Google Cloud Platform 集成
编辑Google Cloud Platform 集成
编辑Google Cloud 集成收集并解析从 Cloud Logging 导出到 Google Pub/Sub 主题接收器的 Google Cloud 审计日志、VPC 流日志、防火墙规则日志 和 Cloud DNS 日志,并从 Google Cloud Monitoring 收集 Google Cloud 指标 和元数据。
身份验证
编辑要使用此 Google Cloud Platform (GCP) 集成,您需要设置一个具有角色和服务帐户密钥的服务帐户,以访问您的 GCP 项目上的数据。
服务帐户
编辑首先,您需要创建一个服务帐户。服务帐户 (SA) 是一种特殊类型的 Google 帐户,旨在代表需要访问 GCP 资源的非人类用户。
Elastic Agent 使用 SA 通过 Google API 访问 Google Cloud Platform 上的数据。
如果您还没有这样做,现在可能是查看保护服务帐户的最佳实践指南的好时机。
角色
编辑您需要通过为帐户分配角色来授予您的服务帐户 (SA) 访问 Google Cloud Platform 资源的权限。为了分配最小权限,请创建一个自定义角色,该角色仅具有 Agent 所需的权限。这些权限是
-
compute.instances.list(GCP 计算实例元数据收集所需) ** -
monitoring.metricDescriptors.list -
monitoring.timeSeries.list -
pubsub.subscriptions.consume -
pubsub.subscriptions.create* -
pubsub.subscriptions.get -
pubsub.topics.attachSubscription* -
仅当期望 Agent 创建新订阅时才需要。如果您自己创建订阅,则可以省略这些权限。
- 仅当启用相应的收集时才需要。
创建自定义角色后,将该角色分配给您的服务帐户。
服务帐户密钥
编辑现在,您拥有了可以访问 Google Cloud Platform (GCP) 资源且具有全新权限的服务帐户 (SA),您需要一些与其关联的凭据:服务帐户密钥。
从 SA 列表中
- 单击您刚刚创建的 SA 以打开详细视图。
- 在“密钥”部分中,单击“添加密钥” > “创建新密钥”并选择 JSON 作为类型。
- 安全地下载并存储生成的私钥(请记住,如果私钥丢失,则无法从 GCP 恢复)。
配置集成设置
编辑下一步是配置用于所有受支持服务(审计、DNS、防火墙和 VPC 流)日志的常规集成设置。
在添加 Google Cloud Platform 集成时,需要在集成 UI 中提供“项目 ID”和“凭据文件”或“凭据 JSON”。
项目 ID
编辑项目 ID 是您的资源所在的 Google Cloud 项目 ID。
凭据文件与 JSON
编辑根据您的偏好,在“凭据文件”或“凭据 JSON”字段中指定信息。
选项 1:凭据文件
编辑将包含私钥的 JSON 文件保存在文件系统的安全位置,并确保 Elastic Agent 至少对该文件具有只读权限。
在 Elastic Agent 集成 UI 的“凭据文件”字段中指定文件路径。例如:/home/ubuntu/credentials.json。
选项 2:凭据 JSON
编辑直接在 Elastic Agent 集成中的“凭据 JSON”字段中指定从 Google Cloud Platform 下载的 JSON 文件的内容。
建议
编辑Elastic 建议使用“凭据文件”,因为使用此方法,凭据信息不会离开您的 Google Cloud Platform 环境。使用“凭据 JSON”时,集成会将信息存储在 Elasticsearch 中,并且访问权限会根据策略权限或对底层 Elasticsearch 数据的访问权限进行控制。
日志收集配置
编辑有了正确配置的服务帐户和集成设置,就可以开始收集一些日志了。
要求
编辑在开始之前,您需要创建一些专用的 Google Cloud 资源,详细信息如下
- 日志接收器
- Pub/Sub 主题
- 订阅
Elastic 建议为每种日志类型使用单独的 Pub/Sub 主题,以便可以将其解析并存储在特定的数据流中。
以下是使用 Pub/Sub 主题、订阅和日志路由器收集审计日志的示例。我们将在 Google Cloud Console 中创建资源,然后配置 Google Cloud Platform 集成。
在 Google Cloud Console 中
编辑从高层次来看,所需的步骤是
- 访问“日志记录” > “日志路由器” > “创建接收器”,并提供接收器名称和描述。
- 在“接收器目标”中,选择“Cloud Pub/Sub 主题”作为接收器服务。选择现有主题或“创建主题”。请记下主题名称,因为它将在 Elastic Agent 配置中的“主题”字段中提供。
- 如果您创建了一个新主题,则必须记住转到该主题并为其创建订阅。订阅将主题上的消息定向到订阅者。请记下“订阅 ID”,因为它需要在集成设置中的“订阅名称”字段中输入。
- 在“选择要包括在接收器中的日志”下,例如在“包含过滤器”中添加
logName:"cloudaudit.googleapis.com"以包含所有审计日志。
这只是一个示例;您需要创建筛选表达式以选择要导出到 Pub/Sub 主题的日志类型。
不同日志类型的更多示例筛选器
#
# VPC Flow: logs for specific subnet
#
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=[SUBNET_NAME]"
#
# Audit: Google Compute Engine firewall rule deletion
#
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete"
#
# DNS: all DNS queries
#
resource.type="dns_query"
#
# Firewall: logs for a given country
#
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=[COUNTRY_ISO_ALPHA_3]
使用 Google Cloud 日志资源管理器开始处理您的查询,以便您可以预览并查明要转发到 Elastic Stack 的确切日志类型。
要了解更多信息,请阅读如何在日志资源管理器中构建查询,并查看 Google Cloud 文档中的使用日志资源管理器的示例查询页面。
在 Kibana 上
编辑访问“管理” > “集成” > “已安装的集成” > “Google Cloud Platform”并选择“集成策略”选项卡。选择您之前创建的集成策略。
从服务列表中,选择“Google Cloud Platform (GCP) 审计日志 (gcp-pubsub)”,然后
- 在“主题”字段中,指定您之前在 Google Cloud Console 上记下的“主题名称”。
- 在“订阅名称”中,指定您之前在 Google Cloud Console 上记下的短订阅名称(注意:请勿使用由 project/PROJECT_ID/subscriptions/SUBSCRIPTION_ID 组成的全功能订阅名称)。只需从 Google Cloud Console 中选择订阅 ID)。
- 单击“保存集成”,并确保 Elastic Agent 获取更新后的策略。
故障排除
编辑如果您没有看到审计日志显示,请检查 Agent 日志以查看是否存在错误。
常见的错误类型
- 服务帐户中缺少角色
- 配置错误,例如“项目 ID”、“主题”或“订阅名称”字段
服务帐户中缺少角色
编辑如果您的服务帐户 (SA) 没有所需的角色,您可能会在 elastic_agent.filebeat 数据集中发现如下错误
failed to subscribe to pub/sub topic: failed to check if subscription exists: rpc error: code = PermissionDenied desc = User not authorized to perform this action.
解决方案:确保您的 SA 具有所有必需的角色。
配置错误
编辑如果您指定错误的“主题字段”或“订阅名称”,您可能会在 elastic_agent.filebeat 数据集中发现如下错误
[elastic_agent.filebeat][error] failed to subscribe to pub/sub topic: failed to check if subscription exists: rpc error: code = InvalidArgument desc = Invalid resource name given (name=projects/project/subscriptions/projects/project/subscriptions/non-existent-sub). Refer to https://cloud.google.com/pubsub/docs/admin#resource_names for more information.
解决方案:仔细检查集成设置。
指标收集配置
编辑有了正确配置的服务帐户和集成设置,就可以开始收集一些指标了。
要求
编辑收集指标不需要额外的要求。
故障排除
编辑如果您没有看到指标显示,请检查 Agent 日志以查看是否存在错误。
常见的错误类型
- 周期低于 60 秒
- 服务帐户中缺少角色
- 配置错误,例如“项目 ID”
周期低于 60 秒
编辑GCP 指标的常用最低收集周期为 60 秒。任何低于该值的值都会在检索指标元数据时导致错误。如果发生错误,则会在指标收集阶段跳过受影响的指标,从而导致不发送数据。
服务帐户中缺少角色
编辑如果您的服务帐户 (SA) 没有所需的角色,您可能会发现与访问 GCP 资源相关的错误。
要进行检查,您可以将 Monitoring Viewer 和 Compute Viewer 角色(内置 GCP 角色)添加到您的 SA。这些角色包含在上一步中添加的权限,并通过其他权限扩展它们。您可以从 GCP Console > IAM > 单击 SA 同一行角色附近的向下箭头 > 查看分析的权限中分析其他缺失的权限。从显示的表格中,您可以检查 SA 正在积极使用哪个角色的权限。它们应与您在自定义角色中配置的内容匹配。
配置错误
编辑如果您指定了错误的设置,您可能会发现与缺少 GCP 资源相关的错误。
确保设置正确,并且 SA 对给定的“项目 ID”具有适当的权限。
日志
编辑审计
编辑audit 数据集收集您 Google Cloud 资源中管理活动和访问的审计日志。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
gcp.audit.authentication_info.authority_selector |
请求者指定的授权选择器(如果有)。不能保证主体被允许使用此授权。 |
关键字 |
gcp.audit.authentication_info.principal_email |
发出请求的经过身份验证的用户的电子邮件地址。 |
关键字 |
gcp.audit.authentication_info.principal_subject |
请求方的身份的字符串表示形式。为第一方和第三方身份填充。仅适用于支持第三方身份的 API。 |
关键字 |
gcp.audit.authentication_info.service_account_delegation_info |
发出请求的经过身份验证的服务帐户的身份委托历史记录。它包含有关尝试通过委托服务帐户来访问 GCP 资源的真实授权机构的信息。当存在多个授权机构时,保证它们会根据身份委托事件的原始顺序进行排序。 |
flattened |
gcp.audit.authentication_info.service_account_key_name |
用于请求 OAuth 2.0 访问令牌的服务帐户密钥。此字段通过其完整资源名称标识服务帐户密钥。 |
关键字 |
gcp.audit.authentication_info.third_party_principal |
发出请求的经过身份验证的用户的第三方身份(如果有)。当此处表示的 JSON 对象具有 proto 等效项时,proto 名称将显示在 @type 属性中。 |
flattened |
gcp.audit.authorization_info |
操作的授权信息。 |
nested |
gcp.audit.authorization_info.granted |
是否授予资源和权限的授权。 |
boolean |
gcp.audit.authorization_info.permission |
所需的 IAM 权限。 |
关键字 |
gcp.audit.authorization_info.resource |
正在访问的资源,以 REST 风格的字符串表示。 |
关键字 |
gcp.audit.authorization_info.resource_attributes.name |
资源的名称。 |
关键字 |
gcp.audit.authorization_info.resource_attributes.service |
服务的名称。 |
关键字 |
gcp.audit.authorization_info.resource_attributes.type |
资源的类型。 |
关键字 |
gcp.audit.flattened |
包含 GCP 发送的完整审计文档。 |
flattened |
gcp.audit.labels |
键值对映射,提供有关日志条目的其他信息。标签可以是用户定义的,也可以是系统定义的。 |
flattened |
gcp.audit.logentry_operation.first |
可选。如果这是操作中的第一个日志条目,则将其设置为 True。 |
boolean |
gcp.audit.logentry_operation.id |
可选。任意的操作标识符。具有相同标识符的日志条目被假定为同一操作的一部分。 |
关键字 |
gcp.audit.logentry_operation.last |
可选。如果这是操作中的最后一个日志条目,则将其设置为 True。 |
boolean |
gcp.audit.logentry_operation.producer |
可选。任意的生产者标识符。id 和 producer 的组合必须是全局唯一的。 |
关键字 |
gcp.audit.metadata |
有关请求、响应以及与当前审计事件关联的其他信息的特定于服务的数据。 |
flattened |
gcp.audit.method_name |
服务方法或操作的名称。对于 API 调用,这应该是 API 方法的名称。例如,google.datastore.v1.Datastore.RunQuery。 |
关键字 |
gcp.audit.num_response_items |
如果适用,从 List 或 Query API 方法返回的项目数。 |
long |
gcp.audit.policy_violation_info.payload |
当前处于范围内并受 orgpolicy 条件约束的资源有效负载。 |
flattened |
gcp.audit.policy_violation_info.resource_tags |
在评估时引用资源上的标签。 |
flattened |
gcp.audit.policy_violation_info.resource_type |
orgpolicy 检查的资源类型。 |
关键字 |
gcp.audit.policy_violation_info.violations.checkedValue |
正在检查策略的值。 |
关键字 |
gcp.audit.policy_violation_info.violations.constraint |
约束名称。 |
关键字 |
gcp.audit.policy_violation_info.violations.errorMessage |
策略指示的错误消息。 |
关键字 |
gcp.audit.policy_violation_info.violations.policyType |
指示策略的类型。 |
关键字 |
gcp.audit.request |
flattened |
|
gcp.audit.request_metadata.caller_ip |
调用者的 IP 地址。 |
ip |
gcp.audit.request_metadata.caller_supplied_user_agent |
调用者的用户代理。此信息未经身份验证,应相应处理。 |
关键字 |
gcp.audit.request_metadata.raw.caller_ip |
调用者的原始 IP 地址。 |
关键字 |
gcp.audit.resource_location.current_locations |
资源的当前位置。 |
关键字 |
gcp.audit.resource_name |
作为操作目标的资源或集合。该名称是一个无方案 URI,不包括 API 服务名称。例如,shelves/SHELF_ID/books。 |
关键字 |
gcp.audit.response |
flattened |
|
gcp.audit.service_name |
执行操作的 API 服务的名称。例如,datastore.googleapis.com。 |
关键字 |
gcp.audit.status.code |
状态代码,应为 google.rpc.Code 的枚举值。 |
integer |
gcp.audit.status.details |
携带错误详细信息的列表。 |
flattened |
gcp.audit.status.message |
面向开发人员的错误消息,应使用英语。任何面向用户的错误消息都应本地化,并在 google.rpc.Status.details 字段中发送,或由客户端本地化。 |
关键字 |
gcp.audit.type |
类型属性。 |
关键字 |
gcp.destination.instance.project_id |
包含 VM 的项目的 ID。 |
关键字 |
gcp.destination.instance.region |
VM 的区域。 |
关键字 |
gcp.destination.instance.zone |
VM 的区域。 |
关键字 |
gcp.destination.vpc.project_id |
包含 VM 的项目的 ID。 |
关键字 |
gcp.destination.vpc.subnetwork_name |
VM 正在运行的子网。 |
关键字 |
gcp.destination.vpc.vpc_name |
VM 正在运行的 VPC。 |
关键字 |
gcp.source.instance.project_id |
包含 VM 的项目的 ID。 |
关键字 |
gcp.source.instance.region |
VM 的区域。 |
关键字 |
gcp.source.instance.zone |
VM 的区域。 |
关键字 |
gcp.source.vpc.project_id |
包含 VM 的项目的 ID。 |
关键字 |
gcp.source.vpc.subnetwork_name |
VM 正在运行的子网。 |
关键字 |
gcp.source.vpc.vpc_name |
VM 正在运行的 VPC。 |
关键字 |
host.containerized |
如果主机是容器。 |
boolean |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
long |
related.entity |
与文档关联的所有实体标识符的集合。如果文档包含多个实体,则将包括每个实体的标识符。示例标识符包括(但不限于)云资源 ID、电子邮件地址和主机名。 |
关键字 |
示例
audit 的示例事件如下所示
{
"@timestamp": "2019-12-19T00:44:25.051Z",
"agent": {
"ephemeral_id": "a22278bb-5e1f-4ab7-b468-277c8c0b80a9",
"id": "c6b95057-2f5d-4b8f-b4b5-37cbdb995dec",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.7.1"
},
"client": {
"user": {
"email": "[email protected]"
}
},
"cloud": {
"project": {
"id": "elastic-beats"
},
"provider": "gcp"
},
"data_stream": {
"dataset": "gcp.audit",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c6b95057-2f5d-4b8f-b4b5-37cbdb995dec",
"snapshot": false,
"version": "8.7.1"
},
"event": {
"action": "beta.compute.instances.aggregatedList",
"agent_id_status": "verified",
"category": [
"network",
"configuration"
],
"created": "2023-10-25T04:18:46.637Z",
"dataset": "gcp.audit",
"id": "yonau2dg2zi",
"ingested": "2023-10-25T04:18:47Z",
"kind": "event",
"outcome": "success",
"provider": "data_access",
"type": [
"access",
"allowed"
]
},
"gcp": {
"audit": {
"authorization_info": [
{
"granted": true,
"permission": "compute.instances.list",
"resource_attributes": {
"name": "projects/elastic-beats",
"service": "resourcemanager",
"type": "resourcemanager.projects"
}
}
],
"num_response_items": 61,
"request": {
"@type": "type.googleapis.com/compute.instances.aggregatedList"
},
"resource_location": {
"current_locations": [
"global"
]
},
"resource_name": "projects/elastic-beats/global/instances",
"response": {
"@type": "core.k8s.io/v1.Status",
"apiVersion": "v1",
"details": {
"group": "batch",
"kind": "jobs",
"name": "gsuite-exporter-1589294700",
"uid": "2beff34a-945f-11ea-bacf-42010a80007f"
},
"kind": "Status",
"status_value": "Success"
},
"type": "type.googleapis.com/google.cloud.audit.AuditLog"
}
},
"input": {
"type": "gcp-pubsub"
},
"log": {
"level": "INFO",
"logger": "projects/elastic-beats/logs/cloudaudit.googleapis.com%2Fdata_access"
},
"service": {
"name": "compute.googleapis.com"
},
"source": {
"ip": "192.168.1.1"
},
"tags": [
"forwarded",
"gcp-audit"
],
"user_agent": {
"device": {
"name": "Mac"
},
"name": "Firefox",
"original": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:71.0) Gecko/20100101 Firefox/71.0,gzip(gfe),gzip(gfe)",
"os": {
"full": "Mac OS X 10.15",
"name": "Mac OS X",
"version": "10.15"
},
"version": "71.0."
}
}
防火墙
编辑firewall 数据集从您的虚拟专用云 (VPC) 网络中的防火墙规则收集日志。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
gcp.destination.instance.project_id |
包含 VM 的项目的 ID。 |
关键字 |
gcp.destination.instance.region |
VM 的区域。 |
关键字 |
gcp.destination.instance.zone |
VM 的区域。 |
关键字 |
gcp.destination.vpc.project_id |
包含 VM 的项目的 ID。 |
关键字 |
gcp.destination.vpc.subnetwork_name |
VM 正在运行的子网。 |
关键字 |
gcp.destination.vpc.vpc_name |
VM 正在运行的 VPC。 |
关键字 |
gcp.firewall.flattened |
包含 GCP 发送的完整防火墙文档。 |
flattened |
gcp.firewall.rule_details.action |
规则在匹配时执行的操作。 |
关键字 |
gcp.firewall.rule_details.destination_range |
防火墙适用的目标范围列表。 |
关键字 |
gcp.firewall.rule_details.direction |
匹配此规则的流量方向。 |
关键字 |
gcp.firewall.rule_details.ip_port_info |
规则的 IP 协议和适用的端口范围列表。 |
nested |
gcp.firewall.rule_details.priority |
防火墙规则的优先级。 |
long |
gcp.firewall.rule_details.reference |
对防火墙规则的引用。 |
关键字 |
gcp.firewall.rule_details.source_range |
防火墙规则适用的源范围列表。 |
关键字 |
gcp.firewall.rule_details.source_service_account |
防火墙规则适用的所有源服务帐户的列表。 |
关键字 |
gcp.firewall.rule_details.source_tag |
防火墙规则适用的所有源标签的列表。 |
关键字 |
gcp.firewall.rule_details.target_service_account |
防火墙规则适用的所有目标服务帐户的列表。 |
关键字 |
gcp.firewall.rule_details.target_tag |
防火墙规则适用的所有目标标签的列表。 |
关键字 |
gcp.source.instance.project_id |
包含 VM 的项目的 ID。 |
关键字 |
gcp.source.instance.region |
VM 的区域。 |
关键字 |
gcp.source.instance.zone |
VM 的区域。 |
关键字 |
gcp.source.vpc.project_id |
包含 VM 的项目的 ID。 |
关键字 |
gcp.source.vpc.subnetwork_name |
VM 正在运行的子网。 |
关键字 |
gcp.source.vpc.vpc_name |
VM 正在运行的 VPC。 |
关键字 |
host.containerized |
如果主机是容器。 |
boolean |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
long |
示例
firewall 的示例事件如下所示
{
"@timestamp": "2019-10-30T13:52:42.191Z",
"agent": {
"ephemeral_id": "175ae0b3-355c-4ca7-87ea-d5f1ee34102e",
"id": "c6b95057-2f5d-4b8f-b4b5-37cbdb995dec",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.7.1"
},
"cloud": {
"availability_zone": "us-east1-b",
"project": {
"id": "test-beats"
},
"provider": "gcp",
"region": "us-east1"
},
"data_stream": {
"dataset": "gcp.firewall",
"namespace": "ep",
"type": "logs"
},
"destination": {
"address": "10.42.0.2",
"domain": "test-windows",
"ip": "10.42.0.2",
"port": 3389
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c6b95057-2f5d-4b8f-b4b5-37cbdb995dec",
"snapshot": false,
"version": "8.7.1"
},
"event": {
"action": "firewall-rule",
"agent_id_status": "verified",
"category": [
"network"
],
"created": "2023-10-25T04:20:37.182Z",
"dataset": "gcp.firewall",
"id": "1f21ciqfpfssuo",
"ingested": "2023-10-25T04:20:41Z",
"kind": "event",
"type": [
"allowed",
"connection"
]
},
"gcp": {
"destination": {
"instance": {
"project_id": "test-beats",
"region": "us-east1",
"zone": "us-east1-b"
},
"vpc": {
"project_id": "test-beats",
"subnetwork_name": "windows-isolated",
"vpc_name": "windows-isolated"
}
},
"firewall": {
"rule_details": {
"action": "ALLOW",
"direction": "INGRESS",
"ip_port_info": [
{
"ip_protocol": "TCP",
"port_range": [
"3389"
]
}
],
"priority": 1000,
"source_range": [
"0.0.0.0/0"
],
"target_tag": [
"allow-rdp"
]
}
}
},
"input": {
"type": "gcp-pubsub"
},
"log": {
"logger": "projects/test-beats/logs/compute.googleapis.com%2Ffirewall"
},
"network": {
"community_id": "1:OdLB9eXsBDLz8m97ao4LepX6q+4=",
"direction": "inbound",
"iana_number": "6",
"name": "windows-isolated",
"transport": "tcp",
"type": "ipv4"
},
"related": {
"ip": [
"192.168.2.126",
"10.42.0.2"
]
},
"rule": {
"name": "network:windows-isolated/firewall:windows-isolated-allow-rdp"
},
"source": {
"address": "192.168.2.126",
"geo": {
"continent_name": "Asia",
"country_name": "omn"
},
"ip": "192.168.2.126",
"port": 64853
},
"tags": [
"forwarded",
"gcp-firewall"
]
}
VPC 流
编辑vpcflow 数据集收集从 VM 实例发送和接收的日志,包括用作 GKE 节点的实例。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
gcp.destination.instance.project_id |
包含 VM 的项目的 ID。 |
关键字 |
gcp.destination.instance.region |
VM 的区域。 |
关键字 |
gcp.destination.instance.zone |
VM 的区域。 |
关键字 |
gcp.destination.vpc.project_id |
包含 VM 的项目的 ID。 |
关键字 |
gcp.destination.vpc.subnetwork_name |
VM 正在运行的子网。 |
关键字 |
gcp.destination.vpc.vpc_name |
VM 正在运行的 VPC。 |
关键字 |
gcp.source.instance.project_id |
包含 VM 的项目的 ID。 |
关键字 |
gcp.source.instance.region |
VM 的区域。 |
关键字 |
gcp.source.instance.zone |
VM 的区域。 |
关键字 |
gcp.source.vpc.project_id |
包含 VM 的项目的 ID。 |
关键字 |
gcp.source.vpc.subnetwork_name |
VM 正在运行的子网。 |
关键字 |
gcp.source.vpc.vpc_name |
VM 正在运行的 VPC。 |
关键字 |
gcp.vpcflow.flattened |
包含 GCP 发送的完整 vpcflow 文档。 |
flattened |
gcp.vpcflow.reporter |
报告流的一方。可以是 SRC 或 DEST。 |
关键字 |
gcp.vpcflow.rtt.ms |
在时间间隔内测量的延迟(仅适用于 TCP 流)。这是发送 SEQ 和接收相应的 ACK 之间经过的时间,它包含网络 RTT 以及应用程序相关的延迟。 |
long |
host.containerized |
如果主机是容器。 |
boolean |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
long |
示例
vpcflow 的示例事件如下所示
{
"@timestamp": "2019-06-14T03:50:10.845Z",
"agent": {
"ephemeral_id": "0b8165a2-0e25-4e9a-bb68-271697e0993f",
"id": "c6b95057-2f5d-4b8f-b4b5-37cbdb995dec",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.7.1"
},
"cloud": {
"availability_zone": "us-east1-b",
"instance": {
"name": "kibana"
},
"project": {
"id": "my-sample-project"
},
"provider": "gcp",
"region": "us-east1"
},
"data_stream": {
"dataset": "gcp.vpcflow",
"namespace": "ep",
"type": "logs"
},
"destination": {
"address": "10.139.99.242",
"domain": "elasticsearch",
"ip": "10.139.99.242",
"port": 9200
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c6b95057-2f5d-4b8f-b4b5-37cbdb995dec",
"snapshot": false,
"version": "8.7.1"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"created": "2023-10-25T04:21:42.006Z",
"dataset": "gcp.vpcflow",
"end": "2019-06-14T03:49:51.821056075Z",
"id": "ut8lbrffooxz5",
"ingested": "2023-10-25T04:21:43Z",
"kind": "event",
"start": "2019-06-14T03:40:20.510622432Z",
"type": [
"connection"
]
},
"gcp": {
"destination": {
"instance": {
"project_id": "my-sample-project",
"region": "us-east1",
"zone": "us-east1-b"
},
"vpc": {
"project_id": "my-sample-project",
"subnetwork_name": "default",
"vpc_name": "default"
}
},
"source": {
"instance": {
"project_id": "my-sample-project",
"region": "us-east1",
"zone": "us-east1-b"
},
"vpc": {
"project_id": "my-sample-project",
"subnetwork_name": "default",
"vpc_name": "default"
}
},
"vpcflow": {
"reporter": "DEST",
"rtt": {
"ms": 201
}
}
},
"input": {
"type": "gcp-pubsub"
},
"log": {
"logger": "projects/my-sample-project/logs/compute.googleapis.com%2Fvpc_flows"
},
"network": {
"bytes": 11773,
"community_id": "1:FYaJFSEAKLcBCMFoT6sR5TMHf/s=",
"direction": "internal",
"iana_number": "6",
"name": "default",
"packets": 94,
"transport": "tcp",
"type": "ipv4"
},
"related": {
"ip": [
"67.43.156.13",
"10.139.99.242"
]
},
"source": {
"address": "67.43.156.13",
"as": {
"number": 35908
},
"bytes": 11773,
"domain": "kibana",
"geo": {
"continent_name": "Asia",
"country_iso_code": "BT",
"country_name": "Bhutan",
"location": {
"lat": 27.5,
"lon": 90.5
}
},
"ip": "67.43.156.13",
"packets": 94,
"port": 33576
},
"tags": [
"forwarded",
"gcp-vpcflow"
]
}
DNS
编辑dns 数据集收集名称服务器为您的虚拟专用云 (VPC) 网络解析的查询,以及从外部实体直接到公共区域的查询。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
gcp.dns.auth_answer |
权威答案。 |
boolean |
gcp.dns.destination_ip |
目标 IP 地址,仅适用于转发案例。 |
ip |
gcp.dns.egress_error |
出口代理错误。 |
关键字 |
gcp.dns.flattened |
包含 GCP 发送的完整 dns 文档。 |
flattened |
gcp.dns.protocol |
协议 TCP 或 UDP。 |
关键字 |
gcp.dns.query_name |
DNS 查询名称。 |
关键字 |
gcp.dns.query_type |
DNS 查询类型。 |
关键字 |
gcp.dns.rdata |
以表示格式显示的 DNS 答案,截断为 260 个字节。 |
关键字 |
gcp.dns.response_code |
响应代码。 |
关键字 |
gcp.dns.server_latency |
服务器延迟。 |
integer |
gcp.dns.source_ip |
查询的源 IP 地址。 |
ip |
gcp.dns.source_network |
查询的源网络。 |
关键字 |
gcp.dns.source_type |
生成 DNS 查询的源的类型:private-zone、public-zone、forwarding-zone、forwarding-policy、peering-zone、internal、external、internet |
关键字 |
gcp.dns.target_type |
解析 DNS 查询的目标的类型:private-zone、public-zone、forwarding-zone、forwarding-policy、peering-zone、internal、external、internet |
关键字 |
gcp.dns.vm_instance_id |
Compute Engine VM 实例 ID,仅适用于由 Compute Engine VM 发起的查询。 |
关键字 |
gcp.dns.vm_instance_name |
Compute Engine VM 实例名称,仅适用于由 Compute Engine VM 发起的查询。 |
关键字 |
gcp.dns.vm_project_id |
Google Cloud 项目 ID,仅适用于由 Compute Engine VM 发起的查询。 |
关键字 |
gcp.dns.vm_zone_name |
Google Cloud VM 区域,仅适用于由 Compute Engine VM 发起的查询。 |
关键字 |
host.containerized |
如果主机是容器。 |
boolean |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
long |
示例
dns 的示例事件如下所示
{
"@timestamp": "2021-12-12T15:59:40.446Z",
"agent": {
"ephemeral_id": "fd6c4189-cbc6-493a-acfb-c9e7b2b7588c",
"id": "c6b95057-2f5d-4b8f-b4b5-37cbdb995dec",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.7.1"
},
"cloud": {
"project": {
"id": "key-reference-123456"
},
"provider": "gcp",
"region": "global"
},
"data_stream": {
"dataset": "gcp.dns",
"namespace": "ep",
"type": "logs"
},
"destination": {
"address": "216.239.32.106",
"ip": "216.239.32.106"
},
"dns": {
"answers": [
{
"class": "IN",
"data": "67.43.156.13",
"name": "asdf.gcp.example.com.",
"ttl": 300,
"type": "A"
}
],
"question": {
"name": "asdf.gcp.example.com",
"registered_domain": "example.com",
"subdomain": "asdf.gcp",
"top_level_domain": "com",
"type": "A"
},
"resolved_ip": [
"67.43.156.13"
],
"response_code": "NOERROR"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "c6b95057-2f5d-4b8f-b4b5-37cbdb995dec",
"snapshot": false,
"version": "8.7.1"
},
"event": {
"action": "dns-query",
"agent_id_status": "verified",
"category": [
"network"
],
"created": "2023-10-25T04:19:40.300Z",
"dataset": "gcp.dns",
"id": "zir4wud11tm",
"ingested": "2023-10-25T04:19:41Z",
"kind": "event",
"outcome": "success"
},
"gcp": {
"dns": {
"auth_answer": true,
"destination_ip": "216.239.32.106",
"protocol": "UDP",
"query_name": "asdf.gcp.example.com.",
"query_type": "A",
"response_code": "NOERROR",
"server_latency": 0,
"source_type": "internet",
"target_type": "public-zone"
}
},
"input": {
"type": "gcp-pubsub"
},
"log": {
"level": "INFO",
"logger": "projects/key-reference-123456/logs/dns.googleapis.com%2Fdns_queries"
},
"network": {
"iana_number": "17",
"protocol": "dns",
"transport": "udp"
},
"related": {
"hosts": [
"asdf.gcp.example.com"
],
"ip": [
"67.43.156.13",
"216.239.32.106"
]
},
"tags": [
"forwarded",
"gcp-dns"
]
}
负载平衡日志
编辑loadbalancing_logs 数据集收集发送到 GCP 负载平衡器并由其处理的请求的日志。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
gcp.load_balancer.backend_service_name |
负载平衡器将流量发送到的后端服务的名称 |
关键字 |
gcp.load_balancer.cache_hit |
是否从缓存(带或不带验证)中提供了实体。 |
boolean |
gcp.load_balancer.cache_id |
指示提供缓存响应的位置和缓存实例。例如,从阿姆斯特丹的缓存提供的缓存响应的 cacheId 值为 AMS-85e2bd4b,其中 AMS 是 IATA 代码,而 85e2bd4b 是缓存实例的不透明标识符(因为某些 Cloud CDN 位置具有多个离散缓存)。 |
关键字 |
gcp.load_balancer.cache_lookup |
是否尝试进行缓存查找。 |
boolean |
gcp.load_balancer.forwarding_rule_name |
转发规则的名称 |
关键字 |
gcp.load_balancer.status_details |
解释负载平衡器返回的 HTTP 状态的原因。有关具体消息,请参阅 https://cloud.google.com/cdn/docs/cdn-logging-monitoring#statusdetail_http_success_messages。 |
关键字 |
gcp.load_balancer.target_proxy_name |
目标代理名称 |
关键字 |
gcp.load_balancer.url_map_name |
URL 映射名称 |
关键字 |
host.containerized |
如果主机是容器。 |
boolean |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
long |
示例
loadbalancing 的示例事件如下所示
{
"@timestamp": "2020-06-08T23:41:30.078Z",
"agent": {
"ephemeral_id": "f4dde373-2ff7-464b-afdb-da94763f219b",
"id": "5d3eee86-91a9-4afa-af92-c6b79bd866c0",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.6.0"
},
"cloud": {
"project": {
"id": "PROJECT_ID"
},
"region": "global"
},
"data_stream": {
"dataset": "gcp.loadbalancing_logs",
"namespace": "ep",
"type": "logs"
},
"destination": {
"address": "81.2.69.193",
"ip": "81.2.69.193",
"nat": {
"ip": "10.5.3.1",
"port": 9090
},
"port": 8080
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "5d3eee86-91a9-4afa-af92-c6b79bd866c0",
"snapshot": true,
"version": "8.6.0"
},
"event": {
"agent_id_status": "verified",
"category": [
"network"
],
"created": "2020-06-08T23:41:30.588Z",
"dataset": "gcp.loadbalancing_logs",
"id": "1oek5rg3l3fxj7",
"ingested": "2023-01-13T15:02:22Z",
"kind": "event",
"type": [
"info"
]
},
"gcp": {
"load_balancer": {
"backend_service_name": "",
"cache_hit": true,
"cache_id": "SFO-fbae48ad",
"cache_lookup": true,
"forwarding_rule_name": "FORWARDING_RULE_NAME",
"status_details": "response_from_cache",
"target_proxy_name": "TARGET_PROXY_NAME",
"url_map_name": "URL_MAP_NAME"
}
},
"http": {
"request": {
"bytes": 577,
"method": "GET",
"referrer": "https://mdn.org.cn/en-US/docs/Web/JavaScript"
},
"response": {
"bytes": 157,
"status_code": 304
},
"version": "2.0"
},
"input": {
"type": "gcp-pubsub"
},
"log": {
"level": "INFO",
"logger": "projects/PROJECT_ID/logs/requests"
},
"network": {
"protocol": "http"
},
"related": {
"ip": [
"89.160.20.156",
"81.2.69.193",
"10.5.3.1"
]
},
"source": {
"address": "89.160.20.156",
"as": {
"number": 29518,
"organization": {
"name": "Bredband2 AB"
}
},
"geo": {
"city_name": "Linköping",
"continent_name": "Europe",
"country_iso_code": "SE",
"country_name": "Sweden",
"location": {
"lat": 58.4167,
"lon": 15.6167
},
"region_iso_code": "SE-E",
"region_name": "Östergötland County"
},
"ip": "89.160.20.156",
"port": 9989
},
"tags": [
"forwarded",
"gcp-loadbalancing_logs"
],
"url": {
"domain": "81.2.69.193",
"extension": "jpg",
"original": "http://81.2.69.193:8080/static/us/three-cats.jpg",
"path": "/static/us/three-cats.jpg",
"port": 8080,
"scheme": "http"
},
"user_agent": {
"device": {
"name": "Mac"
},
"name": "Chrome",
"original": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36",
"os": {
"full": "Mac OS X 10.14.6",
"name": "Mac OS X",
"version": "10.14.6"
},
"version": "83.0.4103.61"
}
}
指标
编辑结算
编辑billing 数据集从 Google Cloud BigQuery 每日成本明细表中收集 GCP 结算信息。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
gcp.billing.billing_account_id |
项目结算帐户 ID。 |
关键字 |
gcp.billing.cost_type |
成本类型包括 regular、tax、adjustment 和 rounding_error。 |
关键字 |
gcp.billing.effective_price |
Google Cloud SKU 和 SKU 层级的使用费。如果适用,反映合同定价,否则,它是标价。 |
float |
gcp.billing.invoice_month |
结算报告月份。 |
关键字 |
gcp.billing.project_id |
结算报告所属的项目 ID。 |
关键字 |
gcp.billing.project_name |
结算报告所属的项目名称。 |
关键字 |
gcp.billing.service_description |
报告 Cloud Billing 数据的 Google Cloud 服务。 |
关键字 |
gcp.billing.service_id |
与使用量关联的服务 ID。 |
关键字 |
gcp.billing.sku_description |
服务使用的资源类型的描述。例如,Cloud Storage 的资源类型是 Standard Storage US。 |
关键字 |
gcp.billing.sku_id |
服务使用的资源 ID。 |
关键字 |
gcp.billing.tags |
提供额外元数据的键值对集合。 |
nested |
gcp.billing.tags.key |
关键字 |
|
gcp.billing.tags.value |
关键字 |
|
gcp.billing.total |
总账单金额。 |
float |
host.containerized |
如果主机是容器。 |
boolean |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
示例
以下是 billing 的示例事件
{
"@timestamp": "2017-10-12T08:05:34.853Z",
"cloud": {
"account": {
"id": "01475F-5B1080-1137E7"
},
"project": {
"id": "elastic-bi",
"name": "elastic-containerlib-prod"
},
"provider": "gcp"
},
"event": {
"dataset": "gcp.billing",
"duration": 115000,
"module": "gcp"
},
"gcp": {
"billing": {
"billing_account_id": "01475F-5B1080-1137E7",
"cost_type": "regular",
"invoice_month": "202106",
"project_id": "containerlib-prod-12763",
"project_name": "elastic-containerlib-prod",
"total": 4717.170681,
"sku_id": "0D56-2F80-52A5",
"service_id": "6F81-5844-456A",
"sku_description": "Network Inter Region Ingress from Jakarta to Americas",
"service_description": "Compute Engine",
"effective_price": 0.00292353,
"tags": [
{
"key": "stage",
"value": "prod"
},
{
"key": "size",
"value": "standard"
}
]
}
},
"metricset": {
"name": "billing",
"period": 10000
},
"service": {
"type": "gcp"
}
}
计算
编辑compute 数据集旨在提取 Google Cloud Platform 中 Compute Engine 虚拟机 的指标。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
|
cloud.account.id |
用于在多租户环境中识别不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
|
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
|
cloud.image.id |
云实例的映像 ID。 |
关键字 |
|
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
|
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
|
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
event.dataset |
事件数据集 |
constant_keyword |
|
event.module |
事件模块 |
constant_keyword |
|
gcp.compute.firewall.dropped.bytes |
防火墙丢弃的传入字节数的增量 |
long |
gauge |
gcp.compute.firewall.dropped_packets_count.value |
防火墙丢弃的传入数据包数的增量 |
long |
gauge |
gcp.compute.instance.cpu.reserved_cores.value |
实例主机上保留的内核数 |
double |
gauge |
gcp.compute.instance.cpu.usage.pct |
实例上当前正在使用的已分配 CPU 的百分比 |
double |
gauge |
gcp.compute.instance.cpu.usage_time.sec |
所有内核的使用时间增量(以秒为单位) |
double |
gauge |
gcp.compute.instance.disk.read.bytes |
从磁盘读取的字节数增量 |
long |
gauge |
gcp.compute.instance.disk.read_ops_count.value |
磁盘读取 IO 操作次数增量 |
long |
gauge |
gcp.compute.instance.disk.write.bytes |
写入磁盘的字节数增量 |
long |
gauge |
gcp.compute.instance.disk.write_ops_count.value |
磁盘写入 IO 操作次数增量 |
long |
gauge |
gcp.compute.instance.memory.balloon.ram_size.value |
虚拟机中的总内存量。此指标仅适用于属于 e2 系列的虚拟机。 |
long |
gauge |
gcp.compute.instance.memory.balloon.ram_used.value |
虚拟机中当前使用的内存。此指标仅适用于属于 e2 系列的虚拟机。 |
long |
gauge |
gcp.compute.instance.memory.balloon.swap_in.bytes |
从访客自己的交换空间读取到访客的内存量增量。此指标仅适用于属于 e2 系列的虚拟机。 |
long |
gauge |
gcp.compute.instance.memory.balloon.swap_out.bytes |
从访客写入其自己的交换空间的内存量增量。此指标仅适用于属于 e2 系列的虚拟机。 |
long |
gauge |
gcp.compute.instance.network.egress.bytes |
通过网络发送的字节数增量 |
long |
gauge |
gcp.compute.instance.network.egress.packets.count |
通过网络发送的数据包数增量 |
long |
gauge |
gcp.compute.instance.network.ingress.bytes |
从网络接收的字节数增量 |
long |
gauge |
gcp.compute.instance.network.ingress.packets.count |
从网络接收的数据包数增量 |
long |
gauge |
gcp.compute.instance.uptime.sec |
虚拟机运行的秒数增量。 |
long |
gauge |
gcp.compute.instance.uptime_total.sec |
自虚拟机启动以来经过的时间(以秒为单位)。每 60 秒采样一次。采样后,最多 120 秒内数据不可见。 |
long |
gauge |
gcp.labels.metadata.* |
object |
||
gcp.labels.metrics.* |
object |
||
gcp.labels.resource.* |
object |
||
gcp.labels.system.* |
object |
||
gcp.labels.user.* |
object |
||
gcp.labels_fingerprint |
标签字段的哈希值。 |
关键字 |
|
gcp.metrics.... |
从 Google Cloud API 查询返回的指标。 |
object |
|
host.containerized |
如果主机是容器。 |
boolean |
|
host.os.build |
操作系统构建信息。 |
关键字 |
|
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
示例
以下是 compute 的示例事件
{
"@timestamp": "2017-10-12T08:05:34.853Z",
"cloud": {
"account": {
"id": "elastic-obs-integrations-dev",
"name": "elastic-obs-integrations-dev"
},
"instance": {
"id": "4751091017865185079",
"name": "gke-cluster-1-default-pool-6617a8aa-5clh"
},
"machine": {
"type": "e2-medium"
},
"provider": "gcp",
"availability_zone": "us-central1-c",
"region": "us-central1"
},
"event": {
"dataset": "gcp.compute",
"duration": 115000,
"module": "gcp"
},
"gcp": {
"compute": {
"firewall": {
"dropped": {
"bytes": 421
},
"dropped_packets_count": {
"value": 4
}
},
"instance": {
"cpu": {
"reserved_cores": {
"value": 1
},
"usage": {
"pct": 0.07259952346383708
},
"usage_time": {
"sec": 4.355971407830225
}
},
"memory": {
"balloon": {
"ram_size": {
"value": 4128378880
},
"ram_used": {
"value": 2190848000
},
"swap_in": {
"bytes": 0
},
"swap_out": {
"bytes": 0
}
}
},
"uptime": {
"sec": 60.00000000000091
}
}
},
"labels": {
"user": {
"goog-gke-node": ""
}
}
},
"host": {
"id": "4751091017865185079",
"name": "gke-cluster-1-default-pool-6617a8aa-5clh"
},
"metricset": {
"name": "compute",
"period": 10000
},
"service": {
"type": "gcp"
}
}
Dataproc
编辑dataproc 数据集旨在从 Google Cloud Platform 中的 Dataproc 中提取指标。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
|
cloud.account.id |
用于在多租户环境中识别不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
|
cloud.image.id |
云实例的映像 ID。 |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
event.dataset |
事件数据集 |
constant_keyword |
|
event.module |
事件模块 |
constant_keyword |
|
gcp.dataproc.batch.spark.executors.count |
指示批处理 Spark 执行程序的数量。 |
long |
gauge |
gcp.dataproc.cluster.hdfs.datanodes.count |
指示群集中运行的 HDFS 数据节点的数量。 |
long |
gauge |
gcp.dataproc.cluster.hdfs.storage_capacity.value |
指示群集上运行的 HDFS 系统的容量(以 GB 为单位)。 |
double |
gauge |
gcp.dataproc.cluster.hdfs.storage_utilization.value |
当前使用的 HDFS 存储百分比。 |
double |
gauge |
gcp.dataproc.cluster.hdfs.unhealthy_blocks.count |
指示群集内不健康的块的数量。 |
long |
gauge |
gcp.dataproc.cluster.job.completion_time.value |
从用户提交作业到 Dataproc 报告其完成,作业完成所花费的时间。 |
object |
|
gcp.dataproc.cluster.job.duration.value |
作业在给定状态下所花费的时间。 |
object |
|
gcp.dataproc.cluster.job.failed.count |
指示群集上失败的作业数的增量。 |
long |
gauge |
gcp.dataproc.cluster.job.running.count |
指示群集上正在运行的作业数。 |
long |
gauge |
gcp.dataproc.cluster.job.submitted.count |
指示已提交到群集的作业数的增量。 |
long |
gauge |
gcp.dataproc.cluster.operation.completion_time.value |
从用户提交操作到 Dataproc 报告其完成,操作完成所花费的时间。 |
object |
|
gcp.dataproc.cluster.operation.duration.value |
操作在给定状态下所花费的时间。 |
object |
|
gcp.dataproc.cluster.operation.failed.count |
指示群集上失败的操作数的增量。 |
long |
gauge |
gcp.dataproc.cluster.operation.running.count |
指示群集上正在运行的操作数。 |
long |
gauge |
gcp.dataproc.cluster.operation.submitted.count |
指示已提交到群集的操作数的增量。 |
long |
gauge |
gcp.dataproc.cluster.yarn.allocated_memory_percentage.value |
已分配的 YARN 内存百分比。 |
double |
gauge |
gcp.dataproc.cluster.yarn.apps.count |
指示活动的 YARN 应用程序的数量。 |
long |
gauge |
gcp.dataproc.cluster.yarn.containers.count |
指示 YARN 容器的数量。 |
long |
gauge |
gcp.dataproc.cluster.yarn.memory_size.value |
指示 YARN 内存大小(以 GB 为单位)。 |
double |
gauge |
gcp.dataproc.cluster.yarn.nodemanagers.count |
指示群集中正在运行的 YARN NodeManager 的数量。 |
long |
gauge |
gcp.dataproc.cluster.yarn.pending_memory_size.value |
当前等待调度程序满足的内存请求(以 GB 为单位)。 |
double |
gauge |
gcp.dataproc.cluster.yarn.virtual_cores.count |
指示 YARN 中的虚拟内核数。 |
long |
gauge |
gcp.labels.metadata.* |
object |
||
gcp.labels.metrics.* |
object |
||
gcp.labels.resource.* |
object |
||
gcp.labels.system.* |
object |
||
gcp.labels.user.* |
object |
||
gcp.labels_fingerprint |
标签字段的哈希值。 |
关键字 |
|
gcp.metrics.... |
从 Google Cloud API 查询返回的指标。 |
object |
|
host.containerized |
如果主机是容器。 |
boolean |
|
host.os.build |
操作系统构建信息。 |
关键字 |
|
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
示例
以下是 dataproc 的示例事件
{
"@timestamp": "2017-10-12T08:05:34.853Z",
"cloud": {
"account": {
"id": "elastic-obs-integrations-dev",
"name": "elastic-obs-integrations-dev"
},
"instance": {
"id": "4751091017865185079",
"name": "gke-cluster-1-default-pool-6617a8aa-5clh"
},
"machine": {
"type": "e2-medium"
},
"provider": "gcp",
"availability_zone": "us-central1-c",
"region": "us-central1"
},
"event": {
"dataset": "gcp.dataproc",
"duration": 115000,
"module": "gcp"
},
"gcp": {
"dataproc": {
"cluster": {
"hdfs": {
"datanodes": {
"count": 15
}
}
}
},
"labels": {
"user": {
"goog-gke-node": ""
}
}
},
"host": {
"id": "4751091017865185079",
"name": "gke-cluster-1-default-pool-6617a8aa-5clh"
},
"metricset": {
"name": "dataproc",
"period": 10000
},
"service": {
"type": "gcp"
}
}
Firestore
编辑firestore 数据集从 Google Cloud Platform 中的 Firestore 中提取指标。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
|
cloud.image.id |
云实例的映像 ID。 |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
event.dataset |
事件数据集 |
constant_keyword |
|
event.module |
事件模块 |
constant_keyword |
|
gcp.firestore.document.delete.count |
成功删除的文档数的增量。 |
long |
gauge |
gcp.firestore.document.read.count |
从查询或查找成功读取的文档数的增量。 |
long |
gauge |
gcp.firestore.document.write.count |
成功写入的文档数的增量。 |
long |
gauge |
gcp.labels.metadata.* |
object |
||
gcp.labels.metrics.* |
object |
||
gcp.labels.resource.* |
object |
||
gcp.labels.system.* |
object |
||
gcp.labels.user.* |
object |
||
gcp.metrics.... |
从 Google Cloud API 查询返回的指标。 |
object |
|
host.containerized |
如果主机是容器。 |
boolean |
|
host.os.build |
操作系统构建信息。 |
关键字 |
|
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
示例
以下是 firestore 的示例事件
{
"@timestamp": "2017-10-12T08:05:34.853Z",
"cloud": {
"account": {
"id": "elastic-obs-integrations-dev",
"name": "elastic-obs-integrations-dev"
},
"instance": {
"id": "4751091017865185079",
"name": "gke-cluster-1-default-pool-6617a8aa-5clh"
},
"machine": {
"type": "e2-medium"
},
"provider": "gcp",
"availability_zone": "us-central1-c",
"region": "us-central1"
},
"event": {
"dataset": "gcp.firestore",
"duration": 115000,
"module": "gcp"
},
"gcp": {
"firestore": {
"document": {
"delete": {
"count": 3
},
"read": {
"count": 10
},
"write": {
"count": 1
}
}
},
"labels": {
"user": {
"goog-gke-node": ""
}
}
},
"host": {
"id": "4751091017865185079",
"name": "gke-cluster-1-default-pool-6617a8aa-5clh"
},
"metricset": {
"name": "firestore",
"period": 10000
},
"service": {
"type": "gcp"
}
}
GKE
编辑gke 数据集旨在从 Google Cloud Platform 中的 GKE 中提取指标。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
|
cloud.account.id |
用于在多租户环境中识别不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
|
cloud.image.id |
云实例的映像 ID。 |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
event.dataset |
事件数据集 |
constant_keyword |
|
event.module |
事件模块 |
constant_keyword |
|
gcp.gke.container.cpu.core_usage_time.sec |
容器在所有内核上使用的累积 CPU 使用时间(以秒为单位)。每 60 秒采样一次。 |
double |
counter |
gcp.gke.container.cpu.limit_cores.value |
容器的 CPU 内核限制。每 60 秒采样一次。 |
double |
gauge |
gcp.gke.container.cpu.limit_utilization.pct |
实例上当前正在使用的 CPU 限制百分比。此值不能超过 1,因为使用量不能超过限制。每 60 秒采样一次。采样后,最多 240 秒内数据不可见。 |
double |
gauge |
gcp.gke.container.cpu.request_cores.value |
容器请求的 CPU 内核数。每 60 秒采样一次。采样后,最多 120 秒内数据不可见。 |
double |
gauge |
gcp.gke.container.cpu.request_utilization.pct |
实例上当前正在使用的请求 CPU 的百分比。此值可以大于 1,因为使用量可以超过请求。每 60 秒采样一次。采样后,最多 240 秒内数据不可见。 |
double |
gauge |
gcp.gke.container.ephemeral_storage.limit.bytes |
本地临时存储限制(以字节为单位)。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.container.ephemeral_storage.request.bytes |
本地临时存储请求(以字节为单位)。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.container.ephemeral_storage.used.bytes |
本地临时存储使用量(以字节为单位)。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.container.memory.limit.bytes |
容器的内存限制(以字节为单位)。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.container.memory.limit_utilization.pct |
实例上当前正在使用的内存限制百分比。此值不能超过 1,因为使用量不能超过限制。每 60 秒采样一次。采样后,最多 120 秒内数据不可见。 |
double |
gauge |
gcp.gke.container.memory.page_fault.count |
页面错误的数量,按类型(主要和次要)细分。 |
long |
counter |
gcp.gke.container.memory.request.bytes |
容器的内存请求(以字节为单位)。每 60 秒采样一次。采样后,最多 120 秒内数据不可见。 |
long |
gauge |
gcp.gke.container.memory.request_utilization.pct |
实例上当前正在使用的请求内存的百分比。此值可以大于 1,因为使用量可以超过请求。每 60 秒采样一次。采样后,最多 240 秒内数据不可见。 |
double |
gauge |
gcp.gke.container.memory.used.bytes |
内存使用量(以字节为单位)。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.container.restart.count |
容器重新启动的次数。每 60 秒采样一次。采样后,最多 120 秒内数据不可见。 |
long |
counter |
gcp.gke.container.uptime.sec |
容器已运行的时间(以秒为单位)。每 60 秒采样一次。 |
double |
gauge |
gcp.gke.node.cpu.allocatable_cores.value |
节点上可分配的 CPU 内核数。每 60 秒采样一次。 |
double |
gauge |
gcp.gke.node.cpu.allocatable_utilization.pct |
实例上当前正在使用的可分配 CPU 的百分比。每 60 秒采样一次。采样后,最多 240 秒内数据不可见。 |
double |
gauge |
gcp.gke.node.cpu.core_usage_time.sec |
节点上所有内核使用的累积 CPU 使用时间(以秒为单位)。每 60 秒采样一次。 |
double |
counter |
gcp.gke.node.cpu.total_cores.value |
节点上的 CPU 核心总数。每 60 秒采样一次。 |
double |
gauge |
gcp.gke.node.ephemeral_storage.allocatable.bytes |
节点上可分配的本地临时存储字节数。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.node.ephemeral_storage.inodes_free.value |
本地临时存储上的空闲 inode 数量。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.node.ephemeral_storage.inodes_total.value |
本地临时存储上的 inode 总数。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.node.ephemeral_storage.total.bytes |
节点上的临时存储总字节数。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.node.ephemeral_storage.used.bytes |
节点使用的本地临时存储字节数。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.node.memory.allocatable.bytes |
节点使用的累积内存字节数。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.node.memory.allocatable_utilization.pct |
实例上当前正在使用的可分配内存的比例。此值不能超过 1,因为使用量不能超过可分配的内存字节数。每 60 秒采样一次。采样后,数据最多 120 秒不可见。 |
double |
gauge |
gcp.gke.node.memory.total.bytes |
节点上可分配的内存字节数。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.node.memory.used.bytes |
节点使用的累积内存字节数。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.node.network.received_bytes.count |
节点通过网络接收的累积字节数。每 60 秒采样一次。 |
long |
counter |
gcp.gke.node.network.sent_bytes.count |
节点通过网络传输的累积字节数。每 60 秒采样一次。 |
long |
counter |
gcp.gke.node.pid_limit.value |
节点上操作系统的最大 PID。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.node.pid_used.value |
节点上操作系统中正在运行的进程数。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.node_daemon.cpu.core_usage_time.sec |
节点级系统守护进程在所有核心上使用的累积 CPU 使用时间,以秒为单位。每 60 秒采样一次。 |
double |
counter |
gcp.gke.node_daemon.memory.used.bytes |
系统守护进程使用的内存,以字节为单位。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.pod.network.received.bytes |
Pod 通过网络接收的累积字节数。每 60 秒采样一次。 |
long |
counter |
gcp.gke.pod.network.sent.bytes |
Pod 通过网络传输的累积字节数。每 60 秒采样一次。 |
long |
counter |
gcp.gke.pod.volume.total.bytes |
Pod 可用的磁盘字节总数。每 60 秒采样一次。采样后,数据最多 120 秒不可见。 |
long |
gauge |
gcp.gke.pod.volume.used.bytes |
Pod 使用的磁盘字节数。每 60 秒采样一次。 |
long |
gauge |
gcp.gke.pod.volume.utilization.pct |
实例当前正在使用的卷的比例。此值不能大于 1,因为使用量不能超过可用的总卷空间。每 60 秒采样一次。采样后,数据最多 120 秒不可见。 |
double |
gauge |
gcp.labels.metadata.* |
object |
||
gcp.labels.metrics.* |
object |
||
gcp.labels.resource.* |
object |
||
gcp.labels.system.* |
object |
||
gcp.labels.user.* |
object |
||
gcp.labels_fingerprint |
标签字段的哈希值。 |
关键字 |
|
gcp.metrics.... |
从 Google Cloud API 查询返回的指标。 |
object |
|
host.containerized |
如果主机是容器。 |
boolean |
|
host.os.build |
操作系统构建信息。 |
关键字 |
|
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
示例
以下是 gke 的示例事件
{
"@timestamp": "2017-10-12T08:05:34.853Z",
"cloud": {
"account": {
"id": "elastic-obs-integrations-dev",
"name": "elastic-obs-integrations-dev"
},
"instance": {
"id": "4751091017865185079",
"name": "gke-cluster-1-default-pool-6617a8aa-5clh"
},
"machine": {
"type": "e2-medium"
},
"provider": "gcp",
"availability_zone": "us-central1-c",
"region": "us-central1"
},
"event": {
"dataset": "gcp.gke",
"duration": 115000,
"module": "gcp"
},
"gcp": {
"gke": {
"container": {
"cpu": {
"core_usage_time": {
"sec": 15
}
}
}
},
"labels": {
"user": {
"goog-gke-node": ""
}
}
},
"host": {
"id": "4751091017865185079",
"name": "gke-cluster-1-default-pool-6617a8aa-5clh"
},
"metricset": {
"name": "gke",
"period": 10000
},
"service": {
"type": "gcp"
}
}
负载均衡指标
编辑loadbalancing_metrics 数据集旨在从 Google Cloud Platform 的 负载均衡中获取 HTTPS、HTTP 和第 3 层指标。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
|
cloud.account.id |
用于在多租户环境中识别不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
|
cloud.image.id |
云实例的映像 ID。 |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
event.dataset |
事件数据集 |
constant_keyword |
|
event.module |
事件模块 |
constant_keyword |
|
gcp.labels.metadata.* |
object |
||
gcp.labels.metrics.* |
object |
||
gcp.labels.resource.* |
object |
||
gcp.labels.system.* |
object |
||
gcp.labels.user.* |
object |
||
gcp.labels_fingerprint |
标签字段的哈希值。 |
关键字 |
|
gcp.loadbalancing_metrics.https.backend_latencies.value |
从代理将请求发送到后端,直到代理从后端接收到最后一个响应字节为止计算的延迟分布。 |
object |
|
gcp.loadbalancing_metrics.https.backend_request.bytes |
从 HTTP/S 负载均衡器发送到后端的请求字节数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.https.backend_request.count |
由 HTTP/S 负载均衡器的后端服务的请求数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.https.backend_response.bytes |
从后端(或缓存)发送到外部 HTTP(S) 负载均衡器的响应字节数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.https.external.regional.backend_latencies.value |
从代理将请求发送到后端,直到代理从后端接收到最后一个响应字节为止计算的延迟分布。 |
object |
|
gcp.loadbalancing_metrics.https.external.regional.total_latencies.value |
从代理接收到请求,直到代理从客户端收到最后一个响应字节的 ACK 为止计算的延迟分布。 |
object |
|
gcp.loadbalancing_metrics.https.frontend_tcp_rtt.value |
客户端和代理之间每个连接测量的 RTT 分布。 |
object |
|
gcp.loadbalancing_metrics.https.internal.backend_latencies.value |
从内部 HTTP/S 负载均衡器代理将请求发送到后端,直到代理从后端接收到最后一个响应字节为止计算的延迟分布。 |
object |
|
gcp.loadbalancing_metrics.https.internal.total_latencies.value |
从内部 HTTP/S 负载均衡器代理接收到请求,直到代理从客户端收到最后一个响应字节的 ACK 为止计算的延迟分布。 |
object |
|
gcp.loadbalancing_metrics.https.request.bytes |
从客户端发送到 HTTP/S 负载均衡器的请求字节数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.https.request.count |
由 HTTP/S 负载均衡器服务的请求数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.https.response.bytes |
从 HTTP/S 负载均衡器发送到客户端的响应字节数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.https.total_latencies.value |
从外部 HTTP/S 负载均衡器代理接收到请求,直到代理从客户端收到最后一个响应字节的 ACK 为止计算的延迟分布。 |
object |
|
gcp.loadbalancing_metrics.l3.external.egress.bytes |
从外部 TCP/UDP 网络负载均衡器后端发送到流客户端的字节数的增量。对于 TCP 流,仅计算应用程序流上的字节。 |
long |
gauge |
gcp.loadbalancing_metrics.l3.external.egress_packets.count |
从外部 TCP/UDP 网络负载均衡器后端发送到流客户端的数据包数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.l3.external.ingress.bytes |
从客户端发送到外部 TCP/UDP 网络负载均衡器后端的字节数的增量。对于 TCP 流,仅计算应用程序流上的字节。 |
long |
gauge |
gcp.loadbalancing_metrics.l3.external.ingress_packets.count |
从客户端发送到外部 TCP/UDP 网络负载均衡器后端的数据包数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.l3.external.rtt_latencies.value |
在外部网络负载均衡器的 TCP 连接上测量的往返时间延迟的分布。 |
object |
|
gcp.loadbalancing_metrics.l3.internal.egress.bytes |
从 ILB 后端发送到客户端的字节数的增量(对于 TCP 流,仅计算应用程序流上的字节)。 |
long |
gauge |
gcp.loadbalancing_metrics.l3.internal.egress_packets.count |
从 ILB 后端发送到流客户端的数据包数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.l3.internal.ingress.bytes |
从客户端发送到 ILB 后端的字节数的增量(对于 TCP 流,仅计算应用程序流上的字节)。 |
long |
gauge |
gcp.loadbalancing_metrics.l3.internal.ingress_packets.count |
从客户端发送到 ILB 后端的数据包数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.l3.internal.rtt_latencies.value |
在内部 TCP/UDP 负载均衡器流的 TCP 连接上测量的 RTT 分布。 |
object |
|
gcp.loadbalancing_metrics.tcp_ssl_proxy.closed_connections.value |
通过 TCP/SSL 代理终止的连接数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.tcp_ssl_proxy.egress.bytes |
使用代理从 VM 发送到客户端的字节数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.tcp_ssl_proxy.frontend_tcp_rtt.value |
代理的 TCP 堆栈测量的平滑 RTT(以毫秒为单位)的分布,每分钟应用程序层字节从代理传递到客户端。 |
object |
|
gcp.loadbalancing_metrics.tcp_ssl_proxy.ingress.bytes |
使用代理从客户端发送到 VM 的字节数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.tcp_ssl_proxy.new_connections.value |
通过 TCP/SSL 代理创建的连接数的增量。 |
long |
gauge |
gcp.loadbalancing_metrics.tcp_ssl_proxy.open_connections.value |
通过 TCP/SSL 代理的当前未完成连接数。 |
long |
gauge |
gcp.metrics.... |
从 Google Cloud API 查询返回的指标。 |
object |
|
host.containerized |
如果主机是容器。 |
boolean |
|
host.os.build |
操作系统构建信息。 |
关键字 |
|
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
示例
loadbalancing 的示例事件如下所示
{
"@timestamp": "2017-10-12T08:05:34.853Z",
"cloud": {
"account": {
"id": "elastic-observability"
},
"provider": "gcp",
"region": "us-central1",
"availability_zone": "us-central1-a"
},
"event": {
"dataset": "gcp.loadbalancing_metrics",
"duration": 115000,
"module": "gcp"
},
"gcp": {
"labels": {
"metrics": {
"client_network": "ocp-be-c5kjr-network",
"client_subnetwork": "ocp-be-c5kjr-worker-subnet",
"client_zone": "us-central1-a"
},
"resource": {
"backend_name": "ocp-be-c5kjr-master-us-central1-a",
"backend_scope": "us-central1-a",
"backend_scope_type": "ZONE",
"backend_subnetwork_name": "ocp-be-c5kjr-master-subnet",
"backend_target_name": "ocp-be-c5kjr-api-internal",
"backend_target_type": "BACKEND_SERVICE",
"backend_type": "INSTANCE_GROUP",
"forwarding_rule_name": "ocp-be-c5kjr-api-internal",
"load_balancer_name": "ocp-be-c5kjr-api-internal",
"network_name": "ocp-be-c5kjr-network",
"region": "us-central1"
}
},
"loadbalancing_metrics": {
"l3": {
"internal": {
"egress_packets": {
"count": 100
},
"egress": {
"bytes": 1247589
}
}
}
}
},
"metricset": {
"name": "loadbalancing",
"period": 10000
},
"service": {
"type": "gcp"
}
}
Redis
编辑redis 数据集旨在从 Google Cloud Platform 中用于 Redis 的 GCP Memorystore 获取指标。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中识别不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
||
cloud.instance.name |
主机实例名称。 |
关键字 |
||
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
||
data_stream.dataset |
数据流数据集。 |
constant_keyword |
||
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
||
data_stream.type |
数据流类型。 |
constant_keyword |
||
event.dataset |
事件数据集 |
constant_keyword |
||
event.module |
事件模块 |
constant_keyword |
||
gcp.labels.metadata.* |
object |
|||
gcp.labels.metrics.* |
object |
|||
gcp.labels.resource.* |
object |
|||
gcp.labels.system.* |
object |
|||
gcp.labels.user.* |
object |
|||
gcp.labels_fingerprint |
标签字段的哈希值。 |
关键字 |
||
gcp.metrics.... |
从 Google Cloud API 查询返回的指标。 |
object |
||
gcp.redis.clients.blocked.count |
被阻止的客户端数量。 |
long |
gauge |
|
gcp.redis.clients.connected.count |
客户端连接数。 |
long |
gauge |
|
gcp.redis.commands.calls.count |
一分钟内此命令调用次数的增量。 |
long |
gauge |
|
gcp.redis.commands.total_time.us |
此命令在最后一秒内花费的时间量(以微秒为单位)的增量。 |
long |
微秒 |
gauge |
gcp.redis.commands.usec_per_call.sec |
按命令计算的每分钟每次调用的平均时间。 |
double |
秒 |
gauge |
gcp.redis.keyspace.avg_ttl.sec |
此数据库中密钥的平均 TTL。 |
double |
秒 |
gauge |
gcp.redis.keyspace.keys.count |
此数据库中存储的密钥数。 |
long |
gauge |
|
gcp.redis.keyspace.keys_with_expiration.count |
此数据库中具有到期时间的密钥数。 |
long |
gauge |
|
gcp.redis.persistence.rdb.bgsave_in_progress |
指示 RDB 保存正在进行的标志。 |
boolean |
||
gcp.redis.replication.master.slaves.lag.sec |
副本滞后于主服务器的秒数。 |
long |
秒 |
gauge |
gcp.redis.replication.master.slaves.offset.bytes |
副本已确认的字节数。 |
long |
字节 |
gauge |
gcp.redis.replication.master_repl_offset.bytes |
主服务器已生成并发送到副本的字节数。 |
long |
字节 |
gauge |
gcp.redis.replication.offset_diff.bytes |
尚未在所有副本之间复制的最大字节数。这是所有副本的复制字节偏移量(主服务器)和复制字节偏移量(副本)之间的最大差异。 |
long |
字节 |
gauge |
gcp.redis.replication.role |
返回一个指示节点角色的值。1 表示主服务器,0 表示副本。 |
long |
gauge |
|
gcp.redis.server.uptime.sec |
正常运行时间(以秒为单位)。 |
long |
秒 |
gauge |
gcp.redis.stats.cache_hit_ratio |
缓存命中率,以分数表示。 |
double |
gauge |
|
gcp.redis.stats.connections.total.count |
服务器接受的总连接数的增量。 |
long |
gauge |
|
gcp.redis.stats.cpu_utilization.sec |
Redis 服务器消耗的 CPU 秒数,按系统/用户空间和父/子关系细分。 |
double |
秒 |
gauge |
gcp.redis.stats.evicted_keys.count |
由于 maxmemory 限制而驱逐的密钥数的增量。 |
long |
gauge |
|
gcp.redis.stats.expired_keys.count |
密钥到期事件总数的增量。 |
long |
gauge |
|
gcp.redis.stats.keyspace_hits.count |
在主字典中成功查找密钥数的增量。 |
long |
gauge |
|
gcp.redis.stats.keyspace_misses.count |
在主字典中查找密钥失败的次数的增量。 |
long |
gauge |
|
gcp.redis.stats.memory.maxmemory.mb |
Redis 可以消耗的最大内存量。 |
long |
兆 |
gauge |
gcp.redis.stats.memory.system_memory_overload_duration.us |
实例处于系统内存过载模式的时间量(以微秒为单位)。 |
long |
微秒 |
gauge |
gcp.redis.stats.memory.system_memory_usage_ratio |
内存使用量,以最大系统内存的比率表示。 |
double |
gauge |
|
gcp.redis.stats.memory.usage.bytes |
Redis 分配的字节总数。 |
long |
字节 |
gauge |
gcp.redis.stats.memory.usage_ratio |
内存使用量,以最大内存的比率表示。 |
double |
gauge |
|
gcp.redis.stats.network_traffic.bytes |
发送到/从 Redis 发送的总字节数的增量(包括来自命令本身、有效负载数据和分隔符的字节)。 |
long |
字节 |
gauge |
gcp.redis.stats.pubsub.channels.count |
具有客户端订阅的 pub/sub 通道的全局数量。 |
long |
gauge |
|
gcp.redis.stats.pubsub.patterns.count |
具有客户端订阅的 pub/sub 模式的全局数量。 |
long |
gauge |
|
gcp.redis.stats.reject_connections.count |
由于 maxclients 限制而拒绝的连接数。 |
long |
gauge |
|
host.containerized |
如果主机是容器。 |
boolean |
||
host.os.build |
操作系统构建信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
示例
以下是 redis 的示例事件
{
"@timestamp": "2017-10-12T08:05:34.853Z",
"cloud": {
"account": {
"id": "elastic-obs-integrations-dev",
"name": "elastic-obs-integrations-dev"
},
"instance": {
"id": "4751091017865185079",
"name": "gke-cluster-1-default-pool-6617a8aa-5clh"
},
"machine": {
"type": "e2-medium"
},
"provider": "gcp",
"availability_zone": "us-central1-c",
"region": "us-central1"
},
"event": {
"dataset": "gcp.redis",
"duration": 115000,
"module": "gcp"
},
"gcp": {
"redis": {
"clients": {
"blocked": {
"count": 4
}
}
},
"labels": {
"user": {
"goog-gke-node": ""
}
}
},
"host": {
"id": "4751091017865185079",
"name": "gke-cluster-1-default-pool-6617a8aa-5clh"
},
"metricset": {
"name": "metrics",
"period": 10000
},
"service": {
"type": "gcp"
}
}
存储
编辑storage 数据集从 Google Cloud Platform 的 存储中获取指标。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
|
cloud.account.id |
用于在多租户环境中识别不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
|
cloud.image.id |
云实例的映像 ID。 |
关键字 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
|
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
|
data_stream.type |
数据流类型。 |
constant_keyword |
|
event.dataset |
事件数据集 |
constant_keyword |
|
event.module |
事件模块 |
constant_keyword |
|
gcp.labels.metadata.* |
object |
||
gcp.labels.metrics.* |
object |
||
gcp.labels.resource.* |
object |
||
gcp.labels.system.* |
object |
||
gcp.labels.user.* |
object |
||
gcp.labels_fingerprint |
标签字段的哈希值。 |
关键字 |
|
gcp.metrics.... |
从 Google Cloud API 查询返回的指标。 |
object |
|
gcp.storage.api.request.count |
API 调用数的增量,按 API 方法名称和响应代码分组。 |
long |
gauge |
gcp.storage.authz.acl_based_object_access.count |
仅由于对象 ACL 而导致对象被授予访问权限的请求数的增量。 |
long |
gauge |
gcp.storage.authz.acl_operations.count |
按类型细分的 ACL 操作的使用情况。 |
long |
gauge |
gcp.storage.authz.object_specific_acl_mutation.count |
对特定于对象的 ACL 所做更改的增量。 |
long |
gauge |
gcp.storage.network.received.bytes |
通过网络接收的字节数的增量,按 API 方法名称和响应代码分组。 |
long |
gauge |
gcp.storage.network.sent.bytes |
通过网络发送的字节数的增量,按 API 方法名称和响应代码分组。 |
long |
gauge |
gcp.storage.storage.object.count |
每个存储桶的对象总数,按存储类别分组。此值每天测量一次,并且该值在全天每个采样间隔重复。 |
long |
gauge |
gcp.storage.storage.total.bytes |
存储桶中所有对象的总大小,按存储类别分组。此值每天测量一次,并且该值在全天每个采样间隔重复。 |
long |
gauge |
gcp.storage.storage.total_byte_seconds.bytes |
通过网络接收的字节数的增量,按 API 方法名称和响应代码分组。 |
long |
gauge |
host.containerized |
如果主机是容器。 |
boolean |
|
host.os.build |
操作系统构建信息。 |
关键字 |
|
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
示例
以下是 storage 的一个示例事件:
{
"@timestamp": "2017-10-12T08:05:34.853Z",
"cloud": {
"account": {
"id": "elastic-obs-integrations-dev",
"name": "elastic-obs-integrations-dev"
},
"instance": {
"id": "4751091017865185079",
"name": "gke-cluster-1-default-pool-6617a8aa-5clh"
},
"machine": {
"type": "e2-medium"
},
"provider": "gcp",
"availability_zone": "us-central1-c",
"region": "us-central1"
},
"event": {
"dataset": "gcp.storage",
"duration": 115000,
"module": "gcp"
},
"gcp": {
"storage": {
"storage": {
"total": {
"bytes": 4472520191
}
},
"network": {
"received": {
"bytes": 4472520191
}
}
},
"labels": {
"user": {
"goog-gke-node": ""
}
}
},
"host": {
"id": "4751091017865185079",
"name": "gke-cluster-1-default-pool-6617a8aa-5clh"
},
"metricset": {
"name": "storage",
"period": 10000
},
"service": {
"type": "gcp"
}
}
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.39.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.38.0 |
增强 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.37.2 |
Bug 修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.37.1 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.37.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.36.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.35.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.34.1 |
Bug 修复 (查看拉取请求) |
8.12.0 或更高版本 |
2.34.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.33.2 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.33.1 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.33.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.32.1 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.32.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.31.2 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.31.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.31.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.30.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.30.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.29.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.29.0 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.28.5 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.28.4 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.28.3 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.28.2 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.28.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.28.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.27.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.26.0 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.25.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.25.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.24.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.23.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.22.1 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
2.22.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
2.21.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
2.20.1 |
Bug 修复 (查看拉取请求) |
8.6.0 或更高版本 |
2.20.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
2.19.1 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
2.19.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
2.18.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
2.17.2 |
Bug 修复 (查看拉取请求) |
8.6.0 或更高版本 |
2.17.1 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
2.17.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) |
8.6.0 或更高版本 |
2.16.2 |
Bug 修复 (查看拉取请求) |
8.5.0 或更高版本 |
2.16.1 |
Bug 修复 (查看拉取请求) |
8.5.0 或更高版本 |
2.16.0 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
2.15.2 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
2.15.1 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
2.15.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
8.5.0 或更高版本 |
2.14.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.13.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
2.12.1 |
Bug 修复 (查看拉取请求) |
7.17.6 或更高版本 |
2.12.0 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.11.12 |
Bug 修复 (查看拉取请求) |
7.17.6 或更高版本 |
2.11.11 |
Bug 修复 (查看拉取请求) |
7.17.6 或更高版本 |
2.11.10 |
增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.11.10-beta.6 |
增强 (查看拉取请求) |
— |
2.11.10-beta.5 |
增强 (查看拉取请求) |
— |
2.11.10-beta.4 |
增强 (查看拉取请求) |
— |
2.11.10-beta.3 |
增强 (查看拉取请求) |
— |
2.11.10-beta.2 |
增强 (查看拉取请求) |
— |
2.11.10-beta.1 |
增强 (查看拉取请求) |
— |
2.11.9 |
Bug 修复 (查看拉取请求) |
7.17.6 或更高版本 |
2.11.8 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.11.7 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.11.6 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.11.5 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.11.4 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.11.3 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.11.2 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.11.1 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.11.0 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.10.0 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.9.0 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.8.0 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.7.0 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.6.0 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.5.0 |
增强 (查看拉取请求) Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) 增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.4.0 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.3.0 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.2.1 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.2.0 |
增强 (查看拉取请求) |
7.17.6 或更高版本 |
2.1.0 |
增强 (foobar[查看拉取请求]) |
7.17.6 或更高版本 |
2.0.0 |
重大更改 (查看拉取请求) 此更改涉及 启用 GCP 集成的用户在将策略升级到此版本时需要再次输入这些变量的值。 增强 (查看拉取请求) 增强 (查看拉取请求) 增强 (查看拉取请求) |
8.3.0 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.9.2 |
Bug 修复 (查看拉取请求) |
7.17.0 或更高版本 |
1.9.1 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) Bug 修复 (查看拉取请求) |
— |
1.6.1 |
增强 (查看拉取请求) |
7.16.3 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
— |
1.5.1 |
增强 (查看拉取请求) |
7.16.3 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
7.16.3 或更高版本 |
1.4.2 |
Bug 修复 (查看拉取请求) |
7.16.3 或更高版本 |
1.4.1 |
Bug 修复 (查看拉取请求) |
7.16.3 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
— |
1.3.1 |
Bug 修复 (查看拉取请求) |
7.15.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.2.2 |
Bug 修复 (查看拉取请求) |
7.15.0 或更高版本 |
1.2.1 |
Bug 修复 (查看拉取请求) |
— |
1.2.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.1.2 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.1.1 |
Bug 修复 (查看拉取请求) |
— |
1.1.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
— |
0.3.3 |
增强 (查看拉取请求) |
— |
0.3.2 |
增强 (查看拉取请求) |
— |
0.3.1 |
增强 (查看拉取请求) |
— |
0.3.0 |
增强 (查看拉取请求) |
— |
0.2.0 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |
0.0.2 |
增强 (查看拉取请求) |
— |
0.0.1 |
增强 (查看拉取请求) |
— |