Kibana
编辑Kibana
编辑Kibana 集成从您的 Kibana 实例收集事件。
配置参数
编辑如果 Kibana 实例在其 URL 中使用基本路径,则必须为该集成设置 basepath 设置,并使用相同的值。
兼容性
编辑kibana 包适用于 Kibana 8.10.0 及更高版本。
用于 Stack Monitoring
编辑kibana 包可用于收集在 Kibana 中的 Stack Monitoring UI 中显示的指标。
使用此集成包将需要同时监控 Elasticsearch,以便在 Stack Monitoring UI 中查看数据。如果未收集 Elasticsearch 数据,而仅监控 Kibana,则 Stack Monitoring UI 将不会显示 Kibana 数据。
日志
编辑审计
编辑导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
client.ip |
客户端的 IP 地址(IPv4 或 IPv6)。 |
ip |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
event.action |
事件捕获的操作。 这描述了事件中的信息。 它比 |
keyword |
event.category |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第二层。 |
keyword |
event.created |
event.created 包含代理或您的管道首次读取事件的日期/时间。 此字段与 @timestamp 不同,因为 @timestamp 通常包含从原始事件中提取的时间。 在大多数情况下,这两个时间戳会略有不同。 此差异可用于计算源生成事件与代理首次处理该事件之间的时间延迟。 这可用于监控您的代理或管道跟上事件源的能力。 如果两个时间戳相同,则应使用 @timestamp。 |
日期 |
event.dataset |
数据集的名称。 如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个日志或事件。 建议(但不是必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
event.ingested |
事件到达中央数据存储时的时间戳。 这与 |
日期 |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高层。 |
keyword |
event.outcome |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最低层。 从产生事件的实体的角度来看, |
keyword |
http.request.method |
HTTP 请求方法。 该值应保留其原始事件中的大小写。 例如, |
keyword |
input.type |
从中生成事件的输入类型。 此字段设置为 Filebeat 配置文件输入部分中为类型选项指定的值。 |
keyword |
kibana.add_to_spaces |
共享保存的对象所到的空间 ID 集。 |
keyword |
kibana.authentication_provider |
与登录事件关联的身份验证提供程序。 |
keyword |
kibana.authentication_realm |
满足登录事件的 Elasticsearch 身份验证领域名称。 |
keyword |
kibana.authentication_type |
与登录事件关联的身份验证提供程序类型。 |
keyword |
kibana.delete_from_spaces |
从中删除保存的对象所来的空间 ID 集。 |
keyword |
kibana.lookup_realm |
满足登录事件的 Elasticsearch 查找领域。 |
keyword |
kibana.saved_object.id |
与此事件关联的保存对象的 ID。 |
keyword |
kibana.saved_object.name |
与此事件关联的保存对象的名称。 |
keyword |
kibana.saved_object.type |
与此事件关联的保存对象的类型。 |
keyword |
kibana.session_id |
与此事件关联的用户会话的 ID。 每次登录尝试都会产生唯一的会话 ID。 |
keyword |
kibana.space_id |
与此事件关联的空格的 ID。 |
keyword |
labels.application |
keyword |
|
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。 它应包括驱动器号(如果适用)。 如果事件不是从日志文件中读取的,请勿填充此字段。 |
keyword |
log.level |
日志事件的原始日志级别。 如果事件的源提供日志级别或文本严重性,则此级别或严重性将进入 |
keyword |
log.logger |
应用程序内的记录器的名称。 这通常是初始化记录器的类的名称,也可以是自定义名称。 |
keyword |
log.offset |
报告的行开始的文件偏移量。 |
long |
message |
对于日志事件,message 字段包含日志消息,针对在日志查看器中查看进行了优化。 对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人可读摘要。 如果存在多条消息,可以将它们合并为一条消息。 |
match_only_text |
process.pid |
进程 ID。 |
long |
related.user |
在事件中看到的所有用户名或其他用户标识符。 |
keyword |
service.node.roles |
服务节点的角色。 这允许区分同一服务的不同运行角色。 在 Kibana 的情况下, |
keyword |
span.id |
在其跟踪范围内跨度的唯一标识符。 跨度表示事务中的操作,例如对另一个服务的请求或数据库查询。 |
keyword |
trace.id |
跟踪的唯一标识符。 跟踪将多个事件(如属于一起的事务)分组。 例如,由多个相互连接的服务处理的用户请求。 |
keyword |
transaction.id |
在其跟踪范围内事务的唯一标识符。 事务是服务中测量的最高级别的工作,例如对服务器的请求。 |
keyword |
url.domain |
URL 的域名,例如 "https://elastic.ac.cn[www.elastic.co]"。在某些情况下,URL 可能直接引用 IP 和/或端口,而没有域名。在这种情况下,IP 地址将进入 |
keyword |
url.original |
事件源中看到的未经修改的原始 URL。请注意,在网络监控中,观察到的 URL 可能是完整的 URL,而在访问日志中,URL 通常仅表示为路径。此字段旨在表示观察到的 URL,无论是否完整。 |
通配符 |
url.original.text |
|
match_only_text |
url.path |
请求的路径,例如 "/search"。 |
通配符 |
url.port |
请求的端口,例如 443。 |
long |
url.query |
query 字段描述请求的查询字符串,例如 "q=elasticsearch"。 |
keyword |
url.scheme |
请求的方案,例如 "https"。注意: |
keyword |
user.name |
用户的短名称或登录名。 |
keyword |
user.name.text |
|
match_only_text |
user.roles |
事件发生时用户的角色数组。 |
keyword |
日志
编辑导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
日期 |
client.ip |
客户端的 IP 地址(IPv4 或 IPv6)。 |
ip |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
event.category |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的第二层。 |
keyword |
event.created |
event.created 包含代理或您的管道首次读取事件的日期/时间。 此字段与 @timestamp 不同,因为 @timestamp 通常包含从原始事件中提取的时间。 在大多数情况下,这两个时间戳会略有不同。 此差异可用于计算源生成事件与代理首次处理该事件之间的时间延迟。 这可用于监控您的代理或管道跟上事件源的能力。 如果两个时间戳相同,则应使用 @timestamp。 |
日期 |
event.dataset |
数据集的名称。 如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个日志或事件。 建议(但不是必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
event.ingested |
事件到达中央数据存储时的时间戳。 这与 |
日期 |
event.kind |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最高层。 |
keyword |
event.original |
整个事件的原始文本消息。用于演示日志完整性,或在可能需要完整的日志消息(在将其拆分为多个部分之前)的情况下,例如,用于重新索引。此字段未被索引,并且 doc_values 已禁用。它无法搜索,但可以从 |
keyword |
event.outcome |
这是四个 ECS 分类字段之一,指示 ECS 类别层次结构中的最低层。 从产生事件的实体的角度来看, |
keyword |
event.type |
这是四个 ECS 分类字段之一,表示 ECS 类别层次结构中的第三级。 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
http.request.headers |
扁平化 |
|
http.request.id |
每个 HTTP 请求的唯一标识符,用于关联客户端和服务器之间的事务中的日志。该 ID 可能包含在非标准的 HTTP 标头中,例如 |
keyword |
http.request.method |
HTTP 请求方法。 该值应保留其原始事件中的大小写。 例如, |
keyword |
http.request.mime_type |
请求主体的 MIME 类型。此值必须仅基于请求主体的内容填充,而不是基于 |
keyword |
http.request.referrer |
此 HTTP 请求的引用者。 |
keyword |
http.response.body.bytes |
响应主体的大小(以字节为单位)。 |
long |
http.response.headers |
扁平化 |
|
http.response.responseTime |
long |
|
http.response.status_code |
HTTP 响应状态代码。 |
long |
input.type |
生成事件的输入类型。此字段设置为 Filebeat 配置文件输入部分中 type 选项指定的值 |
keyword |
log.file.path |
此事件来自的日志文件的完整路径,包括文件名。 它应包括驱动器号(如果适用)。 如果事件不是从日志文件中读取的,请勿填充此字段。 |
keyword |
log.level |
日志事件的原始日志级别。 如果事件的源提供日志级别或文本严重性,则此级别或严重性将进入 |
keyword |
log.logger |
应用程序内的记录器的名称。 这通常是初始化记录器的类的名称,也可以是自定义名称。 |
keyword |
log.offset |
报告的行开始的文件偏移量。 |
long |
message |
对于日志事件,message 字段包含日志消息,针对在日志查看器中查看进行了优化。 对于没有原始消息字段的结构化日志,可以连接其他字段以形成事件的人可读摘要。 如果存在多条消息,可以将它们合并为一条消息。 |
match_only_text |
process.eventLoopDelay |
unsigned_long |
|
process.eventLoopDelayHistogram.50 |
long |
|
process.eventLoopDelayHistogram.95 |
long |
|
process.eventLoopDelayHistogram.99 |
long |
|
process.eventLoopUtilization.active |
double |
|
process.eventLoopUtilization.idle |
double |
|
process.eventLoopUtilization.utilization |
double |
|
process.memory.heap.usedInBytes |
long |
|
process.pid |
进程 ID。 |
long |
process.uptime |
进程已运行的秒数。 |
long |
service.node.roles |
服务节点的角色。 这允许区分同一服务的不同运行角色。 在 Kibana 的情况下, |
keyword |
session_id |
keyword |
|
tags |
用于标记每个事件的关键字列表。 |
keyword |
trace.id |
跟踪的唯一标识符。 跟踪将多个事件(如属于一起的事务)分组。 例如,由多个相互连接的服务处理的用户请求。 |
keyword |
transaction.id |
在其跟踪范围内事务的唯一标识符。 事务是服务中测量的最高级别的工作,例如对服务器的请求。 |
keyword |
url.path |
请求的路径,例如 "/search"。 |
通配符 |
url.query |
query 字段描述请求的查询字符串,例如 "q=elasticsearch"。 |
keyword |
user_agent.original |
未解析的 user_agent 字符串。 |
keyword |
user_agent.original.text |
|
match_only_text |
HTTP 指标
编辑后台任务利用率
编辑此数据流使用 Kibana 的 /api/task_manager/_background_task_utilization API,该 API 从 8.9 版本开始提供。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件产生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收事件的时间填充。所有事件的必填字段。 |
日期 |
agent.ephemeral_id |
此代理的临时标识符(如果存在)。此 ID 通常在重启时更改,但 |
keyword |
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
keyword |
agent.name |
代理的自定义名称。这是一个可以赋予代理的名称。例如,如果两个 Filebeat 实例在同一主机上运行,但需要对数据来自哪个 Filebeat 实例进行人工可读的区分,这可能会很有用。 |
keyword |
agent.type |
代理的类型。代理类型始终保持不变,应由所使用的代理给出。在 Filebeat 的情况下,即使两个 Filebeat 实例在同一台机器上运行,代理也始终是 Filebeat。 |
keyword |
agent.version |
代理的版本。 |
keyword |
cluster_uuid |
别名 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.agent_id_status |
代理通常负责填充 |
keyword |
event.dataset |
数据集的名称。 如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个日志或事件。 建议(但不是必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差。 |
long |
event.ingested |
事件到达中央数据存储时的时间戳。 这与 |
日期 |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如,Apache 日志)的事件,则 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.hostname |
主机的名称。它通常包含主机机器上 |
keyword |
host.id |
唯一主机 ID。由于主机名并非总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 Unix 系统上 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
原始字符串格式的操作系统内核版本。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.type |
使用 |
keyword |
host.os.version |
原始字符串格式的操作系统版本。 |
keyword |
kibana.background_task_utilization.last_update |
日期 |
|
kibana.background_task_utilization.process_uuid |
keyword |
|
kibana.background_task_utilization.stats.timestamp |
日期 |
|
kibana.background_task_utilization.stats.value.load |
long |
|
kibana.background_task_utilization.timestamp |
日期 |
|
kibana_stats.kibana.uuid |
别名 |
|
kibana_stats.kibana.version |
别名 |
|
kibana_stats.timestamp |
别名 |
|
service.address |
从中收集有关此服务的数据的地址。这应该是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
keyword |
service.type |
从中收集服务数据的类型。该类型可用于分组和关联来自一种服务类型的日志和指标。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
timestamp |
别名 |
示例
background_task_utilization 的示例事件如下所示
{
"@timestamp": "2023-05-11T16:41:30.793Z",
"agent": {
"ephemeral_id": "a8cb0dfc-d83d-4928-8836-decae307ed1a",
"id": "48b3ac4e-1e5d-4c6c-a76a-6c18ae017df9",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.9.0"
},
"data_stream": {
"dataset": "kibana.background_task_utilization",
"namespace": "default",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "48b3ac4e-1e5d-4c6c-a76a-6c18ae017df9",
"snapshot": true,
"version": "8.9.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "kibana.background_task_utilization",
"duration": 23467000,
"ingested": "2023-05-11T16:41:31Z",
"module": "http"
},
"host": {
"architecture": "aarch64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "2928cd5a7c374273b53f983d5bd5a3c9",
"ip": [
"172.26.0.7"
],
"mac": [
"02-42-AC-1A-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.15.49-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.6 LTS (Focal Fossa)"
}
},
"kibana": {
"background_task_utilization": {
"last_update": "2023-05-11T16:41:27.977Z",
"process_uuid": "5547afe7-b651-4c95-b2e4-dc23ac1e5a8d",
"stats": {
"timestamp": "2023-05-11T16:41:27.977Z",
"value": {
"load": 4
}
},
"timestamp": "2023-05-11T16:41:30.813Z"
}
},
"metricset": {
"name": "json",
"period": 10000
},
"service": {
"address": "https://kibana:5601/api/task_manager/_background_task_utilization",
"type": "http"
}
}
任务管理器指标
编辑此数据流使用 Kibana 的 /api/task_manager/metrics API,该 API 从 8.10 版本开始提供。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件产生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收事件的时间填充。所有事件的必填字段。 |
日期 |
agent.ephemeral_id |
此代理的临时标识符(如果存在)。此 ID 通常在重启时更改,但 |
keyword |
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
keyword |
agent.name |
代理的自定义名称。这是一个可以赋予代理的名称。例如,如果两个 Filebeat 实例在同一主机上运行,但需要对数据来自哪个 Filebeat 实例进行人工可读的区分,这可能会很有用。 |
keyword |
agent.type |
代理的类型。代理类型始终保持不变,应由所使用的代理给出。在 Filebeat 的情况下,即使两个 Filebeat 实例在同一台机器上运行,代理也始终是 Filebeat。 |
keyword |
agent.version |
代理的版本。 |
keyword |
cluster_uuid |
别名 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.agent_id_status |
代理通常负责填充 |
keyword |
event.dataset |
数据集的名称。 如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个日志或事件。 建议(但不是必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差。 |
long |
event.ingested |
事件到达中央数据存储时的时间戳。 这与 |
日期 |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如,Apache 日志)的事件,则 |
keyword |
host.architecture |
操作系统架构。 |
keyword |
host.hostname |
主机的名称。它通常包含主机机器上 |
keyword |
host.id |
唯一主机 ID。由于主机名并非总是唯一的,因此请使用在您的环境中具有意义的值。示例:当前 |
keyword |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示格式:每个八位字节(即 8 位字节)由两个 [大写] 十六进制数字表示,给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
keyword |
host.name |
主机的名称。它可以包含 Unix 系统上 |
keyword |
host.os.family |
操作系统系列(例如 redhat、debian、freebsd、windows)。 |
keyword |
host.os.kernel |
原始字符串格式的操作系统内核版本。 |
keyword |
host.os.name |
操作系统名称,不带版本。 |
keyword |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
keyword |
host.os.type |
使用 |
keyword |
host.os.version |
原始字符串格式的操作系统版本。 |
keyword |
kibana.task_manager_metrics.last_update |
日期 |
|
kibana.task_manager_metrics.metrics.task_claim.timestamp |
日期 |
|
kibana.task_manager_metrics.metrics.task_claim.value.duration |
直方图 |
|
kibana.task_manager_metrics.metrics.task_claim.value.success |
long |
|
kibana.task_manager_metrics.metrics.task_claim.value.total |
long |
|
kibana.task_manager_metrics.metrics.task_run.timestamp |
日期 |
|
kibana.task_manager_metrics.metrics.task_run.value.by_type.*.success |
long |
|
kibana.task_manager_metrics.metrics.task_run.value.by_type.*.total |
long |
|
kibana.task_manager_metrics.metrics.task_run.value.overall.success |
long |
|
kibana.task_manager_metrics.metrics.task_run.value.overall.total |
long |
|
kibana.task_manager_metrics.process_uuid |
keyword |
|
kibana.task_manager_metrics.timestamp |
日期 |
|
kibana_stats.kibana.uuid |
别名 |
|
kibana_stats.kibana.version |
别名 |
|
kibana_stats.timestamp |
别名 |
|
service.address |
从中收集有关此服务的数据的地址。这应该是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
keyword |
service.type |
从中收集服务数据的类型。该类型可用于分组和关联来自一种服务类型的日志和指标。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
timestamp |
别名 |
示例
关于 task_manager 的示例事件如下所示
{
"@timestamp": "2023-08-23T15:16:50.293Z",
"agent": {
"name": "docker-fleet-agent",
"id": "8e1f023e-e70d-40a7-905a-f1ff1271b631",
"type": "metricbeat",
"ephemeral_id": "7a40c3bb-4628-496b-ba5f-7f0fb82e1767",
"version": "8.10.0"
},
"ecs": {
"version": "8.0.0"
},
"data_stream": {
"namespace": "default",
"type": "metrics",
"dataset": "kibana.task_manager_metrics"
},
"service": {
"address": "https://kibana:5601/api/task_manager/metrics",
"type": "http"
},
"host": {
"hostname": "docker-fleet-agent",
"os": {
"kernel": "5.15.49-linuxkit",
"codename": "focal",
"name": "Ubuntu",
"family": "debian",
"type": "linux",
"version": "20.04.6 LTS (Focal Fossa)",
"platform": "ubuntu"
},
"containerized": false,
"ip": [
"172.23.0.7"
],
"name": "docker-fleet-agent",
"id": "0d43b8a597974fa28645b1e16ce2db8d",
"mac": [
"02-42-AC-17-00-07"
],
"architecture": "aarch64"
},
"elastic_agent": {
"id": "8e1f023e-e70d-40a7-905a-f1ff1271b631",
"version": "8.10.0",
"snapshot": true
},
"metricset": {
"period": 10000,
"name": "json"
},
"http": {},
"kibana": {
"task_manager_metrics": {
"last_update": "2023-08-23T15:16:49.213Z",
"process_uuid": "2b4126d2-f102-4d6c-9070-9763d142ed14",
"metrics": {
"task_run": {
"value": {
"overall": {
"total": 1,
"success": 1
},
"by_type": {
"cases-telemetry-task": {
"total": 0,
"success": 0
},
"apm-telemetry-task": {
"total": 0,
"success": 0
},
"osquery:telemetry-saved-queries": {
"total": 0,
"success": 0
},
"security:telemetry-detection-rules": {
"total": 0,
"success": 0
},
"alerting_telemetry": {
"total": 0,
"success": 0
},
"alerts_invalidate_api_keys": {
"total": 0,
"success": 0
},
"security:endpoint-diagnostics": {
"total": 0,
"success": 0
},
"endpoint:user-artifact-packager": {
"total": 0,
"success": 0
},
"security:telemetry-filterlist-artifact": {
"total": 0,
"success": 0
},
"session_cleanup": {
"total": 0,
"success": 0
},
"osquery:telemetry-configs": {
"total": 0,
"success": 0
},
"security:telemetry-timelines": {
"total": 0,
"success": 0
},
"Fleet-Usage-Sender": {
"total": 0,
"success": 0
},
"security:endpoint-meta-telemetry": {
"total": 0,
"success": 0
},
"ML:saved-objects-sync": {
"total": 0,
"success": 0
},
"security:telemetry-prebuilt-rule-alerts": {
"total": 0,
"success": 0
},
"osquery:telemetry-packs": {
"total": 0,
"success": 0
},
"dashboard_telemetry": {
"total": 0,
"success": 0
},
"Fleet-Usage-Logger": {
"total": 0,
"success": 0
},
"security:telemetry-lists": {
"total": 0,
"success": 0
},
"actions_telemetry": {
"total": 0,
"success": 0
},
"apm-source-map-migration-task": {
"total": 0,
"success": 0
},
"security:telemetry-configuration": {
"total": 0,
"success": 0
},
"endpoint:metadata-check-transforms-task": {
"total": 0,
"success": 0
},
"fleet:check-deleted-files-task": {
"total": 0,
"success": 0
},
"alerting_health_check": {
"total": 0,
"success": 0
},
"reports:monitor": {
"total": 1,
"success": 1
}
}
},
"timestamp": "2023-08-23T15:16:46.327Z"
},
"task_claim": {
"value": {
"duration": {
"counts": [
3
],
"values": [
100
]
},
"total": 3,
"success": 3
},
"timestamp": "2023-08-23T15:16:49.213Z"
}
},
"timestamp": "2023-08-23T15:16:49.213Z"
}
},
"event": {
"duration": 19616583,
"agent_id_status": "verified",
"ingested": "2023-08-23T15:16:51Z",
"module": "http",
"dataset": "kibana.task_manager_metrics"
}
}
指标
编辑统计
编辑统计数据流使用 Kibana 的统计端点,该端点在 6.4 中默认可用。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件产生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收事件的时间填充。所有事件的必填字段。 |
日期 |
cluster_uuid |
别名 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.dataset |
数据集的名称。 如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个日志或事件。 建议(但不是必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差。 |
long |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如,Apache 日志)的事件,则 |
keyword |
host.name |
主机的名称。它可以包含 Unix 系统上 |
keyword |
kibana.elasticsearch.cluster.id |
keyword |
|
kibana.stats.concurrent_connections |
与服务器建立的客户端连接数。 请注意,浏览器可以发送多个并发连接,以一次请求多个服务器资产,并且它们可以重复使用已建立的连接。 |
long |
kibana.stats.elasticsearch_client.total_active_sockets |
long |
|
kibana.stats.elasticsearch_client.total_idle_sockets |
long |
|
kibana.stats.elasticsearch_client.total_queued_requests |
long |
|
kibana.stats.host.name |
Kibana 实例主机名 |
keyword |
kibana.stats.index |
Kibana 内部索引的名称 |
keyword |
kibana.stats.kibana.status |
keyword |
|
kibana.stats.name |
Kibana 实例名称 |
keyword |
kibana.stats.os.cgroup_memory.current_in_bytes |
long |
|
kibana.stats.os.cgroup_memory.swap_current_in_bytes |
long |
|
kibana.stats.os.cpuacct.control_group |
keyword |
|
kibana.stats.os.cpuacct.usage_nanos |
long |
|
kibana.stats.os.distro |
keyword |
|
kibana.stats.os.distroRelease |
keyword |
|
kibana.stats.os.load.15m |
半精度浮点数 |
|
kibana.stats.os.load.1m |
半精度浮点数 |
|
kibana.stats.os.load.5m |
半精度浮点数 |
|
kibana.stats.os.memory.free_in_bytes |
long |
|
kibana.stats.os.memory.total_in_bytes |
long |
|
kibana.stats.os.memory.used_in_bytes |
long |
|
kibana.stats.os.platform |
keyword |
|
kibana.stats.os.platformRelease |
keyword |
|
kibana.stats.process.event_loop_delay.ms |
事件循环延迟(以毫秒为单位) |
缩放浮点数 |
kibana.stats.process.event_loop_utilization.active |
double |
|
kibana.stats.process.event_loop_utilization.idle |
double |
|
kibana.stats.process.event_loop_utilization.utilization |
double |
|
kibana.stats.process.memory.array_buffers.bytes |
long |
|
kibana.stats.process.memory.external.bytes |
long |
|
kibana.stats.process.memory.heap.size_limit.bytes |
分配给 Node.js 进程的最大旧空间大小,以字节为单位 |
long |
kibana.stats.process.memory.heap.total.bytes |
分配给进程的总堆空间,以字节为单位 |
long |
kibana.stats.process.memory.heap.uptime.ms |
进程正常运行时间,以毫秒为单位 |
long |
kibana.stats.process.memory.heap.used.bytes |
进程使用的堆空间,以字节为单位 |
long |
kibana.stats.process.memory.resident_set_size.bytes |
long |
|
kibana.stats.process.uptime.ms |
long |
|
kibana.stats.request.disconnects |
断开连接的请求数 |
long |
kibana.stats.request.total |
请求总数 |
long |
kibana.stats.response_time.avg.ms |
平均响应时间,以毫秒为单位 |
long |
kibana.stats.response_time.max.ms |
最大响应时间,以毫秒为单位 |
long |
kibana.stats.snapshot |
Kibana 构建是否为快照构建 |
布尔值 |
kibana.stats.status |
Kibana 实例的运行状况状态 |
keyword |
kibana.stats.transport_address |
收集此服务数据的地址。 |
keyword |
kibana.stats.usage.index |
keyword |
|
kibana_stats.concurrent_connections |
别名 |
|
kibana_stats.kibana.response_time.max |
别名 |
|
kibana_stats.kibana.status |
别名 |
|
kibana_stats.kibana.uuid |
别名 |
|
kibana_stats.kibana.version |
别名 |
|
kibana_stats.os.load.15m |
别名 |
|
kibana_stats.os.load.1m |
别名 |
|
kibana_stats.os.load.5m |
别名 |
|
kibana_stats.os.memory.free_in_bytes |
别名 |
|
kibana_stats.process.event_loop_delay |
别名 |
|
kibana_stats.process.memory.heap.size_limit |
别名 |
|
kibana_stats.process.memory.resident_set_size_in_bytes |
别名 |
|
kibana_stats.process.uptime_in_millis |
别名 |
|
kibana_stats.requests.disconnects |
别名 |
|
kibana_stats.requests.total |
别名 |
|
kibana_stats.response_times.average |
别名 |
|
kibana_stats.response_times.max |
别名 |
|
kibana_stats.timestamp |
别名 |
|
process.pid |
进程 ID。 |
long |
service.address |
从中收集有关此服务的数据的地址。这应该是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
keyword |
service.id |
正在运行的服务的唯一标识符。如果服务由多个节点组成,则所有节点的 |
keyword |
service.type |
从中收集服务数据的类型。该类型可用于分组和关联来自一种服务类型的日志和指标。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
service.version |
收集数据的服务版本。这允许仅查看特定服务版本的数据集。 |
keyword |
timestamp |
别名 |
示例
关于 stats 的示例事件如下所示
{
"@timestamp": "2022-10-11T19:06:28.320Z",
"agent": {
"ephemeral_id": "f796f6ed-21e4-48d5-bb4f-4cc69b3fb3f2",
"id": "b3e85606-c252-4a5e-af71-7b138302dbd9",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.5.0"
},
"data_stream": {
"dataset": "kibana.stack_monitoring.stats",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "b3e85606-c252-4a5e-af71-7b138302dbd9",
"snapshot": true,
"version": "8.5.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "kibana.stack_monitoring.stats",
"duration": 57404375,
"ingested": "2022-10-11T19:06:29Z",
"module": "kibana"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "b6bc6723e51b43959ce07f0c3105c72d",
"ip": [
"172.31.0.7"
],
"mac": [
"02-42-AC-1F-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.124-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"kibana": {
"elasticsearch": {
"cluster": {
"id": "II5HA1VCQPGB4bQLCi5yZw"
}
},
"stats": {
"concurrent_connections": 0,
"host": {
"name": "0.0.0.0"
},
"index": ".kibana",
"name": "kibana",
"os": {
"distro": "Ubuntu",
"distroRelease": "Ubuntu-20.04",
"load": {
"15m": 3.1,
"1m": 4.29,
"5m": 3.7
},
"memory": {
"free_in_bytes": 5613236224,
"total_in_bytes": 12544004096,
"used_in_bytes": 6930767872
},
"platform": "linux",
"platformRelease": "linux-5.10.124-linuxkit",
"cpuacct": {
"control_group": "cgroup",
"usage_nanos": 56132224
},
"cgroup_memory": {
"current_in_bytes": 60869566,
"swap_current_in_bytes": 65374608
}
},
"process": {
"event_loop_delay": {
"ms": 10.846537460869566
},
"memory": {
"heap": {
"size_limit": {
"bytes": 2197815296
},
"total": {
"bytes": 608399360
},
"used": {
"bytes": 295489000
}
},
"resident_set_size": {
"bytes": 716869632
},
"array_buffers": {
"bytes": 2197869632
},
"external": {
"bytes": 4890295460
}
},
"uptime": {
"ms": 25686
}
},
"request": {
"disconnects": 0,
"total": 7
},
"response_time": {
"avg": {
"ms": 13
},
"max": {
"ms": 48
}
},
"snapshot": true,
"status": "green",
"transport_address": "0.0.0.0:5601"
}
},
"metricset": {
"name": "stats",
"period": 10000
},
"process": {
"pid": 7
},
"service": {
"address": "http://elastic-package-service-kibana-1:5601/api/stats?extended=true",
"id": "d67ef18d-cefc-4ca5-b844-123adf3a0eb7",
"type": "kibana",
"version": "8.5.0"
}
}
状态
编辑此状态端点在 6.0 中默认可用,并且可以使用配置选项 status.v6ApiFormat: true 在 Kibana >= 5.4 中启用。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件产生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收事件的时间填充。所有事件的必填字段。 |
日期 |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
kibana.status.metrics.concurrent_connections |
当前并发连接数。 |
long |
kibana.status.metrics.requests.disconnects |
断开连接的总数。 |
long |
kibana.status.metrics.requests.total |
连接总数。 |
long |
kibana.status.name |
Kibana 实例名称。 |
keyword |
kibana.status.status.core.elasticsearch.level |
Kibana Elasticsearch 客户端的状态。 |
keyword |
kibana.status.status.core.elasticsearch.summary |
Kibana Elasticsearch 客户端的状态,以人类可读的格式表示。 |
文本 |
kibana.status.status.core.savedObjects.level |
Kibana Saved Objects 客户端的状态。 |
keyword |
kibana.status.status.core.savedObjects.summary |
Kibana Saved Objects 客户端的状态,以人类可读的格式表示。 |
文本 |
kibana.status.status.overall.level |
Kibana 总体级别(v8 格式)。 |
keyword |
kibana.status.status.overall.state |
Kibana 总体状态。 |
keyword |
kibana.status.status.overall.summary |
Kibana 总体状态,以人类可读的格式表示。 |
文本 |
service.address |
收集此服务数据的地址。 |
keyword |
service.id |
正在运行的服务的唯一标识符。如果服务由多个节点组成,则所有节点的 |
keyword |
service.name |
从中收集数据的服务的名称。服务名称通常由用户给定。这允许在多个主机上运行的分布式服务基于名称关联相关实例。在 Elasticsearch 的情况下, |
keyword |
service.type |
从中收集服务数据的类型。该类型可用于分组和关联来自一种服务类型的日志和指标。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
service.version |
收集数据的服务版本。这允许仅查看特定服务版本的数据集。 |
keyword |
示例
关于 status 的示例事件如下所示
{
"@timestamp": "2022-10-11T19:07:58.348Z",
"agent": {
"ephemeral_id": "f796f6ed-21e4-48d5-bb4f-4cc69b3fb3f2",
"id": "b3e85606-c252-4a5e-af71-7b138302dbd9",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.5.0"
},
"data_stream": {
"dataset": "kibana.stack_monitoring.status",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "b3e85606-c252-4a5e-af71-7b138302dbd9",
"snapshot": true,
"version": "8.5.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "kibana.stack_monitoring.status",
"duration": 21930208,
"ingested": "2022-10-11T19:07:59Z",
"module": "kibana"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "b6bc6723e51b43959ce07f0c3105c72d",
"ip": [
"172.31.0.7"
],
"mac": [
"02-42-AC-1F-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.124-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"kibana": {
"status": {
"metrics": {
"concurrent_connections": 0,
"requests": {
"disconnects": 0,
"total": 6
}
},
"name": "kibana",
"status": {
"overall": {
"level": "available",
"summary": "All services and plugins are available"
},
"core": {
"elasticsearch": {
"level": "available",
"summary": "Elasticsearch is available"
},
"savedObjects": {
"level": "available",
"summary": "SavedObjects service has completed migrations and is available"
}
}
}
}
},
"metricset": {
"name": "status",
"period": 10000
},
"service": {
"address": "http://elastic-package-service-kibana-1:5601/api/status",
"id": "40f3cc0f-ff7c-4e7e-a470-bbdb124a32ca",
"name": "kibana",
"type": "kibana",
"version": "8.5.0"
}
}
集群操作
编辑集群操作指标文档
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件产生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收事件的时间填充。所有事件的必填字段。 |
日期 |
cluster_uuid |
别名 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.dataset |
数据集的名称。 如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个日志或事件。 建议(但不是必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差。 |
long |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如,Apache 日志)的事件,则 |
keyword |
host.name |
主机的名称。它可以包含 Unix 系统上 |
keyword |
kibana.cluster_actions.overdue.count |
long |
|
kibana.cluster_actions.overdue.delay.p50 |
浮点数 |
|
kibana.cluster_actions.overdue.delay.p99 |
浮点数 |
|
kibana.elasticsearch.cluster.id |
keyword |
|
kibana_stats.kibana.uuid |
别名 |
|
kibana_stats.kibana.version |
别名 |
|
kibana_stats.timestamp |
别名 |
|
process.pid |
进程 ID。 |
long |
service.address |
从中收集有关此服务的数据的地址。这应该是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
keyword |
service.id |
正在运行的服务的唯一标识符。如果服务由多个节点组成,则所有节点的 |
keyword |
service.type |
从中收集服务数据的类型。该类型可用于分组和关联来自一种服务类型的日志和指标。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
service.version |
收集数据的服务版本。这允许仅查看特定服务版本的数据集。 |
keyword |
timestamp |
别名 |
示例
关于 cluster_actions 的示例事件如下所示
{
"@timestamp": "2022-10-11T13:16:56.271Z",
"agent": {
"ephemeral_id": "928bf66e-bd3d-44d0-9cd8-8896033ea65f",
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.5.0"
},
"data_stream": {
"dataset": "kibana.stack_monitoring.cluster_actions",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"snapshot": true,
"version": "8.5.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "kibana.stack_monitoring.cluster_actions",
"duration": 29863417,
"ingested": "2022-10-11T13:16:57Z",
"module": "kibana"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "b6bc6723e51b43959ce07f0c3105c72d",
"ip": [
"192.168.0.7"
],
"mac": [
"02-42-C0-A8-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.124-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"kibana": {
"cluster_actions": {
"overdue": {
"count": 0,
"delay": {
"p50": 0,
"p99": 0
}
}
},
"elasticsearch.cluster.id": "4tCLrloiQWS6rLAX6pkQCA"
},
"metricset": {
"name": "cluster_actions",
"period": 10000
},
"service": {
"address": "http://elastic-package-service-kibana-1:5601/api/monitoring_collection/cluster_actions",
"type": "kibana"
},
"service.address": "0.0.0.0:5601",
"service.id": "5308cf43-e91a-4a98-83b2-38cf29f90984",
"service.version": "8.5.0"
}
集群规则
编辑集群规则指标
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件产生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收事件的时间填充。所有事件的必填字段。 |
日期 |
cluster_uuid |
别名 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.dataset |
数据集的名称。 如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个日志或事件。 建议(但不是必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差。 |
long |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如,Apache 日志)的事件,则 |
keyword |
host.name |
主机的名称。它可以包含 Unix 系统上 |
keyword |
kibana.cluster_rules.overdue.count |
long |
|
kibana.cluster_rules.overdue.delay.p50 |
浮点数 |
|
kibana.cluster_rules.overdue.delay.p99 |
浮点数 |
|
kibana.elasticsearch.cluster.id |
keyword |
|
kibana_stats.kibana.uuid |
别名 |
|
kibana_stats.kibana.version |
别名 |
|
kibana_stats.timestamp |
别名 |
|
process.pid |
进程 ID。 |
long |
service.address |
从中收集有关此服务的数据的地址。这应该是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
keyword |
service.id |
正在运行的服务的唯一标识符。如果服务由多个节点组成,则所有节点的 |
keyword |
service.type |
从中收集服务数据的类型。该类型可用于分组和关联来自一种服务类型的日志和指标。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
service.version |
收集数据的服务版本。这允许仅查看特定服务版本的数据集。 |
keyword |
timestamp |
别名 |
示例
关于 cluster_rules 的示例事件如下所示
{
"@timestamp": "2022-10-11T13:18:21.819Z",
"agent": {
"ephemeral_id": "928bf66e-bd3d-44d0-9cd8-8896033ea65f",
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.5.0"
},
"data_stream": {
"dataset": "kibana.stack_monitoring.cluster_rules",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"snapshot": true,
"version": "8.5.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "kibana.stack_monitoring.cluster_rules",
"duration": 36973542,
"ingested": "2022-10-11T13:18:22Z",
"module": "kibana"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "b6bc6723e51b43959ce07f0c3105c72d",
"ip": [
"192.168.0.7"
],
"mac": [
"02-42-C0-A8-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.124-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"kibana": {
"cluster_rules": {
"overdue": {
"count": 0,
"delay": {
"p50": 0,
"p99": 0
}
}
},
"elasticsearch.cluster.id": "-OYej1hvQty3Au1KnzPMBQ"
},
"metricset": {
"name": "cluster_rules",
"period": 10000
},
"service": {
"address": "http://elastic-package-service-kibana-1:5601/api/monitoring_collection/cluster_rules",
"type": "kibana"
},
"service.address": "0.0.0.0:5601",
"service.id": "2cefd6b5-7e44-4d47-be34-b0cec003629d",
"service.version": "8.5.0"
}
节点操作
编辑节点操作指标
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件产生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收事件的时间填充。所有事件的必填字段。 |
日期 |
cluster_uuid |
别名 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.dataset |
数据集的名称。 如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个日志或事件。 建议(但不是必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差。 |
long |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如,Apache 日志)的事件,则 |
keyword |
host.name |
主机的名称。它可以包含 Unix 系统上 |
keyword |
kibana.elasticsearch.cluster.id |
keyword |
|
kibana.node_actions.executions |
long |
|
kibana.node_actions.failures |
long |
|
kibana.node_actions.timeouts |
long |
|
kibana_stats.kibana.uuid |
别名 |
|
kibana_stats.kibana.version |
别名 |
|
kibana_stats.timestamp |
别名 |
|
process.pid |
进程 ID。 |
long |
service.address |
从中收集有关此服务的数据的地址。这应该是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
keyword |
service.id |
正在运行的服务的唯一标识符。如果服务由多个节点组成,则所有节点的 |
keyword |
service.type |
从中收集服务数据的类型。该类型可用于分组和关联来自一种服务类型的日志和指标。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
service.version |
收集数据的服务版本。这允许仅查看特定服务版本的数据集。 |
keyword |
timestamp |
别名 |
示例
关于 node_actions 的示例事件如下所示
{
"@timestamp": "2022-10-11T13:21:36.785Z",
"agent": {
"ephemeral_id": "4e2e71ae-5cc0-4f0b-aad9-212bfcdd57d3",
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.5.0"
},
"data_stream": {
"dataset": "kibana.stack_monitoring.node_actions",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"snapshot": true,
"version": "8.5.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "kibana.stack_monitoring.node_actions",
"duration": 13700542,
"ingested": "2022-10-11T13:21:37Z",
"module": "kibana"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "b6bc6723e51b43959ce07f0c3105c72d",
"ip": [
"192.168.0.7"
],
"mac": [
"02-42-C0-A8-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.124-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"kibana": {
"elasticsearch.cluster.id": "Wm8-GgnLRcOMeOxcj_FKqA",
"node_actions": {
"executions": 0,
"failures": 0,
"timeouts": 0
}
},
"metricset": {
"name": "node_actions",
"period": 10000
},
"service": {
"address": "http://elastic-package-service-kibana-1:5601/api/monitoring_collection/node_actions",
"type": "kibana"
},
"service.address": "0.0.0.0:5601",
"service.id": "267b8a74-bc40-451f-bacb-ebca6ef242ab",
"service.version": "8.5.0"
}
节点规则
编辑节点规则指标
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件产生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收事件的时间填充。所有事件的必填字段。 |
日期 |
cluster_uuid |
别名 |
|
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
keyword |
error.message |
错误消息。 |
match_only_text |
event.dataset |
数据集的名称。 如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个日志或事件。 建议(但不是必需)以模块名称开头,后跟一个点,然后是数据集名称。 |
keyword |
event.duration |
事件的持续时间(以纳秒为单位)。如果知道 event.start 和 event.end,则此值应为结束时间和开始时间之间的差。 |
long |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定来源(例如,Apache 日志)的事件,则 |
keyword |
host.name |
主机的名称。它可以包含 Unix 系统上 |
keyword |
kibana.elasticsearch.cluster.id |
keyword |
|
kibana.node_rules.executions |
long |
|
kibana.node_rules.failures |
long |
|
kibana.node_rules.timeouts |
long |
|
kibana_stats.kibana.uuid |
别名 |
|
kibana_stats.kibana.version |
别名 |
|
kibana_stats.timestamp |
别名 |
|
process.pid |
进程 ID。 |
long |
service.address |
从中收集有关此服务的数据的地址。这应该是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
keyword |
service.id |
正在运行的服务的唯一标识符。如果服务由多个节点组成,则所有节点的 |
keyword |
service.type |
从中收集服务数据的类型。该类型可用于分组和关联来自一种服务类型的日志和指标。示例:如果从 Elasticsearch 收集日志或指标,则 |
keyword |
service.version |
收集数据的服务版本。这允许仅查看特定服务版本的数据集。 |
keyword |
timestamp |
别名 |
示例
关于 node_rules 的示例事件如下所示
{
"@timestamp": "2022-10-11T13:23:15.907Z",
"agent": {
"ephemeral_id": "4e2e71ae-5cc0-4f0b-aad9-212bfcdd57d3",
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"name": "docker-fleet-agent",
"type": "metricbeat",
"version": "8.5.0"
},
"data_stream": {
"dataset": "kibana.stack_monitoring.node_rules",
"namespace": "ep",
"type": "metrics"
},
"ecs": {
"version": "8.0.0"
},
"elastic_agent": {
"id": "79e48fe3-2ecd-4021-aed5-6e7e69d47606",
"snapshot": true,
"version": "8.5.0"
},
"event": {
"agent_id_status": "verified",
"dataset": "kibana.stack_monitoring.node_rules",
"duration": 11258084,
"ingested": "2022-10-11T13:23:16Z",
"module": "kibana"
},
"host": {
"architecture": "x86_64",
"containerized": false,
"hostname": "docker-fleet-agent",
"id": "b6bc6723e51b43959ce07f0c3105c72d",
"ip": [
"192.168.0.7"
],
"mac": [
"02-42-C0-A8-00-07"
],
"name": "docker-fleet-agent",
"os": {
"codename": "focal",
"family": "debian",
"kernel": "5.10.124-linuxkit",
"name": "Ubuntu",
"platform": "ubuntu",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)"
}
},
"kibana": {
"elasticsearch.cluster.id": "A0ZRwT9JTTW4XHNhUd0hUg",
"node_rules": {
"executions": 0,
"failures": 0,
"timeouts": 0
}
},
"metricset": {
"name": "node_rules",
"period": 10000
},
"service": {
"address": "http://elastic-package-service-kibana-1:5601/api/monitoring_collection/node_rules",
"type": "kibana"
},
"service.address": "0.0.0.0:5601",
"service.id": "9d55da50-cf7c-49c1-9328-a164de23d186",
"service.version": "8.5.0"
}
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.5.5 |
缺陷修复 (查看拉取请求) |
8.10.1 或更高版本 |
2.5.4 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
2.5.3 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
2.5.2 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
2.5.1 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
2.5.0 |
增强功能 (查看拉取请求) |
8.10.1 或更高版本 |
2.4.0 |
增强功能 (查看拉取请求) |
8.10.0 或更高版本 |
2.3.6 |
缺陷修复 (查看拉取请求) |
8.9.0 或更高版本 |
2.3.5 |
增强功能 (查看拉取请求) |
8.9.0 或更高版本 |
2.3.4 |
缺陷修复 (查看拉取请求) |
8.5.0 或更高版本 |
2.3.3 |
缺陷修复 (查看拉取请求) |
8.5.0 或更高版本 |
2.3.2 |
缺陷修复 (查看拉取请求) |
8.5.0 或更高版本 |
2.3.1 |
增强功能 (查看拉取请求) |
8.5.0 或更高版本 |
2.3.1-preview1 |
缺陷修复 (查看拉取请求) |
— |
2.3.0-preview1 |
增强功能 (查看拉取请求) |
— |
2.2.1-preview1 |
增强功能 (查看拉取请求) 增强功能 (查看拉取请求) |
— |
2.2.0-preview1 |
增强功能 (查看拉取请求) |
— |
2.1.0-preview1 |
缺陷修复 (查看拉取请求) 增强功能 (查看拉取请求) 增强功能 (查看拉取请求) Bug 修复 (查看拉取请求) |
— |
1.0.4 |
增强 (查看拉取请求) |
— |
1.0.3 |
增强 (查看拉取请求) |
— |
1.0.2 |
Bug 修复 (查看拉取请求) |
— |
1.0.1 |
增强 (查看拉取请求) |
— |
1.0.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |