ccr.requests.successful.read.count |
长整型 |
计数器 |
|
elasticsearch.ccr.requests.successful.write.count |
长整型 |
计数器 |
|
elasticsearch.ccr.shard_id |
整数 |
||
elasticsearch.ccr.total_time.read.ms |
长整型 |
仪表 |
|
elasticsearch.ccr.total_time.read.remote_exec.ms |
长整型 |
仪表 |
|
elasticsearch.ccr.total_time.write.ms |
长整型 |
仪表 |
|
elasticsearch.ccr.write_buffer.operation.count |
长整型 |
仪表 |
|
elasticsearch.ccr.write_buffer.size.bytes |
长整型 |
仪表 |
|
elasticsearch.cluster.id |
Elasticsearch 集群 ID。 |
keyword |
|
elasticsearch.cluster.name |
Elasticsearch 集群名称。 |
keyword |
|
elasticsearch.cluster.state.id |
Elasticsearch 状态 ID。 |
keyword |
|
elasticsearch.node.id |
节点 ID |
keyword |
|
elasticsearch.node.master |
节点是否为主节点? |
布尔值 |
|
elasticsearch.node.mlockall |
是否在节点上启用了 mlockall? |
布尔值 |
|
elasticsearch.node.name |
节点名称。 |
keyword |
|
error.message |
错误消息。 |
match_only_text |
|
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如访问日志、错误日志),则数据集用于指定事件的来源。建议(但非必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
|
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。 |
长整型 |
|
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如 Apache 日志)的事件,则 |
keyword |
|
host.name |
主机的名称。它可以包含 |
keyword |
|
service.address |
服务地址 |
keyword |
|
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
|
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
|
source_node.name |
别名 |
||
source_node.uuid |
别名 |
||
timestamp |
别名 |
集群统计信息
编辑cluster_stats 查询集群统计 API 端点以获取有关 Elasticsearch 集群的信息。
示例
cluster_stats 的一个示例事件如下所示
{
"@timestamp": "2022-10-11T14:40:29.703Z",
"agent": {
"ephemeral_id": "ca2952fa-aafc-49ad-9612-07b4ced53652",
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.5.0"
},
"data_stream": {
"dataset": "elasticsearch.stack_monitoring.cluster_stats",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"snapshot": true,
"version": "8.5.0"
},
"elasticsearch": {
"cluster": {
"id": "H4rX2Qc4Tquh3MHuVuzdeQ",
"name": "elasticsearch",
"stats": {
"indices": {
"docs": {
"total": 18
},
"fielddata": {
"memory": {
"bytes": 0
}
},
"shards": {
"count": 12,
"primaries": 12
},
"store": {
"size": {
"bytes": 95749
}
},
"total": 10
},
"license": {
"cluster_needs_tls": true,
"expiry_date": "2022-11-10T14:40:10.162Z",
"expiry_date_in_millis": 1668091210162,
"issue_date": "2022-10-11T14:40:10.162Z",
"issue_date_in_millis": 1665499210162,
"issued_to": "elasticsearch",
"issuer": "elasticsearch",
"max_nodes": 1000,
"start_date_in_millis": -1,
"status": "active",
"type": "trial",
"uid": "cbabb3e0-7294-4784-8ccb-118a2076d940"
},
"nodes": {
"count": 1,
"fs": {
"available": {
"bytes": 160894537728
},
"total": {
"bytes": 194136477696
}
},
"jvm": {
"max_uptime": {
"ms": 34416
},
"memory": {
"heap": {
"max": {
"bytes": 1073741824
},
"used": {
"bytes": 477367808
}
}
}
},
"master": 1,
"versions": [
"8.5.0"
]
},
"stack": {
"xpack": {
"ccr": {
"available": true,
"enabled": true
}
}
},
"state": {
"master_node": "Unf_fjGESWun1vbtRzJK9w",
"nodes": {
"Unf_fjGESWun1vbtRzJK9w": {
"attributes": {
"ml.allocated_processors": "7",
"ml.allocated_processors_double": "7.0",
"ml.machine_memory": "12544004096",
"ml.max_jvm_size": "1073741824",
"xpack.installed": "true"
},
"ephemeral_id": "HUlmpnU2S0ilRSHZ_F1tTg",
"external_id": "b978cf9a6a3c",
"name": "b978cf9a6a3c",
"roles": [
"data",
"data_cold",
"data_content",
"data_frozen",
"data_hot",
"data_warm",
"ingest",
"master",
"ml",
"remote_cluster_client",
"transform"
],
"transport_address": "127.0.0.1:9300"
}
},
"nodes_hash": 460682572,
"state_uuid": "d3z5ixwbTbeUf08VWE9Vcw"
},
"status": "yellow"
}
},
"version": 60
},
"event": {
"agent_id_status": "verified",
"dataset": "elasticsearch.stack_monitoring.cluster_stats",
"duration": 447033584,
"ingested": "2022-10-11T14:40:31Z",
"module": "elasticsearch"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "b6bc6723e51b43959ce07f0c3105c72d",
"ip": [
"192.168.0.7"
],
"mac": [
"02-42-C0-A8-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.124-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"metricset": {
"name": "cluster_stats",
"period": 10000
},
"service": {
"address": "http://elastic-package-service-elasticsearch-1:9200",
"type": "elasticsearch"
}
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件的原始日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
keyword |
|
cluster_settings.cluster.metadata.display_name |
keyword |
||
cluster_state.master_node |
别名 |
||
cluster_state.nodes_hash |
别名 |
||
cluster_state.state_uuid |
别名 |
||
cluster_state.status |
别名 |
||
cluster_state.version |
别名 |
||
cluster_stats.indices.count |
别名 |
||
cluster_stats.indices.shards.total |
别名 |
||
cluster_stats.nodes.count.total |
别名 |
||
cluster_stats.nodes.jvm.max_uptime_in_millis |
别名 |
||
cluster_stats.nodes.jvm.mem.heap_max_in_bytes |
别名 |
||
cluster_stats.nodes.jvm.mem.heap_used_in_bytes |
别名 |
||
cluster_uuid |
别名 |
||
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
|
elasticsearch.cluster.id |
Elasticsearch 集群 ID。 |
keyword |
|
elasticsearch.cluster.name |
Elasticsearch 集群名称。 |
keyword |
|
elasticsearch.cluster.state.id |
Elasticsearch 状态 ID。 |
keyword |
|
elasticsearch.cluster.stats.indices.docs.total |
集群中的索引总数。 |
长整型 |
仪表 |
elasticsearch.cluster.stats.indices.fielddata.memory.bytes |
用于字段数据的内存。 |
长整型 |
仪表 |
elasticsearch.cluster.stats.indices.shards.count |
集群中的分片总数。 |
长整型 |
仪表 |
elasticsearch.cluster.stats.indices.shards.primaries |
集群中的主分片总数。 |
长整型 |
仪表 |
elasticsearch.cluster.stats.indices.store.size.bytes |
长整型 |
仪表 |
|
elasticsearch.cluster.stats.indices.store.total_data_set_size.bytes |
长整型 |
仪表 |
|
elasticsearch.cluster.stats.indices.total |
长整型 |
仪表 |
|
elasticsearch.cluster.stats.license.cluster_needs_tls |
布尔值 |
||
elasticsearch.cluster.stats.license.expiry_date |
日期 |
||
elasticsearch.cluster.stats.license.expiry_date_in_millis |
长整型 |
||
elasticsearch.cluster.stats.license.issue_date |
日期 |
||
elasticsearch.cluster.stats.license.issue_date_in_millis |
长整型 |
||
elasticsearch.cluster.stats.license.issued_to |
keyword |
||
elasticsearch.cluster.stats.license.issuer |
keyword |
||
elasticsearch.cluster.stats.license.max_nodes |
长整型 |
||
elasticsearch.cluster.stats.license.start_date_in_millis |
长整型 |
||
elasticsearch.cluster.stats.license.status |
keyword |
||
elasticsearch.cluster.stats.license.type |
keyword |
||
elasticsearch.cluster.stats.license.uid |
keyword |
||
elasticsearch.cluster.stats.nodes.count |
集群中的节点总数。 |
长整型 |
仪表 |
elasticsearch.cluster.stats.nodes.data |
长整型 |
仪表 |
|
elasticsearch.cluster.stats.nodes.fs.available.bytes |
长整型 |
仪表 |
|
elasticsearch.cluster.stats.nodes.fs.total.bytes |
长整型 |
仪表 |
|
elasticsearch.cluster.stats.nodes.jvm.max_uptime.ms |
长整型 |
仪表 |
|
elasticsearch.cluster.stats.nodes.jvm.memory.heap.max.bytes |
长整型 |
仪表 |
|
elasticsearch.cluster.stats.nodes.jvm.memory.heap.used.bytes |
长整型 |
仪表 |
|
elasticsearch.cluster.stats.nodes.master |
集群中符合主节点条件的节点数。 |
长整型 |
仪表 |
elasticsearch.cluster.stats.nodes.stats.data |
集群中的数据节点数。 |
长整型 |
仪表 |
elasticsearch.cluster.stats.nodes.versions |
文本 |
||
elasticsearch.cluster.stats.stack.apm.found |
布尔值 |
||
elasticsearch.cluster.stats.stack.xpack.ccr.available |
布尔值 |
||
elasticsearch.cluster.stats.stack.xpack.ccr.enabled |
布尔值 |
||
elasticsearch.cluster.stats.state.master_node |
keyword |
||
elasticsearch.cluster.stats.state.nodes |
扁平化 |
||
elasticsearch.cluster.stats.state.nodes_hash |
keyword |
||
elasticsearch.cluster.stats.state.state_uuid |
keyword |
||
elasticsearch.cluster.stats.state.version |
keyword |
||
elasticsearch.cluster.stats.status |
集群状态(绿色、黄色、红色)。 |
keyword |
|
elasticsearch.cluster.stats.version |
keyword |
||
elasticsearch.node.id |
节点 ID |
keyword |
|
elasticsearch.node.master |
节点是否为主节点? |
布尔值 |
|
elasticsearch.node.mlockall |
是否在节点上启用了 mlockall? |
布尔值 |
|
elasticsearch.node.name |
节点名称。 |
keyword |
|
elasticsearch.version |
keyword |
||
error.message |
错误消息。 |
match_only_text |
|
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如访问日志、错误日志),则数据集用于指定事件的来源。建议(但非必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
|
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。 |
长整型 |
|
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如 Apache 日志)的事件,则 |
keyword |
|
host.name |
主机的名称。它可以包含 |
keyword |
|
license.status |
别名 |
||
license.type |
别名 |
||
service.address |
服务地址 |
keyword |
|
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
|
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
|
source_node.name |
别名 |
||
source_node.uuid |
别名 |
||
stack_stats.apm.found |
别名 |
||
stack_stats.xpack.ccr.available |
别名 |
||
stack_stats.xpack.ccr.enabled |
别名 |
||
timestamp |
别名 |
丰富
编辑Enrch 查询丰富统计 API 端点,以获取有关参与摄取时丰富操作的 Elasticsearch 集群中的丰富协调器节点的信息。
示例
enrich 的一个示例事件如下所示
{
"agent": {
"hostname": "docker-fleet-agent",
"name": "docker-fleet-agent",
"id": "60e15e27-7080-4c28-9900-5a087c2ff74c",
"type": "metricbeat",
"ephemeral_id": "2b6da727-313f-41fc-84af-3cd928f265c1",
"version": "7.14.0"
},
"elastic_agent": {
"id": "60e15e27-7080-4c28-9900-5a087c2ff74c",
"version": "7.14.0",
"snapshot": true
},
"@timestamp": "2021-07-30T14:47:15.376Z",
"elasticsearch": {
"node": {
"id": "6XuAxHXaRbeX6LUrxIfAxg"
},
"cluster": {
"name": "docker-cluster",
"id": "bvF4SoDLQU-sdM3YY8JI8Q"
},
"enrich": {
"executed_searches": {
"total": 0
},
"remote_requests": {
"current": 0,
"total": 0
},
"queue": {
"size": 0
}
}
},
"ecs": {
"version": "1.10.0"
},
"service": {
"address": "http://elasticsearch:9200",
"name": "elasticsearch",
"type": "elasticsearch"
},
"data_stream": {
"namespace": "default",
"type": "metrics",
"dataset": "elasticsearch.stack_monitoring.enrich"
},
"host": {
"hostname": "docker-fleet-agent",
"os": {
"kernel": "5.11.10-arch1-1",
"codename": "Core",
"name": "CentOS Linux",
"type": "linux",
"family": "redhat",
"version": "7 (Core)",
"platform": "centos"
},
"containerized": true,
"ip": [
"172.18.0.7"
],
"name": "docker-fleet-agent",
"id": "8979eb4aa312c3dccea3823dd92f92f5",
"mac": [
"02:42:ac:12:00:07"
],
"architecture": "x86_64"
},
"metricset": {
"period": 10000,
"name": "enrich"
},
"event": {
"duration": 2804362,
"agent_id_status": "verified",
"ingested": "2021-07-30T14:47:16.373180707Z",
"module": "elasticsearch",
"dataset": "elasticsearch.stack_monitoring.enrich"
}
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件的原始日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
keyword |
|
cluster_uuid |
别名 |
||
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
|
elasticsearch.cluster.id |
Elasticsearch 集群 ID。 |
keyword |
|
elasticsearch.cluster.name |
Elasticsearch 集群名称。 |
keyword |
|
elasticsearch.cluster.state.id |
Elasticsearch 状态 ID。 |
keyword |
|
elasticsearch.enrich.executed_searches.total |
自节点启动以来,丰富处理器已执行的搜索请求数。 |
长整型 |
计数器 |
elasticsearch.enrich.executing_policy.name |
keyword |
||
elasticsearch.enrich.executing_policy.task.action |
keyword |
||
elasticsearch.enrich.executing_policy.task.cancellable |
布尔值 |
||
elasticsearch.enrich.executing_policy.task.id |
长整型 |
||
elasticsearch.enrich.executing_policy.task.parent_task_id |
keyword |
||
elasticsearch.enrich.executing_policy.task.task |
keyword |
||
elasticsearch.enrich.executing_policy.task.time.running.nano |
长整型 |
计数器 |
|
elasticsearch.enrich.executing_policy.task.time.start.ms |
长整型 |
||
elasticsearch.enrich.queue.size |
队列中搜索请求的数量。 |
长整型 |
仪表 |
elasticsearch.enrich.remote_requests.current |
当前未完成的远程请求数量。 |
长整型 |
仪表 |
elasticsearch.enrich.remote_requests.total |
自节点启动以来执行的未完成远程请求总数。 |
长整型 |
计数器 |
elasticsearch.node.id |
节点 ID |
keyword |
|
elasticsearch.node.master |
节点是否为主节点? |
布尔值 |
|
elasticsearch.node.mlockall |
是否在节点上启用了 mlockall? |
布尔值 |
|
elasticsearch.node.name |
节点名称。 |
keyword |
|
error.message |
错误消息。 |
match_only_text |
|
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如访问日志、错误日志),则数据集用于指定事件的来源。建议(但非必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
|
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。 |
长整型 |
|
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如 Apache 日志)的事件,则 |
keyword |
|
host.name |
主机的名称。它可以包含 |
keyword |
|
service.address |
服务地址 |
keyword |
|
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
|
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
|
source_node.name |
别名 |
||
source_node.uuid |
别名 |
||
timestamp |
别名 |
索引
编辑示例
index 的示例事件如下所示
{
"@timestamp": "2022-10-11T11:51:32.135Z",
"agent": {
"ephemeral_id": "7047b7d7-b0f6-412b-a884-19c38671acf5",
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.5.0"
},
"data_stream": {
"dataset": "elasticsearch.stack_monitoring.index",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"snapshot": true,
"version": "8.5.0"
},
"elasticsearch": {
"cluster": {
"id": "H507Ao7tR5-NU8YnTjSYAQ",
"name": "elasticsearch"
},
"index": {
"hidden": true,
"name": ".ml-state-000001",
"primaries": {
"docs": {
"count": 0
},
"indexing": {
"index_time_in_millis": 0,
"index_total": 0,
"throttle_time_in_millis": 0
},
"merges": {
"total_size_in_bytes": 0
},
"refresh": {
"total_time_in_millis": 0
},
"segments": {
"count": 0
},
"store": {
"size_in_bytes": 225
}
},
"shards": {
"primaries": 1,
"total": 1
},
"status": "green",
"total": {
"bulk": {
"avg_size_in_bytes": 0,
"avg_time_in_millis": 0,
"total_operations": 0,
"total_size_in_bytes": 0,
"total_time_in_millis": 0
},
"docs": {
"count": 0
},
"fielddata": {
"memory_size_in_bytes": 0
},
"indexing": {
"index_time_in_millis": 0,
"index_total": 0,
"throttle_time_in_millis": 0
},
"merges": {
"total_size_in_bytes": 0
},
"refresh": {
"total_time_in_millis": 0
},
"search": {
"query_time_in_millis": 0,
"query_total": 0
},
"segments": {
"count": 0,
"doc_values_memory_in_bytes": 0,
"fixed_bit_set_memory_in_bytes": 0,
"index_writer_memory_in_bytes": 0,
"memory_in_bytes": 0,
"norms_memory_in_bytes": 0,
"points_memory_in_bytes": 0,
"stored_fields_memory_in_bytes": 0,
"term_vectors_memory_in_bytes": 0,
"terms_memory_in_bytes": 0,
"version_map_memory_in_bytes": 0
},
"store": {
"size_in_bytes": 225
}
},
"uuid": "rQEw7aohRUqpIz3fuZj6JQ"
}
},
"event": {
"agent_id_status": "verified",
"dataset": "elasticsearch.stack_monitoring.index",
"duration": 143033459,
"ingested": "2022-10-11T11:51:33Z",
"module": "elasticsearch"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "b6bc6723e51b43959ce07f0c3105c72d",
"ip": [
"192.168.0.7"
],
"mac": [
"02-42-C0-A8-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.124-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"metricset": {
"name": "index",
"period": 10000
},
"service": {
"address": "http://elastic-package-service-elasticsearch-1:9200",
"type": "elasticsearch"
}
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件的原始日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
keyword |
|
cluster_uuid |
别名 |
||
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
|
elasticsearch.cluster.id |
Elasticsearch 集群 ID。 |
keyword |
|
elasticsearch.cluster.name |
Elasticsearch 集群名称。 |
keyword |
|
elasticsearch.cluster.state.id |
Elasticsearch 状态 ID。 |
keyword |
|
elasticsearch.index.hidden |
布尔值 |
||
elasticsearch.index.name |
索引名称。 |
keyword |
|
elasticsearch.index.primaries.docs.count |
长整型 |
仪表 |
|
elasticsearch.index.primaries.docs.deleted |
长整型 |
仪表 |
|
elasticsearch.index.primaries.indexing.index_time_in_millis |
长整型 |
计数器 |
|
elasticsearch.index.primaries.indexing.index_total |
长整型 |
计数器 |
|
elasticsearch.index.primaries.indexing.throttle_time_in_millis |
长整型 |
计数器 |
|
elasticsearch.index.primaries.merges.total_size_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.query_cache.hit_count |
长整型 |
计数器 |
|
elasticsearch.index.primaries.query_cache.memory_size_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.query_cache.miss_count |
长整型 |
计数器 |
|
elasticsearch.index.primaries.refresh.external_total_time_in_millis |
长整型 |
计数器 |
|
elasticsearch.index.primaries.refresh.total_time_in_millis |
长整型 |
计数器 |
|
elasticsearch.index.primaries.request_cache.evictions |
长整型 |
计数器 |
|
elasticsearch.index.primaries.request_cache.hit_count |
长整型 |
计数器 |
|
elasticsearch.index.primaries.request_cache.memory_size_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.request_cache.miss_count |
长整型 |
计数器 |
|
elasticsearch.index.primaries.search.query_time_in_millis |
长整型 |
计数器 |
|
elasticsearch.index.primaries.search.query_total |
长整型 |
计数器 |
|
elasticsearch.index.primaries.segments.count |
长整型 |
仪表 |
|
elasticsearch.index.primaries.segments.doc_values_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.segments.fixed_bit_set_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.segments.index_writer_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.segments.memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.segments.norms_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.segments.points_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.segments.stored_fields_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.segments.term_vectors_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.segments.terms_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.segments.version_map_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.store.size_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.primaries.store.total_data_set_size_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.shards.primaries |
长整型 |
||
elasticsearch.index.shards.total |
长整型 |
||
elasticsearch.index.status |
keyword |
||
elasticsearch.index.total.bulk.avg_size_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.bulk.avg_time_in_millis |
长整型 |
仪表 |
|
elasticsearch.index.total.bulk.total_operations |
长整型 |
计数器 |
|
elasticsearch.index.total.bulk.total_size_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.bulk.total_time_in_millis |
长整型 |
计数器 |
|
elasticsearch.index.total.docs.count |
索引中的文档总数。 |
长整型 |
仪表 |
elasticsearch.index.total.docs.deleted |
索引中已删除的文档总数。 |
长整型 |
仪表 |
elasticsearch.index.total.fielddata.evictions |
长整型 |
计数器 |
|
elasticsearch.index.total.fielddata.memory_size_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.indexing.index_time_in_millis |
长整型 |
计数器 |
|
elasticsearch.index.total.indexing.index_total |
长整型 |
计数器 |
|
elasticsearch.index.total.indexing.throttle_time_in_millis |
长整型 |
计数器 |
|
elasticsearch.index.total.merges.total_size_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.query_cache.evictions |
长整型 |
计数器 |
|
elasticsearch.index.total.query_cache.hit_count |
长整型 |
计数器 |
|
elasticsearch.index.total.query_cache.memory_size_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.query_cache.miss_count |
长整型 |
计数器 |
|
elasticsearch.index.total.refresh.external_total_time_in_millis |
长整型 |
计数器 |
|
elasticsearch.index.total.refresh.total_time_in_millis |
长整型 |
计数器 |
|
elasticsearch.index.total.request_cache.evictions |
长整型 |
计数器 |
|
elasticsearch.index.total.request_cache.hit_count |
长整型 |
计数器 |
|
elasticsearch.index.total.request_cache.memory_size_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.request_cache.miss_count |
长整型 |
计数器 |
|
elasticsearch.index.total.search.query_time_in_millis |
长整型 |
计数器 |
|
elasticsearch.index.total.search.query_total |
长整型 |
计数器 |
|
elasticsearch.index.total.segments.count |
索引段的总数。 |
长整型 |
仪表 |
elasticsearch.index.total.segments.doc_values_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.segments.fixed_bit_set_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.segments.index_writer_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.segments.memory.bytes |
段使用的内存总数(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.index.total.segments.memory_in_bytes |
段使用的内存总数(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.index.total.segments.norms_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.segments.points_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.segments.stored_fields_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.segments.term_vectors_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.segments.terms_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.segments.version_map_memory_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.store.size.bytes |
长整型 |
仪表 |
|
elasticsearch.index.total.store.size_in_bytes |
索引的总大小(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.index.uuid |
keyword |
||
elasticsearch.node.id |
节点 ID |
keyword |
|
elasticsearch.node.master |
节点是否为主节点? |
布尔值 |
|
elasticsearch.node.mlockall |
是否在节点上启用了 mlockall? |
布尔值 |
|
elasticsearch.node.name |
节点名称。 |
keyword |
|
error.message |
错误消息。 |
match_only_text |
|
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如访问日志、错误日志),则数据集用于指定事件的来源。建议(但非必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
|
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。 |
长整型 |
|
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如 Apache 日志)的事件,则 |
keyword |
|
host.name |
主机的名称。它可以包含 |
keyword |
|
index_recovery.shards.start_time_in_millis |
别名 |
||
index_recovery.shards.stop_time_in_millis |
别名 |
||
index_stats.index |
别名 |
||
index_stats.primaries.docs.count |
别名 |
||
index_stats.primaries.indexing.index_time_in_millis |
别名 |
||
index_stats.primaries.indexing.index_total |
别名 |
||
index_stats.primaries.indexing.throttle_time_in_millis |
别名 |
||
index_stats.primaries.merges.total_size_in_bytes |
别名 |
||
index_stats.primaries.refresh.total_time_in_millis |
别名 |
||
index_stats.primaries.segments.count |
别名 |
||
index_stats.primaries.store.size_in_bytes |
别名 |
||
index_stats.total.fielddata.memory_size_in_bytes |
别名 |
||
index_stats.total.indexing.index_time_in_millis |
别名 |
||
index_stats.total.indexing.index_total |
别名 |
||
index_stats.total.indexing.throttle_time_in_millis |
别名 |
||
index_stats.total.merges.total_size_in_bytes |
别名 |
||
index_stats.total.query_cache.memory_size_in_bytes |
别名 |
||
index_stats.total.refresh.total_time_in_millis |
别名 |
||
index_stats.total.request_cache.memory_size_in_bytes |
别名 |
||
index_stats.total.search.query_time_in_millis |
别名 |
||
index_stats.total.search.query_total |
别名 |
||
index_stats.total.segments.count |
别名 |
||
index_stats.total.segments.doc_values_memory_in_bytes |
别名 |
||
index_stats.total.segments.fixed_bit_set_memory_in_bytes |
别名 |
||
index_stats.total.segments.index_writer_memory_in_bytes |
别名 |
||
index_stats.total.segments.memory_in_bytes |
别名 |
||
index_stats.total.segments.norms_memory_in_bytes |
别名 |
||
index_stats.total.segments.points_memory_in_bytes |
别名 |
||
index_stats.total.segments.stored_fields_memory_in_bytes |
别名 |
||
index_stats.total.segments.term_vectors_memory_in_bytes |
别名 |
||
index_stats.total.segments.terms_memory_in_bytes |
别名 |
||
index_stats.total.segments.version_map_memory_in_bytes |
别名 |
||
index_stats.total.store.size_in_bytes |
别名 |
||
indices_stats._all.primaries.indexing.index_time_in_millis |
别名 |
||
indices_stats._all.primaries.indexing.index_total |
别名 |
||
indices_stats._all.total.indexing.index_total |
别名 |
||
indices_stats._all.total.search.query_time_in_millis |
别名 |
||
indices_stats._all.total.search.query_total |
别名 |
||
service.address |
服务地址 |
keyword |
|
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
|
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
|
source_node.name |
别名 |
||
source_node.uuid |
别名 |
||
timestamp |
别名 |
索引恢复
编辑默认情况下,仅提取有关正在进行活动恢复的索引的数据。要收集有关所有索引的数据,请设置 active_only: false。
示例
index_recovery 的示例事件如下所示
{
"@timestamp": "2022-10-11T11:52:45.280Z",
"agent": {
"ephemeral_id": "7047b7d7-b0f6-412b-a884-19c38671acf5",
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.5.0"
},
"data_stream": {
"dataset": "elasticsearch.stack_monitoring.index_recovery",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"snapshot": true,
"version": "8.5.0"
},
"elasticsearch": {
"cluster": {
"id": "5-S01HJrSLyI2D9Bfsqkxg",
"name": "elasticsearch"
},
"index": {
"name": "test_2",
"recovery": {
"id": 0,
"index": {
"files": {
"percent": "0.0%",
"recovered": 0,
"reused": 0,
"total": 0
},
"size": {
"recovered_in_bytes": 0,
"reused_in_bytes": 0,
"total_in_bytes": 0
}
},
"name": "test_2",
"primary": true,
"source": {},
"stage": "DONE",
"start_time": {
"ms": 1665489151996
},
"stop_time": {
"ms": 1665489152026
},
"total_time": {
"ms": 30
},
"target": {
"host": "127.0.0.1",
"id": "lVVKbuXvSs2koSpkreME3w",
"name": "c82dbd707c75",
"transport_address": "127.0.0.1:9300"
},
"translog": {
"percent": "100.0%",
"total": 0,
"total_on_start": 0
},
"type": "EMPTY_STORE"
}
}
},
"event": {
"agent_id_status": "verified",
"dataset": "elasticsearch.stack_monitoring.index_recovery",
"duration": 70728584,
"ingested": "2022-10-11T11:52:46Z",
"module": "elasticsearch"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "b6bc6723e51b43959ce07f0c3105c72d",
"ip": [
"192.168.0.7"
],
"mac": [
"02-42-C0-A8-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.124-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"metricset": {
"name": "index_recovery",
"period": 10000
},
"service": {
"address": "http://elastic-package-service-elasticsearch-1:9200",
"name": "elasticsearch",
"type": "elasticsearch"
}
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件的原始日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
keyword |
|
cluster_uuid |
别名 |
||
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
|
elasticsearch.cluster.id |
Elasticsearch 集群 ID。 |
keyword |
|
elasticsearch.cluster.name |
Elasticsearch 集群名称。 |
keyword |
|
elasticsearch.cluster.state.id |
Elasticsearch 状态 ID。 |
keyword |
|
elasticsearch.index.name |
keyword |
||
elasticsearch.index.recovery.id |
分片恢复 ID。 |
长整型 |
|
elasticsearch.index.recovery.index.files.percent |
keyword |
||
elasticsearch.index.recovery.index.files.recovered |
长整型 |
仪表 |
|
elasticsearch.index.recovery.index.files.reused |
长整型 |
仪表 |
|
elasticsearch.index.recovery.index.files.total |
长整型 |
仪表 |
|
elasticsearch.index.recovery.index.size.recovered_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.recovery.index.size.reused_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.recovery.index.size.total_in_bytes |
长整型 |
仪表 |
|
elasticsearch.index.recovery.name |
keyword |
||
elasticsearch.index.recovery.primary |
如果为主分片,则为 True。 |
布尔值 |
|
elasticsearch.index.recovery.source.host |
源节点主机地址(可以是 IP 地址或主机名)。 |
keyword |
|
elasticsearch.index.recovery.source.id |
源节点 ID。 |
keyword |
|
elasticsearch.index.recovery.source.name |
源节点名称。 |
keyword |
|
elasticsearch.index.recovery.source.transport_address |
keyword |
||
elasticsearch.index.recovery.stage |
恢复阶段。 |
keyword |
|
elasticsearch.index.recovery.start_time.ms |
长整型 |
仪表 |
|
elasticsearch.index.recovery.stop_time.ms |
长整型 |
仪表 |
|
elasticsearch.index.recovery.target.host |
目标节点主机地址(可以是 IP 地址或主机名)。 |
keyword |
|
elasticsearch.index.recovery.target.id |
目标节点 ID。 |
keyword |
|
elasticsearch.index.recovery.target.name |
目标节点名称。 |
keyword |
|
elasticsearch.index.recovery.target.transport_address |
keyword |
||
elasticsearch.index.recovery.total_time.ms |
长整型 |
仪表 |
|
elasticsearch.index.recovery.translog.percent |
keyword |
||
elasticsearch.index.recovery.translog.total |
长整型 |
仪表 |
|
elasticsearch.index.recovery.translog.total_on_start |
长整型 |
仪表 |
|
elasticsearch.index.recovery.type |
分片恢复类型。 |
keyword |
|
elasticsearch.index.recovery.verify_index.check_index_time.ms |
长整型 |
仪表 |
|
elasticsearch.index.recovery.verify_index.total_time.ms |
长整型 |
仪表 |
|
elasticsearch.node.id |
节点 ID |
keyword |
|
elasticsearch.node.master |
节点是否为主节点? |
布尔值 |
|
elasticsearch.node.mlockall |
是否在节点上启用了 mlockall? |
布尔值 |
|
elasticsearch.node.name |
节点名称。 |
keyword |
|
error.message |
错误消息。 |
match_only_text |
|
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如访问日志、错误日志),则数据集用于指定事件的来源。建议(但非必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
|
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。 |
长整型 |
|
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如 Apache 日志)的事件,则 |
keyword |
|
host.name |
主机的名称。它可以包含 |
keyword |
|
index_recovery.shards.start_time_in_millis |
别名 |
||
index_recovery.shards.stop_time_in_millis |
别名 |
||
index_recovery.shards.total_time_in_millis |
别名 |
||
service.address |
服务地址 |
keyword |
|
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
|
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
|
source_node.name |
别名 |
||
source_node.uuid |
别名 |
||
timestamp |
别名 |
索引摘要
编辑示例
index_summary 的示例事件如下所示
{
"@timestamp": "2022-10-11T11:54:00.424Z",
"agent": {
"ephemeral_id": "7047b7d7-b0f6-412b-a884-19c38671acf5",
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.5.0"
},
"data_stream": {
"dataset": "elasticsearch.stack_monitoring.index_summary",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"snapshot": true,
"version": "8.5.0"
},
"elasticsearch": {
"cluster": {
"id": "KE1I01h1Qci2TZwKI8uhPQ",
"name": "elasticsearch"
},
"index": {
"summary": {
"primaries": {
"bulk": {
"operations": {
"count": 2
},
"size": {
"bytes": 30
},
"time": {
"avg": {
"bytes": 2
}
}
},
"docs": {
"count": 2,
"deleted": 0
},
"indexing": {
"index": {
"count": 2,
"time": {
"ms": 3
}
}
},
"search": {
"query": {
"count": 6,
"time": {
"ms": 2
}
}
},
"segments": {
"count": 2,
"memory": {
"bytes": 0
}
},
"store": {
"size": {
"bytes": 10059
}
}
},
"total": {
"bulk": {
"operations": {
"count": 2
},
"size": {
"bytes": 30
},
"time": {
"avg": {
"bytes": 2
}
}
},
"docs": {
"count": 2,
"deleted": 0
},
"indexing": {
"index": {
"count": 2,
"time": {
"ms": 3
}
}
},
"search": {
"query": {
"count": 6,
"time": {
"ms": 2
}
}
},
"segments": {
"count": 2,
"memory": {
"bytes": 0
}
},
"store": {
"size": {
"bytes": 10059
}
}
}
}
}
},
"event": {
"agent_id_status": "verified",
"dataset": "elasticsearch.stack_monitoring.index_summary",
"duration": 89177084,
"ingested": "2022-10-11T11:54:01Z",
"module": "elasticsearch"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "b6bc6723e51b43959ce07f0c3105c72d",
"ip": [
"192.168.0.7"
],
"mac": [
"02-42-C0-A8-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.124-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"metricset": {
"name": "index_summary",
"period": 10000
},
"service": {
"address": "http://elastic-package-service-elasticsearch-1:9200",
"name": "elasticsearch",
"type": "elasticsearch"
}
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件的原始日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
keyword |
|
cluster_uuid |
别名 |
||
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
|
elasticsearch.cluster.id |
Elasticsearch 集群 ID。 |
keyword |
|
elasticsearch.cluster.name |
Elasticsearch 集群名称。 |
keyword |
|
elasticsearch.cluster.state.id |
Elasticsearch 状态 ID。 |
keyword |
|
elasticsearch.index.summary.primaries.bulk.operations.count |
长整型 |
仪表 |
|
elasticsearch.index.summary.primaries.bulk.size.bytes |
长整型 |
仪表 |
|
elasticsearch.index.summary.primaries.bulk.time.avg.bytes |
长整型 |
仪表 |
|
elasticsearch.index.summary.primaries.bulk.time.avg.ms |
长整型 |
仪表 |
|
elasticsearch.index.summary.primaries.bulk.time.count.ms |
长整型 |
计数器 |
|
elasticsearch.index.summary.primaries.docs.count |
索引中的文档总数。 |
长整型 |
仪表 |
elasticsearch.index.summary.primaries.docs.deleted |
索引中已删除的文档总数。 |
长整型 |
仪表 |
elasticsearch.index.summary.primaries.indexing.index.count |
长整型 |
仪表 |
|
elasticsearch.index.summary.primaries.indexing.index.time.ms |
长整型 |
仪表 |
|
elasticsearch.index.summary.primaries.search.query.count |
长整型 |
计数器 |
|
elasticsearch.index.summary.primaries.search.query.time.ms |
长整型 |
计数器 |
|
elasticsearch.index.summary.primaries.segments.count |
索引段的总数。 |
长整型 |
仪表 |
elasticsearch.index.summary.primaries.segments.memory.bytes |
段使用的内存总数(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.index.summary.primaries.store.size.bytes |
索引的总大小(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.index.summary.primaries.store.total_data_set_size.bytes |
索引的总大小(以字节为单位),包括部分挂载索引的备份数据。 |
长整型 |
仪表 |
elasticsearch.index.summary.total.bulk.operations.count |
长整型 |
仪表 |
|
elasticsearch.index.summary.total.bulk.size.bytes |
长整型 |
仪表 |
|
elasticsearch.index.summary.total.bulk.time.avg.bytes |
长整型 |
仪表 |
|
elasticsearch.index.summary.total.bulk.time.avg.ms |
长整型 |
仪表 |
|
elasticsearch.index.summary.total.docs.count |
索引中的文档总数。 |
长整型 |
仪表 |
elasticsearch.index.summary.total.docs.deleted |
索引中已删除的文档总数。 |
长整型 |
仪表 |
elasticsearch.index.summary.total.indexing.index.count |
长整型 |
仪表 |
|
elasticsearch.index.summary.total.indexing.index.time.ms |
长整型 |
仪表 |
|
elasticsearch.index.summary.total.indexing.is_throttled |
布尔值 |
||
elasticsearch.index.summary.total.indexing.throttle_time.ms |
长整型 |
仪表 |
|
elasticsearch.index.summary.total.search.query.count |
长整型 |
计数器 |
|
elasticsearch.index.summary.total.search.query.time.ms |
长整型 |
计数器 |
|
elasticsearch.index.summary.total.segments.count |
索引段的总数。 |
长整型 |
仪表 |
elasticsearch.index.summary.total.segments.memory.bytes |
段使用的内存总数(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.index.summary.total.store.size.bytes |
索引的总大小(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.index.summary.total.store.total_data_set_size.bytes |
索引的总大小(以字节为单位),包括部分挂载索引的备份数据。 |
长整型 |
仪表 |
elasticsearch.node.id |
节点 ID |
keyword |
|
elasticsearch.node.master |
节点是否为主节点? |
布尔值 |
|
elasticsearch.node.mlockall |
是否在节点上启用了 mlockall? |
布尔值 |
|
elasticsearch.node.name |
节点名称。 |
keyword |
|
error.message |
错误消息。 |
match_only_text |
|
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如访问日志、错误日志),则数据集用于指定事件的来源。建议(但非必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
|
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。 |
长整型 |
|
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如 Apache 日志)的事件,则 |
keyword |
|
host.name |
主机的名称。它可以包含 |
keyword |
|
indices_stats._all.primaries.indexing.index_time_in_millis |
别名 |
||
indices_stats._all.primaries.indexing.index_total |
别名 |
||
indices_stats._all.total.indexing.index_total |
别名 |
||
indices_stats._all.total.search.query_time_in_millis |
别名 |
||
indices_stats._all.total.search.query_total |
别名 |
||
service.address |
服务地址 |
keyword |
|
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
|
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
|
source_node.name |
别名 |
||
source_node.uuid |
别名 |
||
timestamp |
别名 |
机器学习作业
编辑如果您有机器学习作业,此数据流将查询 机器学习异常检测 API,并且需要启用 机器学习。
示例
ml_job 的示例事件如下所示
{
"@timestamp": "2022-10-11T11:55:13.602Z",
"agent": {
"ephemeral_id": "7047b7d7-b0f6-412b-a884-19c38671acf5",
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.5.0"
},
"data_stream": {
"dataset": "elasticsearch.stack_monitoring.ml_job",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"snapshot": true,
"version": "8.5.0"
},
"elasticsearch": {
"cluster": {
"id": "qRprxEWySBqONwPW_2ga6Q",
"name": "elasticsearch"
},
"ml": {
"job": {
"data_counts": {
"invalid_date_count": 0,
"processed_record_count": 0
},
"forecasts_stats": {
"total": 0
},
"id": "test-job1",
"model_size": {
"memory_status": "ok"
},
"state": "opened"
}
},
"node": {
"id": "2eRkSFTXSLie_seiHf4Y1A",
"name": "efacd89a6e88"
}
},
"event": {
"agent_id_status": "verified",
"dataset": "elasticsearch.stack_monitoring.ml_job",
"duration": 93589542,
"ingested": "2022-10-11T11:55:14Z",
"module": "elasticsearch"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "b6bc6723e51b43959ce07f0c3105c72d",
"ip": [
"192.168.0.7"
],
"mac": [
"02-42-C0-A8-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.124-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"metricset": {
"name": "ml_job",
"period": 10000
},
"service": {
"address": "http://elastic-package-service-elasticsearch-1:9200",
"name": "elasticsearch",
"type": "elasticsearch"
}
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件的原始日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
keyword |
|
cluster_uuid |
别名 |
||
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
|
elasticsearch.cluster.id |
Elasticsearch 集群 ID。 |
keyword |
|
elasticsearch.cluster.name |
Elasticsearch 集群名称。 |
keyword |
|
elasticsearch.cluster.state.id |
Elasticsearch 状态 ID。 |
keyword |
|
elasticsearch.ml.job.data.invalid_date.count |
缺少日期字段或无法解析的日期的记录数。 |
长整型 |
仪表 |
elasticsearch.ml.job.data_counts.invalid_date_count |
长整型 |
仪表 |
|
elasticsearch.ml.job.data_counts.processed_record_count |
已处理的数据事件。 |
长整型 |
仪表 |
elasticsearch.ml.job.forecasts_stats.total |
长整型 |
仪表 |
|
elasticsearch.ml.job.id |
唯一的 ml 作业 ID。 |
keyword |
|
elasticsearch.ml.job.model_size.memory_status |
keyword |
||
elasticsearch.ml.job.state |
作业状态。 |
keyword |
|
elasticsearch.node.id |
节点 ID |
keyword |
|
elasticsearch.node.master |
节点是否为主节点? |
布尔值 |
|
elasticsearch.node.mlockall |
是否在节点上启用了 mlockall? |
布尔值 |
|
elasticsearch.node.name |
节点名称。 |
keyword |
|
error.message |
错误消息。 |
match_only_text |
|
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如访问日志、错误日志),则数据集用于指定事件的来源。建议(但非必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
|
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。 |
长整型 |
|
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如 Apache 日志)的事件,则 |
keyword |
|
host.name |
主机的名称。它可以包含 |
keyword |
|
job_stats.forecasts_stats.total |
别名 |
||
job_stats.job_id |
别名 |
||
service.address |
服务地址 |
keyword |
|
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
|
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
|
source_node.name |
别名 |
||
source_node.uuid |
别名 |
||
timestamp |
别名 |
节点
编辑node 查询 Elasticsearch 的 集群 API 端点以获取集群节点信息。它仅从 _local 节点获取数据,因此必须在每个 Elasticsearch 节点上运行。
示例
node 的示例事件如下所示
{
"@timestamp": "2022-10-11T11:56:26.591Z",
"agent": {
"ephemeral_id": "7047b7d7-b0f6-412b-a884-19c38671acf5",
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.5.0"
},
"data_stream": {
"dataset": "elasticsearch.stack_monitoring.node",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"snapshot": true,
"version": "8.5.0"
},
"elasticsearch": {
"cluster": {
"id": "dww9JUOzQyS8iokOwczS9Q",
"name": "elasticsearch"
},
"node": {
"id": "8IzM7B10S7yuldzLETfv0w",
"jvm": {
"memory": {
"heap": {
"init": {
"bytes": 1073741824
},
"max": {
"bytes": 1073741824
}
},
"nonheap": {
"init": {
"bytes": 7667712
},
"max": {
"bytes": 0
}
}
},
"version": "18.0.2.1"
},
"name": "d07bc5926662",
"process": {
"mlockall": false
},
"version": "8.5.0"
}
},
"event": {
"agent_id_status": "verified",
"dataset": "elasticsearch.stack_monitoring.node",
"duration": 63219000,
"ingested": "2022-10-11T11:56:27Z",
"module": "elasticsearch"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "b6bc6723e51b43959ce07f0c3105c72d",
"ip": [
"192.168.0.7"
],
"mac": [
"02-42-C0-A8-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.124-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"metricset": {
"name": "node",
"period": 10000
},
"service": {
"address": "http://elastic-package-service-elasticsearch-1:9200",
"name": "elasticsearch",
"type": "elasticsearch"
}
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件的原始日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
keyword |
|
cluster_uuid |
别名 |
||
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
|
elasticsearch.cluster.id |
Elasticsearch 集群 ID。 |
keyword |
|
elasticsearch.cluster.name |
Elasticsearch 集群名称。 |
keyword |
|
elasticsearch.cluster.state.id |
Elasticsearch 状态 ID。 |
keyword |
|
elasticsearch.node.id |
节点 ID |
keyword |
|
elasticsearch.node.jvm.memory.heap.init.bytes |
JVM 使用的堆初始化大小(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.node.jvm.memory.heap.max.bytes |
JVM 使用的最大堆大小(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.node.jvm.memory.nonheap.init.bytes |
JVM 使用的非堆初始化大小(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.node.jvm.memory.nonheap.max.bytes |
JVM 使用的最大非堆大小(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.node.jvm.version |
JVM 版本。 |
keyword |
|
elasticsearch.node.master |
节点是否为主节点? |
布尔值 |
|
elasticsearch.node.mlockall |
是否在节点上启用了 mlockall? |
布尔值 |
|
elasticsearch.node.name |
节点名称。 |
keyword |
|
elasticsearch.node.process.mlockall |
进程是否锁定在内存中。 |
布尔值 |
|
elasticsearch.node.version |
节点版本。 |
keyword |
|
error.message |
错误消息。 |
match_only_text |
|
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如访问日志、错误日志),则数据集用于指定事件的来源。建议(但非必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
|
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。 |
长整型 |
|
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如 Apache 日志)的事件,则 |
keyword |
|
host.name |
主机的名称。它可以包含 |
keyword |
|
service.address |
服务地址 |
keyword |
|
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
|
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
|
source_node.name |
别名 |
||
source_node.uuid |
别名 |
||
timestamp |
别名 |
节点统计信息
编辑node_stats 查询 Elasticsearch 的 集群 API 端点,以获取集群节点统计信息。接收到的数据仅针对本地节点,因此代理必须在每个 Elasticsearch 节点上运行。
索引统计信息是节点特定的。这意味着,例如,所有节点一起报告的文档总数不是所有索引中的文档总数,因为也可能存在副本。
示例
以下是 node_stats 的一个示例事件:
{
"@timestamp": "2023-03-31T16:04:42.359Z",
"agent": {
"ephemeral_id": "1a9923cc-6cfb-4e24-af90-4dadc280ce65",
"id": "91796116-33d0-4b72-a8dc-6f878fc9c156",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.8.0"
},
"data_stream": {
"dataset": "elasticsearch.stack_monitoring.node_stats",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "91796116-33d0-4b72-a8dc-6f878fc9c156",
"snapshot": true,
"version": "8.8.0"
},
"elasticsearch": {
"cluster": {
"id": "Ipm1WsqqRB6oapcw_SS2Eg",
"name": "elasticsearch"
},
"node": {
"id": "gdgi4QNVQ_-dHq9HLnRlQA",
"master": true,
"mlockall": false,
"name": "04ab345e3ac8",
"roles": [
"data",
"data_cold",
"data_content",
"data_frozen",
"data_hot",
"data_warm",
"ingest",
"master",
"ml",
"remote_cluster_client",
"transform"
],
"stats": {
"fs": {
"io_stats": {},
"summary": {
"available": {
"bytes": 39146156032
},
"free": {
"bytes": 42362871808
},
"total": {
"bytes": 62671097856
}
},
"total": {
"available_in_bytes": 39146156032,
"total_in_bytes": 62671097856
}
},
"indexing_pressure": {
"memory": {
"current": {
"all": {
"bytes": 0
},
"combined_coordinating_and_primary": {
"bytes": 0
},
"coordinating": {
"bytes": 0
},
"primary": {
"bytes": 0
},
"replica": {
"bytes": 0
}
},
"limit_in_bytes": 107374182,
"total": {
"all": {
"bytes": 20484
},
"combined_coordinating_and_primary": {
"bytes": 20484
},
"coordinating": {
"bytes": 20484,
"rejections": 0
},
"primary": {
"bytes": 27900,
"rejections": 0
},
"replica": {
"bytes": 0,
"rejections": 0
}
}
}
},
"indices": {
"bulk": {
"avg_size": {
"bytes": 92
},
"avg_time": {
"ms": 0
},
"operations": {
"total": {
"count": 29
}
},
"total_size": {
"bytes": 10684
},
"total_time": {
"ms": 131
}
},
"docs": {
"count": 38,
"deleted": 1
},
"fielddata": {
"memory": {
"bytes": 0
}
},
"indexing": {
"index_time": {
"ms": 43
},
"index_total": {
"count": 67
},
"throttle_time": {
"ms": 0
}
},
"query_cache": {
"memory": {
"bytes": 0
}
},
"request_cache": {
"memory": {
"bytes": 0
}
},
"search": {
"query_time": {
"ms": 18
},
"query_total": {
"count": 40
}
},
"segments": {
"count": 20,
"doc_values": {
"memory": {
"bytes": 0
}
},
"fixed_bit_set": {
"memory": {
"bytes": 144
}
},
"index_writer": {
"memory": {
"bytes": 124320
}
},
"memory": {
"bytes": 0
},
"norms": {
"memory": {
"bytes": 0
}
},
"points": {
"memory": {
"bytes": 0
}
},
"stored_fields": {
"memory": {
"bytes": 0
}
},
"term_vectors": {
"memory": {
"bytes": 0
}
},
"terms": {
"memory": {
"bytes": 0
}
},
"version_map": {
"memory": {
"bytes": 0
}
}
},
"store": {
"size": {
"bytes": 138577
}
}
},
"ingest": {
"total": {
"count": 40,
"current": 0,
"failed": 0,
"time_in_millis": 4
}
},
"jvm": {
"gc": {
"collectors": {
"old": {
"collection": {
"count": 0,
"ms": 0
}
},
"young": {
"collection": {
"count": 9,
"ms": 84
}
}
}
},
"mem": {
"heap": {
"max": {
"bytes": 1073741824
},
"used": {
"bytes": 198002688,
"pct": 18
}
}
}
},
"os": {
"cgroup": {
"cpu": {
"cfs": {
"quota": {
"us": -1
}
},
"stat": {
"elapsed_periods": {
"count": 0
},
"time_throttled": {
"ns": 0
},
"times_throttled": {
"count": 0
}
}
},
"cpuacct": {
"usage": {
"ns": 32594735
}
},
"memory": {
"control_group": "/",
"limit": {
"bytes": "max"
},
"usage": {
"bytes": "1505935360"
}
}
},
"cpu": {
"load_avg": {
"1m": 1.13
}
}
},
"process": {
"cpu": {
"pct": 1
}
},
"thread_pool": {
"force_merge": {
"queue": {
"count": 0
},
"rejected": {
"count": 0
}
},
"get": {
"queue": {
"count": 0
},
"rejected": {
"count": 0
}
},
"search": {
"queue": {
"count": 0
},
"rejected": {
"count": 0
}
},
"write": {
"queue": {
"count": 0
},
"rejected": {
"count": 0
}
}
}
}
}
},
"event": {
"agent_id_status": "verified",
"dataset": "elasticsearch.stack_monitoring.node_stats",
"duration": 135773209,
"ingested": "2023-03-31T16:04:43Z",
"module": "elasticsearch"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "2b5a4ccc72da470e945cff8960ca6475",
"ip": [
"172.31.0.4"
],
"mac": [
"02-42-AC-1F-00-04"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.15.49-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"metricset": {
"name": "node_stats",
"period": 10000
},
"service": {
"address": "http://elastic-package-service_elasticsearch_1:9200",
"name": "elasticsearch",
"type": "elasticsearch"
}
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件的原始日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
keyword |
|
cluster_uuid |
别名 |
||
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
|
elasticsearch.cluster.id |
Elasticsearch 集群 ID。 |
keyword |
|
elasticsearch.cluster.name |
Elasticsearch 集群名称。 |
keyword |
|
elasticsearch.cluster.state.id |
Elasticsearch 状态 ID。 |
keyword |
|
elasticsearch.node.id |
节点 ID |
keyword |
|
elasticsearch.node.master |
节点是否为主节点? |
布尔值 |
|
elasticsearch.node.mlockall |
是否在节点上启用了 mlockall? |
布尔值 |
|
elasticsearch.node.name |
节点名称。 |
keyword |
|
elasticsearch.node.roles |
节点角色 |
keyword |
|
elasticsearch.node.stats.fs.io_stats.total.operations.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.fs.io_stats.total.read.operations.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.fs.io_stats.total.write.operations.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.fs.summary.available.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.fs.summary.free.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.fs.summary.total.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.fs.total.available_in_bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.fs.total.total_in_bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indexing_pressure.memory.current.all.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indexing_pressure.memory.current.combined_coordinating_and_primary.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indexing_pressure.memory.current.coordinating.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indexing_pressure.memory.current.primary.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indexing_pressure.memory.current.replica.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indexing_pressure.memory.limit_in_bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indexing_pressure.memory.total.all.bytes |
长整型 |
计数器 |
|
elasticsearch.node.stats.indexing_pressure.memory.total.combined_coordinating_and_primary.bytes |
长整型 |
计数器 |
|
elasticsearch.node.stats.indexing_pressure.memory.total.coordinating.bytes |
长整型 |
计数器 |
|
elasticsearch.node.stats.indexing_pressure.memory.total.coordinating.rejections |
长整型 |
计数器 |
|
elasticsearch.node.stats.indexing_pressure.memory.total.primary.bytes |
长整型 |
计数器 |
|
elasticsearch.node.stats.indexing_pressure.memory.total.primary.rejections |
长整型 |
计数器 |
|
elasticsearch.node.stats.indexing_pressure.memory.total.replica.bytes |
长整型 |
计数器 |
|
elasticsearch.node.stats.indexing_pressure.memory.total.replica.rejections |
长整型 |
计数器 |
|
elasticsearch.node.stats.indices.bulk.avg_size.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.bulk.avg_time.ms |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.bulk.operations.total.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.indices.bulk.total_size.bytes |
长整型 |
计数器 |
|
elasticsearch.node.stats.indices.bulk.total_time.ms |
长整型 |
计数器 |
|
elasticsearch.node.stats.indices.docs.count |
现有文档总数。 |
长整型 |
仪表 |
elasticsearch.node.stats.indices.docs.deleted |
已删除文档总数。 |
长整型 |
仪表 |
elasticsearch.node.stats.indices.fielddata.memory.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.indexing.index_time.ms |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.indexing.index_total.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.indices.indexing.throttle_time.ms |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.query_cache.memory.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.request_cache.memory.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.search.query_time.ms |
长整型 |
计数器 |
|
elasticsearch.node.stats.indices.search.query_total.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.indices.segments.count |
段总数。 |
长整型 |
仪表 |
elasticsearch.node.stats.indices.segments.doc_values.memory.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.segments.fixed_bit_set.memory.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.segments.index_writer.memory.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.segments.memory.bytes |
段的总大小(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.node.stats.indices.segments.norms.memory.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.segments.points.memory.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.segments.stored_fields.memory.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.segments.term_vectors.memory.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.segments.terms.memory.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.segments.version_map.memory.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.indices.shard_stats.total_count |
长整型 |
||
elasticsearch.node.stats.indices.store.size.bytes |
存储的总大小(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.node.stats.indices.store.total_data_set_size.bytes |
分配给此节点的碎片总大小,包括部分挂载索引的后备数据(以字节为单位)。 |
长整型 |
仪表 |
elasticsearch.node.stats.ingest.total.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.ingest.total.current |
长整型 |
仪表 |
|
elasticsearch.node.stats.ingest.total.failed |
长整型 |
计数器 |
|
elasticsearch.node.stats.ingest.total.time_in_millis |
长整型 |
计数器 |
|
elasticsearch.node.stats.jvm.gc.collectors.old.collection.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.jvm.gc.collectors.old.collection.ms |
长整型 |
计数器 |
|
elasticsearch.node.stats.jvm.gc.collectors.young.collection.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.jvm.gc.collectors.young.collection.ms |
长整型 |
计数器 |
|
elasticsearch.node.stats.jvm.mem.heap.max.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.jvm.mem.heap.used.bytes |
长整型 |
仪表 |
|
elasticsearch.node.stats.jvm.mem.heap.used.pct |
双精度浮点数 |
仪表 |
|
elasticsearch.node.stats.jvm.mem.pools.old.max.bytes |
最大字节数。 |
长整型 |
仪表 |
elasticsearch.node.stats.jvm.mem.pools.old.peak.bytes |
峰值字节数。 |
长整型 |
仪表 |
elasticsearch.node.stats.jvm.mem.pools.old.peak_max.bytes |
峰值最大字节数。 |
长整型 |
仪表 |
elasticsearch.node.stats.jvm.mem.pools.old.used.bytes |
已用字节数。 |
长整型 |
仪表 |
elasticsearch.node.stats.jvm.mem.pools.survivor.max.bytes |
最大字节数。 |
长整型 |
仪表 |
elasticsearch.node.stats.jvm.mem.pools.survivor.peak.bytes |
峰值字节数。 |
长整型 |
仪表 |
elasticsearch.node.stats.jvm.mem.pools.survivor.peak_max.bytes |
峰值最大字节数。 |
长整型 |
仪表 |
elasticsearch.node.stats.jvm.mem.pools.survivor.used.bytes |
已用字节数。 |
长整型 |
仪表 |
elasticsearch.node.stats.jvm.mem.pools.young.max.bytes |
最大字节数。 |
长整型 |
仪表 |
elasticsearch.node.stats.jvm.mem.pools.young.peak.bytes |
峰值字节数。 |
长整型 |
仪表 |
elasticsearch.node.stats.jvm.mem.pools.young.peak_max.bytes |
峰值最大字节数。 |
长整型 |
仪表 |
elasticsearch.node.stats.jvm.mem.pools.young.used.bytes |
已用字节数。 |
长整型 |
仪表 |
elasticsearch.node.stats.os.cgroup.cpu.cfs.quota.us |
长整型 |
仪表 |
|
elasticsearch.node.stats.os.cgroup.cpu.stat.elapsed_periods.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.os.cgroup.cpu.stat.time_throttled.ns |
长整型 |
计数器 |
|
elasticsearch.node.stats.os.cgroup.cpu.stat.times_throttled.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.os.cgroup.cpuacct.usage.ns |
长整型 |
计数器 |
|
elasticsearch.node.stats.os.cgroup.memory.control_group |
keyword |
||
elasticsearch.node.stats.os.cgroup.memory.limit.bytes |
keyword |
||
elasticsearch.node.stats.os.cgroup.memory.usage.bytes |
keyword |
||
elasticsearch.node.stats.os.cpu.load_avg.1m |
半精度浮点数 |
仪表 |
|
elasticsearch.node.stats.process.cpu.pct |
双精度浮点数 |
仪表 |
|
elasticsearch.node.stats.thread_pool.bulk.queue.count |
长整型 |
仪表 |
|
elasticsearch.node.stats.thread_pool.bulk.rejected.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.thread_pool.force_merge.queue.count |
长整型 |
仪表 |
|
elasticsearch.node.stats.thread_pool.force_merge.rejected.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.thread_pool.get.queue.count |
长整型 |
仪表 |
|
elasticsearch.node.stats.thread_pool.get.rejected.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.thread_pool.index.queue.count |
长整型 |
仪表 |
|
elasticsearch.node.stats.thread_pool.index.rejected.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.thread_pool.search.queue.count |
长整型 |
仪表 |
|
elasticsearch.node.stats.thread_pool.search.rejected.count |
长整型 |
计数器 |
|
elasticsearch.node.stats.thread_pool.write.queue.count |
长整型 |
仪表 |
|
elasticsearch.node.stats.thread_pool.write.rejected.count |
长整型 |
计数器 |
|
error.message |
错误消息。 |
match_only_text |
|
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如访问日志、错误日志),则数据集用于指定事件的来源。建议(但非必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
|
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。 |
长整型 |
|
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如 Apache 日志)的事件,则 |
keyword |
|
host.name |
主机的名称。它可以包含 |
keyword |
|
node_stats.fs.io_stats.total.operations |
别名 |
||
node_stats.fs.io_stats.total.read_operations |
别名 |
||
node_stats.fs.io_stats.total.write_operations |
别名 |
||
node_stats.fs.summary.available.bytes |
别名 |
||
node_stats.fs.summary.total.bytes |
别名 |
||
node_stats.fs.total.available_in_bytes |
别名 |
||
node_stats.fs.total.total_in_bytes |
别名 |
||
node_stats.indices.docs.count |
别名 |
||
node_stats.indices.fielddata.memory_size_in_bytes |
别名 |
||
node_stats.indices.indexing.index_time_in_millis |
别名 |
||
node_stats.indices.indexing.index_total |
别名 |
||
node_stats.indices.indexing.throttle_time_in_millis |
别名 |
||
node_stats.indices.query_cache.memory_size_in_bytes |
别名 |
||
node_stats.indices.request_cache.memory_size_in_bytes |
别名 |
||
node_stats.indices.search.query_time_in_millis |
别名 |
||
node_stats.indices.search.query_total |
别名 |
||
node_stats.indices.segments.count |
别名 |
||
node_stats.indices.segments.doc_values_memory_in_bytes |
别名 |
||
node_stats.indices.segments.fixed_bit_set_memory_in_bytes |
别名 |
||
node_stats.indices.segments.index_writer_memory_in_bytes |
别名 |
||
node_stats.indices.segments.memory_in_bytes |
别名 |
||
node_stats.indices.segments.norms_memory_in_bytes |
别名 |
||
node_stats.indices.segments.points_memory_in_bytes |
别名 |
||
node_stats.indices.segments.stored_fields_memory_in_bytes |
别名 |
||
node_stats.indices.segments.term_vectors_memory_in_bytes |
别名 |
||
node_stats.indices.segments.terms_memory_in_bytes |
别名 |
||
node_stats.indices.segments.version_map_memory_in_bytes |
别名 |
||
node_stats.indices.store.size.bytes |
别名 |
||
node_stats.indices.store.size_in_bytes |
别名 |
||
node_stats.jvm.gc.collectors.old.collection_count |
别名 |
||
node_stats.jvm.gc.collectors.old.collection_time_in_millis |
别名 |
||
node_stats.jvm.gc.collectors.young.collection_count |
别名 |
||
node_stats.jvm.gc.collectors.young.collection_time_in_millis |
别名 |
||
node_stats.jvm.mem.heap_max_in_bytes |
别名 |
||
node_stats.jvm.mem.heap_used_in_bytes |
别名 |
||
node_stats.jvm.mem.heap_used_percent |
别名 |
||
node_stats.node_id |
别名 |
||
node_stats.os.cgroup.cpu.cfs_quota_micros |
别名 |
||
node_stats.os.cgroup.cpu.stat.number_of_elapsed_periods |
别名 |
||
node_stats.os.cgroup.cpu.stat.number_of_times_throttled |
别名 |
||
node_stats.os.cgroup.cpu.stat.time_throttled_nanos |
别名 |
||
node_stats.os.cgroup.cpuacct.usage_nanos |
别名 |
||
node_stats.os.cgroup.memory.control_group |
别名 |
||
node_stats.os.cgroup.memory.limit_in_bytes |
别名 |
||
node_stats.os.cgroup.memory.usage_in_bytes |
别名 |
||
node_stats.os.cpu.load_average.1m |
别名 |
||
node_stats.process.cpu.percent |
别名 |
||
node_stats.thread_pool.bulk.queue |
别名 |
||
node_stats.thread_pool.bulk.rejected |
别名 |
||
node_stats.thread_pool.get.queue |
别名 |
||
node_stats.thread_pool.get.rejected |
别名 |
||
node_stats.thread_pool.index.queue |
别名 |
||
node_stats.thread_pool.index.rejected |
别名 |
||
node_stats.thread_pool.search.queue |
别名 |
||
node_stats.thread_pool.search.rejected |
别名 |
||
node_stats.thread_pool.write.queue |
别名 |
||
node_stats.thread_pool.write.rejected |
别名 |
||
service.address |
服务地址 |
keyword |
|
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
|
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
|
source_node.name |
别名 |
||
source_node.uuid |
别名 |
||
timestamp |
别名 |
待处理任务
编辑示例
以下是 pending_tasks 的一个示例事件:
{
"agent": {
"name": "docker-fleet-agent",
"id": "f11de143-c31c-49a2-8756-83697dbabe0f",
"ephemeral_id": "3469da57-3138-4702-abc6-8b95e081fc12",
"type": "metricbeat",
"version": "8.5.0"
},
"@timestamp": "2022-09-21T16:00:34.116Z",
"elasticsearch": {
"cluster": {
"name": "elasticsearch",
"id": "N9ZLPL5RQHS67eZBrujPYg"
},
"pending_tasks": {
"time_in_queue.ms": 50,
"source": "create-index [foo-bar-1663776034], cause [api]",
"priority": "URGENT",
"insert_order": 3272
}
},
"ecs": {
"version": "8.0.0"
},
"service": {
"address": "https://elasticsearch:9200",
"name": "elasticsearch",
"type": "elasticsearch"
},
"data_stream": {
"namespace": "default",
"type": "metrics",
"dataset": "elasticsearch.stack_monitoring.pending_tasks"
},
"elastic_agent": {
"id": "f11de143-c31c-49a2-8756-83697dbabe0f",
"version": "8.5.0",
"snapshot": true
},
"host": {
"hostname": "docker-fleet-agent",
"os": {
"kernel": "5.10.47-linuxkit",
"codename": "focal",
"name": "Ubuntu",
"family": "debian",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)",
"platform": "ubuntu"
},
"containerized": true,
"ip": [
"172.28.0.7"
],
"name": "docker-fleet-agent",
"id": "f1eefc91053740c399ff6f1cd52c37bb",
"mac": [
"02-42-AC-1C-00-07"
],
"architecture": "x86_64"
},
"metricset": {
"period": 10000,
"name": "pending_tasks"
},
"event": {
"duration": 4546300,
"agent_id_status": "verified",
"ingested": "2022-09-21T16:00:35Z",
"module": "elasticsearch",
"dataset": "elasticsearch.stack_monitoring.pending_tasks"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件的原始日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
cluster_uuid |
别名 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
elasticsearch.cluster.id |
Elasticsearch 集群 ID。 |
keyword |
elasticsearch.cluster.name |
Elasticsearch 集群名称。 |
keyword |
elasticsearch.cluster.state.id |
Elasticsearch 状态 ID。 |
keyword |
elasticsearch.node.id |
节点 ID |
keyword |
elasticsearch.node.master |
节点是否为主节点? |
布尔值 |
elasticsearch.node.mlockall |
是否在节点上启用了 mlockall? |
布尔值 |
elasticsearch.node.name |
节点名称。 |
keyword |
elasticsearch.pending_tasks.insert_order |
插入顺序 |
长整型 |
elasticsearch.pending_tasks.priority |
优先级 |
keyword |
elasticsearch.pending_tasks.source |
来源。例如:put-mapping |
keyword |
elasticsearch.pending_tasks.time_in_queue.ms |
在队列中的时间 |
长整型 |
error.message |
错误消息。 |
match_only_text |
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如访问日志、错误日志),则数据集用于指定事件的来源。建议(但非必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。 |
长整型 |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如 Apache 日志)的事件,则 |
keyword |
host.name |
主机的名称。它可以包含 |
keyword |
service.address |
服务地址 |
keyword |
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
source_node.name |
别名 |
|
source_node.uuid |
别名 |
|
timestamp |
别名 |
分片
编辑shard 查询 集群状态 API 端点,以获取有关所有分片的信息。
示例
以下是 shard 的一个示例事件:
{
"@timestamp": "2022-10-11T12:00:04.109Z",
"agent": {
"ephemeral_id": "ff5b976d-76c5-46ff-8ca0-b78828af3950",
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.5.0"
},
"data_stream": {
"dataset": "elasticsearch.stack_monitoring.shard",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"snapshot": true,
"version": "8.5.0"
},
"elasticsearch": {
"cluster": {
"id": "rOwlC3lOTzC64KncMOKXkA",
"name": "elasticsearch",
"state": {
"id": "wYk2RYBFT4K4m91iKD2rJQ"
},
"stats": {
"state": {
"state_uuid": "wYk2RYBFT4K4m91iKD2rJQ"
}
}
},
"index": {
"name": ".ml-anomalies-custom-test-job1"
},
"node": {
"id": "66VKJaFeRDOIwmKcAcvnlA",
"name": "3d0712405273"
},
"shard": {
"number": 0,
"primary": true,
"relocating_node": {},
"source_node": {
"name": "3d0712405273",
"uuid": "66VKJaFeRDOIwmKcAcvnlA"
},
"state": "STARTED"
}
},
"event": {
"agent_id_status": "verified",
"dataset": "elasticsearch.stack_monitoring.shard",
"duration": 80668875,
"ingested": "2022-10-11T12:00:05Z",
"module": "elasticsearch"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "b6bc6723e51b43959ce07f0c3105c72d",
"ip": [
"192.168.0.7"
],
"mac": [
"02-42-C0-A8-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.124-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"metricset": {
"name": "shard",
"period": 10000
},
"service": {
"address": "http://elastic-package-service-elasticsearch-1:9200",
"type": "elasticsearch"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件的原始日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
cluster_uuid |
别名 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
elasticsearch.cluster.id |
Elasticsearch 集群 ID。 |
keyword |
elasticsearch.cluster.name |
Elasticsearch 集群名称。 |
keyword |
elasticsearch.cluster.state.id |
Elasticsearch 状态 ID。 |
keyword |
elasticsearch.cluster.stats.state.state_uuid |
keyword |
|
elasticsearch.index.name |
keyword |
|
elasticsearch.node.id |
节点 ID |
keyword |
elasticsearch.node.master |
节点是否为主节点? |
布尔值 |
elasticsearch.node.mlockall |
是否在节点上启用了 mlockall? |
布尔值 |
elasticsearch.node.name |
节点名称。 |
keyword |
elasticsearch.shard.number |
此分片的编号。 |
长整型 |
elasticsearch.shard.primary |
如果这是主分片,则为 True。 |
布尔值 |
elasticsearch.shard.relocating_node.id |
分片从中重新定位的节点。为了兼容性,它与 relocating_node.name 的值完全相同。 |
keyword |
elasticsearch.shard.relocating_node.name |
分片从中重新定位的节点。 |
keyword |
elasticsearch.shard.source_node.name |
keyword |
|
elasticsearch.shard.source_node.uuid |
keyword |
|
elasticsearch.shard.state |
此分片的状态。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如访问日志、错误日志),则数据集用于指定事件的来源。建议(但非必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差值。 |
长整型 |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如 Apache 日志)的事件,则 |
keyword |
host.name |
主机的名称。它可以包含 |
keyword |
service.address |
服务地址 |
keyword |
service.name |
从中收集数据的服务名称。服务的名称通常由用户给定。这允许运行在多个主机上的分布式服务基于名称关联相关实例。对于 Elasticsearch, |
keyword |
service.type |
收集数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
shard.index |
别名 |
|
shard.node |
别名 |
|
shard.primary |
别名 |
|
shard.shard |
别名 |
|
shard.state |
别名 |
|
source_node.name |
别名 |
|
source_node.uuid |
别名 |
|
timestamp |
别名 |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.15.3 |
错误修复 (查看拉取请求) |
8.10.1 或更高版本 |
1.15.2 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
1.15.1 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
1.15.0 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
1.14.0 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
1.13.1 |
错误修复 (查看拉取请求) |
8.10.1 或更高版本 |
1.13.0 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
1.12.1 |
错误修复 (查看拉取请求) |
8.10.1 或更高版本 |
1.12.0 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
1.11.2 |
错误修复 (查看拉取请求) |
8.10.1 或更高版本 |
1.11.1 |
错误修复 (查看拉取请求) |
8.10.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.10.1 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.10.0 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.8.1 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.7.4 |
错误修复 (查看拉取请求) |
8.8.0 或更高版本 |
1.7.3 |
错误修复 (查看拉取请求) |
8.8.0 或更高版本 |
1.7.2 |
错误修复 (查看拉取请求) |
8.8.0 或更高版本 |
1.7.1 |
错误修复 (查看拉取请求) |
8.8.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.6.2 |
错误修复 (查看拉取请求) |
8.8.0 或更高版本 |
1.6.1 |
错误修复 (查看拉取请求) |
8.8.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
8.7.0 或更高版本 |
1.4.3 |
错误修复 (查看拉取请求) |
8.7.0 或更高版本 |
1.4.2 |
错误修复 (查看拉取请求) |
8.7.0 或更高版本 |
1.4.1 |
错误修复 (查看拉取请求) |
8.7.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
8.7.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.2.0-preview2 |
增强 (查看拉取请求) |
— |
1.2.0-preview1 |
增强 (查看拉取请求) |
— |
1.1.0-preview1 |
增强 (查看拉取请求) 错误修复 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.2 |
增强 (查看拉取请求) |
— |
0.2.1 |
错误修复 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |