Hashicorp Vault
编辑Hashicorp Vault
编辑此集成从 Hashicorp Vault 收集日志和指标。有三个数据流
- audit - 来自文件或 TCP 套接字的审计日志。
- log - 来自文件的操作日志。
- metrics - 来自 /sys/metrics API 的遥测数据。
兼容性
编辑此集成已使用 Vault 1.11 进行测试。
审计日志
编辑Vault 审计日志提供了详细的记录,说明了谁访问或修改了哪些密钥。日志不包含实际的密钥值(对于字符串),而是包含使用 HMAC-SHA256 加盐的哈希值。可以通过使用 /sys/audit-hash API 将哈希值与值进行比较。
为了使用此集成进行审计日志记录,您必须配置 Vault 以使用 文件审计设备或 套接字审计设备。文件审计设备提供了最强的交付保证。
文件审计设备要求
编辑- 在每个 Vault 服务器主机上创建一个用于审计日志的目录。
mkdir /var/log/vault
- 启用文件审计设备。
vault audit enable file file_path=/var/log/vault/audit.json
- 配置审计日志的日志轮换。确切步骤可能因操作系统而异。此示例使用
logrotate对 Vault 服务调用systemctl reload,这会向进程发送 SIGHUP 信号。SIGHUP 信号导致 Vault 开始写入新的日志文件。
tee /etc/logrotate.d/vault <<'EOF'
/var/log/vault/audit.json {
rotate 7
daily
compress
delaycompress
missingok
notifempty
extension json
dateext
dateformat %Y-%m-%d.
postrotate
/bin/systemctl reload vault || true
endscript
}
EOF
套接字审计设备要求
编辑要在 Vault 中启用套接字审计设备,您应该首先启用此集成,因为 Vault 将测试它是否可以连接到 TCP 套接字。
- 添加此集成并通过 TCP 启用审计日志收集。如果 Vault 将远程连接,请将侦听地址设置为 0.0.0.0。
- 配置套接字审计设备以将日志流式传输到此集成。替换为您要将审计日志发送到的 Elastic Agent 的 IP 地址。
vault audit enable socket address=${ELASTIC_AGENT_IP}:9007 socket_type=tcp
示例
audit 的示例事件如下所示
{
"@timestamp": "2023-09-26T13:07:49.743Z",
"agent": {
"ephemeral_id": "5bbd86cc-8032-432d-be82-fae8f624ed98",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"data_stream": {
"dataset": "hashicorp_vault.audit",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"action": "update",
"agent_id_status": "verified",
"category": [
"authentication"
],
"dataset": "hashicorp_vault.audit",
"id": "0b1b9013-da54-633d-da69-8575e6794ed3",
"ingested": "2023-09-26T13:08:15Z",
"kind": "event",
"original": "{\"time\":\"2023-09-26T13:07:49.743284857Z\",\"type\":\"request\",\"auth\":{\"token_type\":\"default\"},\"request\":{\"id\":\"0b1b9013-da54-633d-da69-8575e6794ed3\",\"operation\":\"update\",\"namespace\":{\"id\":\"root\"},\"path\":\"sys/audit/test\"}}",
"outcome": "success",
"type": [
"info"
]
},
"hashicorp_vault": {
"audit": {
"auth": {
"token_type": "default"
},
"request": {
"id": "0b1b9013-da54-633d-da69-8575e6794ed3",
"namespace": {
"id": "root"
},
"operation": "update",
"path": "sys/audit/test"
},
"type": "request"
}
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "28da52b32df94b50aff67dfb8f1be3d6",
"ip": [
"192.168.80.5"
],
"mac": [
"02-42-C0-A8-50-05"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.104-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.6 LTS (Focal Fossa)"
}
},
"input": {
"type": "log"
},
"log": {
"file": {
"path": "/tmp/service_logs/vault/audit.json"
},
"offset": 0
},
"tags": [
"preserve_original_event",
"hashicorp-vault-audit"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
该字段可以包含任何对于表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以这种方式组织他们的索引,数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们希望在不久的将来也添加“traces”和“synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
event.action |
事件捕获的操作。这描述了事件中的信息。它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第二层。 |
keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.id |
描述事件的唯一 ID。 |
keyword |
event.kind |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高层。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或在可能需要完整日志消息(在将其拆分为多个部分之前)的情况下使用,例如,用于重新索引。此字段未编制索引,doc_values 已禁用。它无法搜索,但可以从 |
keyword |
event.outcome |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最低层。 |
keyword |
event.type |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三层。 |
keyword |
hashicorp_vault.audit.auth.accessor |
这是客户端令牌访问器的 HMAC |
keyword |
hashicorp_vault.audit.auth.client_token |
这是客户端令牌 ID 的 HMAC。 |
keyword |
hashicorp_vault.audit.auth.display_name |
显示名称是一个不敏感的安全标识符,适用于此身份验证。它用于日志记录和动态密钥的前缀。例如,对于 github 凭据后端,它可能是 "armon"。如果客户端令牌用于生成 SQL 凭据,则用户可能是 "github-armon-uuid"。这是为了帮助识别来源,而无需使用审计表。 |
keyword |
hashicorp_vault.audit.auth.entity_id |
实体 ID 是身份存储中身份验证客户端所属实体的标识符。 |
keyword |
hashicorp_vault.audit.auth.external_namespace_policies |
外部命名空间策略表示从不同命名空间授权的策略,这些策略按各自的命名空间标识符编制索引。 |
flattened |
hashicorp_vault.audit.auth.identity_policies |
这些是从身份获取的策略。 |
keyword |
hashicorp_vault.audit.auth.metadata |
这将包含与经过身份验证的用户关联的元数据键/值对列表。 |
flattened |
hashicorp_vault.audit.auth.no_default_policy |
指示在创建令牌时核心不应添加默认策略。如果显式定义了默认策略,则仍会添加默认策略。 |
boolean |
hashicorp_vault.audit.auth.policies |
策略是经过身份验证的用户与之关联的策略列表。 |
keyword |
hashicorp_vault.audit.auth.policy_results.allowed |
boolean |
|
hashicorp_vault.audit.auth.policy_results.granting_policies.name |
keyword |
|
hashicorp_vault.audit.auth.policy_results.granting_policies.namespace_id |
keyword |
|
hashicorp_vault.audit.auth.policy_results.granting_policies.type |
keyword |
|
hashicorp_vault.audit.auth.remaining_uses |
long |
|
hashicorp_vault.audit.auth.token_issue_time |
日期 |
|
hashicorp_vault.audit.auth.token_policies |
这些是从令牌获取的策略。 |
keyword |
hashicorp_vault.audit.auth.token_ttl |
long |
|
hashicorp_vault.audit.auth.token_type |
keyword |
|
hashicorp_vault.audit.entity_created |
如果作为登录请求的一部分创建实体,则 entity_created 设置为 true。 |
boolean |
hashicorp_vault.audit.error |
如果请求发生错误,则错误消息将包含在此字段的值中。 |
keyword |
hashicorp_vault.audit.request.client_certificate_serial_number |
来自客户端证书的序列号。 |
keyword |
hashicorp_vault.audit.request.client_id |
keyword |
|
hashicorp_vault.audit.request.client_token |
这是客户端令牌 ID 的 HMAC。 |
keyword |
hashicorp_vault.audit.request.client_token_accessor |
这是客户端令牌访问器的 HMAC。 |
keyword |
hashicorp_vault.audit.request.data |
数据对象将包含键/值对形式的机密数据。 |
flattened |
hashicorp_vault.audit.request.headers |
客户端作为请求的一部分指定的其他 HTTP 标头。 |
flattened |
hashicorp_vault.audit.request.id |
这是唯一的请求标识符。 |
keyword |
hashicorp_vault.audit.request.mount_accessor |
keyword |
|
hashicorp_vault.audit.request.mount_type |
keyword |
|
hashicorp_vault.audit.request.namespace.id |
keyword |
|
hashicorp_vault.audit.request.namespace.path |
keyword |
|
hashicorp_vault.audit.request.operation |
这是与路径功能对应的操作类型,预计是以下之一:create、read、update、delete 或 list。 |
keyword |
hashicorp_vault.audit.request.path |
请求的操作的 Vault 路径。 |
keyword |
hashicorp_vault.audit.request.path.text |
|
text |
hashicorp_vault.audit.request.policy_override |
策略覆盖表示请求者希望覆盖软强制 Sentinel 策略。 |
boolean |
hashicorp_vault.audit.request.remote_address |
发起请求的客户端的 IP 地址。 |
ip |
hashicorp_vault.audit.request.remote_port |
发起请求的客户端的远程端口。 |
long |
hashicorp_vault.audit.request.replication_cluster |
此请求来源的复制辅助集群的名称。 |
keyword |
hashicorp_vault.audit.request.wrap_ttl |
如果令牌被包装,则此项显示配置的包装 TTL(以秒为单位)。 |
long |
hashicorp_vault.audit.response.auth.accessor |
keyword |
|
hashicorp_vault.audit.response.auth.client_token |
keyword |
|
hashicorp_vault.audit.response.auth.display_name |
keyword |
|
hashicorp_vault.audit.response.auth.entity_id |
keyword |
|
hashicorp_vault.audit.response.auth.external_namespace_policies |
flattened |
|
hashicorp_vault.audit.response.auth.identity_policies |
keyword |
|
hashicorp_vault.audit.response.auth.metadata |
flattened |
|
hashicorp_vault.audit.response.auth.no_default_policy |
boolean |
|
hashicorp_vault.audit.response.auth.num_uses |
long |
|
hashicorp_vault.audit.response.auth.policies |
keyword |
|
hashicorp_vault.audit.response.auth.token_issue_time |
日期 |
|
hashicorp_vault.audit.response.auth.token_policies |
keyword |
|
hashicorp_vault.audit.response.auth.token_ttl |
令牌的生存时间(以秒为单位)。 |
long |
hashicorp_vault.audit.response.auth.token_type |
keyword |
|
hashicorp_vault.audit.response.data |
响应负载。 |
flattened |
hashicorp_vault.audit.response.headers |
Headers 将包含插件希望作为输出一部分的 HTTP 标头。 |
flattened |
hashicorp_vault.audit.response.mount_accessor |
keyword |
|
hashicorp_vault.audit.response.mount_type |
keyword |
|
hashicorp_vault.audit.response.redirect |
Redirect 是一个 HTTP URL,用于重定向以进行进一步的身份验证。这仅对凭证后端有效。对于任何逻辑后端,这将为空白并被忽略。 |
keyword |
hashicorp_vault.audit.response.warnings |
keyword |
|
hashicorp_vault.audit.response.wrap_info.accessor |
包装响应令牌的令牌访问器。 |
keyword |
hashicorp_vault.audit.response.wrap_info.creation_path |
Creation path 是用于创建包装响应的原始请求路径。 |
keyword |
hashicorp_vault.audit.response.wrap_info.creation_time |
创建时间。可以将其与 TTL 一起使用来计算预期到期时间。 |
日期 |
hashicorp_vault.audit.response.wrap_info.token |
包含包装响应的令牌。 |
keyword |
hashicorp_vault.audit.response.wrap_info.ttl |
指定包装令牌的期望 TTL。 |
long |
hashicorp_vault.audit.response.wrap_info.wrapped_accessor |
包装响应令牌的令牌访问器。 |
keyword |
hashicorp_vault.audit.type |
审核记录类型(请求或响应)。 |
keyword |
input.type |
keyword |
|
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。它应该包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.offset |
long |
|
log.source.address |
日志消息的源地址(IP 和端口)。 |
keyword |
message |
对于日志事件,message 字段包含日志消息,该消息已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多条消息,则可以将它们组合成一条消息。 |
match_only_text |
nomad.allocation.id |
Nomad 分配 ID |
keyword |
nomad.namespace |
Nomad 命名空间。 |
keyword |
nomad.node.id |
Nomad 节点 ID。 |
keyword |
nomad.task.name |
Nomad 任务名称。 |
keyword |
related.ip |
在您的事件中看到的所有 IP。 |
ip |
source.as.number |
分配给自治系统的唯一编号。自治系统号 (ASN) 唯一标识 Internet 上的每个网络。 |
long |
source.as.organization.name |
组织名称。 |
keyword |
source.as.organization.name.text |
|
match_only_text |
source.geo.city_name |
城市名称。 |
keyword |
source.geo.continent_name |
大洲名称。 |
keyword |
source.geo.country_iso_code |
国家/地区 ISO 代码。 |
keyword |
source.geo.country_name |
国家/地区名称。 |
keyword |
source.geo.location |
经度和纬度。 |
geo_point |
source.geo.region_iso_code |
区域 ISO 代码。 |
keyword |
source.geo.region_name |
区域名称。 |
keyword |
source.ip |
源的 IP 地址(IPv4 或 IPv6)。 |
ip |
source.port |
源的端口。 |
long |
tags |
用于标记每个事件的关键字列表。 |
keyword |
user.email |
用户电子邮件地址。 |
keyword |
user.id |
用户的唯一标识符。 |
keyword |
操作日志
编辑Vault 将其日志输出到 stdout。为了使用该软件包收集操作日志,您需要将其输出定向到文件。
下表显示了 Vault 字段名称如何在事件中映射。其余结构化数据字段(由 * 表示)放置在 hashicorp_vault.log 下,该字段被映射为 flattened,以允许使用任意字段,而不会导致映射爆炸或类型冲突。
| 原始字段 | 软件包字段 |
|---|---|
|
|
|
|
|
|
|
|
|
|
要求
编辑默认情况下,Vault 使用其 standard 日志输出,而不是 json。请启用 JSON 输出,以便将日志数据采用结构化格式。在 Vault 的配置文件中,添加以下内容
log_format = "json"
示例
一个 log 的示例事件如下所示
{
"@timestamp": "2023-09-26T13:09:08.587Z",
"agent": {
"ephemeral_id": "5bbd86cc-8032-432d-be82-fae8f624ed98",
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.10.1"
},
"data_stream": {
"dataset": "hashicorp_vault.log",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "f25d13cd-18cc-4e73-822c-c4f849322623",
"snapshot": false,
"version": "8.10.1"
},
"event": {
"agent_id_status": "verified",
"dataset": "hashicorp_vault.log",
"ingested": "2023-09-26T13:09:35Z",
"kind": "event",
"original": "{\"@level\":\"info\",\"@message\":\"proxy environment\",\"@timestamp\":\"2023-09-26T13:09:08.587324Z\",\"http_proxy\":\"\",\"https_proxy\":\"\",\"no_proxy\":\"\"}"
},
"hashicorp_vault": {
"log": {
"http_proxy": "",
"https_proxy": "",
"no_proxy": ""
}
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "28da52b32df94b50aff67dfb8f1be3d6",
"ip": [
"192.168.80.5"
],
"mac": [
"02-42-C0-A8-50-05"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.104-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.6 LTS (Focal Fossa)"
}
},
"input": {
"type": "log"
},
"log": {
"file": {
"path": "/tmp/service_logs/log.json"
},
"level": "info",
"offset": 709
},
"message": "proxy environment",
"tags": [
"preserve_original_event",
"hashicorp-vault-log"
]
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
该字段可以包含任何对于表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以这种方式组织他们的索引,数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们希望在不久的将来也添加“traces”和“synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.kind |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高层。 |
keyword |
event.module |
事件模块 |
constant_keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或在可能需要完整日志消息(在将其拆分为多个部分之前)的情况下使用,例如,用于重新索引。此字段未编制索引,doc_values 已禁用。它无法搜索,但可以从 |
keyword |
file.path |
文件的完整路径,包括文件名。它应该包括驱动器号(如果适用)。 |
keyword |
file.path.text |
|
match_only_text |
hashicorp_vault.log |
flattened |
|
input.type |
keyword |
|
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。它应该包括驱动器号(如果适用)。如果事件不是从日志文件中读取的,请不要填充此字段。 |
keyword |
log.level |
日志事件的原始日志级别。如果事件的来源提供了日志级别或文本严重性,则这是放入 |
keyword |
log.logger |
应用程序内部的记录器名称。这通常是初始化记录器的类的名称,也可以是自定义名称。 |
keyword |
log.offset |
long |
|
message |
对于日志事件,message 字段包含日志消息,该消息已针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人类可读摘要。如果存在多条消息,则可以将它们组合成一条消息。 |
match_only_text |
tags |
用于标记每个事件的关键字列表。 |
keyword |
指标
编辑Vault 可以以 Prometheus 指标的形式提供 遥测信息。您可以通过在 Vault 服务器上向 http://vault_server:8200/v1/sys/metrics?format=prometheus 发出 HTTP 请求来验证是否启用了指标。
要求
编辑您必须配置 Vault prometheus 端点以禁用主机名前缀。建议同时启用主机名标签。
telemetry {
disable_hostname = true
enable_hostname_label = true
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
keyword |
|
cloud.account.id |
用于标识多租户环境中不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
keyword |
|
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
keyword |
|
cloud.instance.id |
主机机器的实例 ID。 |
keyword |
|
cloud.provider |
云提供商的名称。示例值为 aws、azure、gcp 或 digitalocean。 |
keyword |
|
cloud.region |
此主机、资源或服务所在的区域。 |
keyword |
|
container.id |
唯一的容器 ID。 |
keyword |
|
data_stream.dataset |
该字段可以包含任何对于表示数据源有意义的内容。示例包括 |
constant_keyword |
|
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以这种方式组织他们的索引,数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
|
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们希望在不久的将来也添加“traces”和“synthetics”。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
|
event.dataset |
事件数据集 |
constant_keyword |
|
event.duration |
事件的持续时间(以纳秒为单位)。如果已知 |
long |
|
event.kind |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的最高层。 |
keyword |
|
event.module |
事件模块 |
constant_keyword |
|
hashicorp_vault.metrics.*.counter |
来自 Prometheus 端点的 Hashicorp Vault 遥测数据。 |
double |
counter |
hashicorp_vault.metrics.*.histogram |
来自 Prometheus 端点的 Hashicorp Vault 遥测数据。 |
histogram |
|
hashicorp_vault.metrics.*.rate |
来自 Prometheus 端点的 Hashicorp Vault 遥测数据。 |
double |
gauge |
hashicorp_vault.metrics.*.value |
来自 Prometheus 端点的 Hashicorp Vault 遥测数据。 |
double |
gauge |
host.name |
主机的名称。它可以包含 Unix 系统上主机名返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
keyword |
|
labels |
自定义键/值对。可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。示例: |
object |
|
labels.auth_method |
授权引擎类型。 |
keyword |
|
labels.cluster |
指标来源的集群名称;在配置文件中设置,或在创建集群时自动生成。 |
keyword |
|
labels.creation_ttl |
在创建时分配给令牌或租约的生存时间值。此值向上舍入到下一个最高的存储桶;可用的存储桶为 1m、10m、20m、1h、2h、1d、2d、7d 和 30d。任何更长的 TTL 都分配值 +Inf。 |
keyword |
|
labels.expiring |
keyword |
||
labels.gauge |
keyword |
||
labels.host |
keyword |
||
labels.instance |
keyword |
||
labels.job |
keyword |
||
labels.local |
keyword |
||
labels.mount_point |
授权方法或秘密引擎的装载路径。 |
keyword |
|
labels.namespace |
命名空间路径,或根命名空间的根 |
keyword |
|
labels.policy |
keyword |
||
labels.quantile |
keyword |
||
labels.queue_id |
keyword |
||
labels.term |
keyword |
||
labels.token_type |
标识令牌是批处理令牌还是服务令牌。 |
keyword |
|
labels.type |
keyword |
||
labels.version |
keyword |
||
service.address |
从中收集有关此服务的数据的地址。这应该是 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
keyword |
|
service.type |
从中收集服务数据的服务类型。该类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
更新日志
编辑更新日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.25.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.24.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.23.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.22.2 |
增强 (查看拉取请求) |
8.9.0 或更高版本 |
1.22.1 |
错误修复 (查看拉取请求) |
8.9.0 或更高版本 |
1.22.0 |
增强 (查看拉取请求) |
8.9.0 或更高版本 |
1.21.0 |
增强 (查看拉取请求) |
8.9.0 或更高版本 |
1.20.0 |
增强 (查看拉取请求) |
8.9.0 或更高版本 |
1.19.0 |
增强 (查看拉取请求) |
8.9.0 或更高版本 |
1.18.0 |
增强 (查看拉取请求) |
8.9.0 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.6.2 或更高版本 |
1.16.1 |
错误修复 (查看拉取请求) 增强 (查看拉取请求) |
8.6.2 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.9.1 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
7.17.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.3.3 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.3.2 |
增强 (查看拉取请求) |
— |
1.3.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
— |
1.2.3 |
错误修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.2 |
错误修复 (查看拉取请求) |
— |
1.2.1 |
错误修复 (查看拉取请求) |
— |
1.2.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.4 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.3 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.2 |
增强 (查看拉取请求) |
— |
1.1.1 |
错误修复 (查看拉取请求) |
— |
1.1.0 |
增强 (查看拉取请求) |
— |
1.0.0 |
增强 (查看拉取请求) |
— |
0.0.1 |
增强 (查看拉取请求) |
— |