› ›

审计日志

版本	1.68.1 (查看全部)
兼容的 Kibana 版本	8.15.0 或更高版本
支持的无服务器项目类型这是什么？	安全性可观测性
订阅级别这是什么？	基础

audit-logs 集成收集并解析 Kubernetes 审计日志。

它需要访问存储审计日志的每个 Kubernetes 节点上的日志文件。默认值为 /var/log/kubernetes/kube-apiserver-audit.log。

示例

一个 audit 的示例事件如下所示

{
    "kubernetes": {
        "audit": {
            "auditID": "bcacfeaa-5ab5-48de-8bac-3a87d1474b6a",
            "requestReceivedTimestamp": "2022-08-31T08:09:39.660940Z",
            "level": "RequestResponse",
            "kind": "Event",
            "verb": "get",
            "annotations": {
                "authorization_k8s_io/decision": "allow",
                "authorization_k8s_io/reason": "RBAC: allowed by ClusterRoleBinding \"system:public-info-viewer\" of ClusterRole \"system:public-info-viewer\" to Group \"system:unauthenticated\""
            },
            "userAgent": "kube-probe/1.24",
            "requestURI": "/readyz",
            "responseStatus": {
                "metadata": {},
                "code": 200
            },
            "stageTimestamp": "2022-08-31T08:09:39.662241Z",
            "sourceIPs": [
                "172.18.0.2"
            ],
            "apiVersion": "audit.k8s.io/v1",
            "stage": "ResponseComplete",
            "user": {
                "groups": [
                    "system:unauthenticated"
                ],
                "username": "system:anonymous"
            }
        }
    },
    "input": {
        "type": "filestream"
    },
    "agent": {
        "name": "kind-control-plane",
        "id": "6e730a0c-7da5-48ff-b4c9-f6c63844975d",
        "type": "filebeat",
        "ephemeral_id": "d27511c8-9cd1-402c-8b1b-234abbd9dcae",
        "version": "8.4.0"
    },
    "@timestamp": "2022-08-31T08:09:57.520Z",
    "ecs": {
        "version": "8.0.0"
    },
    "log": {
        "file": {
            "path": "/var/log/kubernetes/kube-apiserver-audit-1.log"
        },
        "offset": 20995
    },
    "data_stream": {
        "namespace": "default",
        "type": "logs",
        "dataset": "kubernetes.audit_logs"
    },
    "elastic_agent": {
        "id": "6e730a0c-7da5-48ff-b4c9-f6c63844975d",
        "version": "8.4.0",
        "snapshot": false
    },
    "event": {
        "agent_id_status": "verified",
        "ingested": "2022-08-31T08:09:58Z",
        "dataset": "kubernetes.audit_logs"
    }
}

导出的字段

字段	描述	类型
@timestamp	事件产生的日期/时间。这是从事件中提取的日期/时间，通常表示事件由源生成的时间。如果事件源没有原始时间戳，则此值通常由管道首次接收事件的时间填充。所有事件的必需字段。	日期
agent.ephemeral_id	此代理的临时标识符（如果存在）。此 ID 通常在重启时会更改，但 `agent.id` 不会。	关键字
agent.id	此代理的唯一标识符（如果存在）。示例：对于 Beats，这将是 beat.id。	关键字
agent.name	代理的自定义名称。这是可以赋予代理的名称。例如，如果两个 Filebeat 实例在同一主机上运行，但需要以人类可读的方式区分数据来自哪个 Filebeat 实例，这会很有帮助。	关键字
agent.type	代理的类型。代理类型始终保持不变，应由使用的代理给出。对于 Filebeat，即使两个 Filebeat 实例在同一台机器上运行，代理也始终是 Filebeat。	关键字
agent.version	代理的版本。	关键字
client.ip	客户端的 IP 地址（IPv4 或 IPv6）。	ip
cloud.account.id	用于在多租户环境中标识不同实体的云账户或组织 ID。示例：AWS 账户 ID、Google Cloud ORG ID 或其他唯一标识符。	关键字
cloud.availability_zone	此主机、资源或服务所在的可用区。	关键字
cloud.image.id	云实例的镜像 ID。	关键字
cloud.instance.id	主机机器的实例 ID。	关键字
cloud.instance.name	主机机器的实例名称。	关键字
cloud.machine.type	主机机器的机器类型。	关键字
cloud.project.id	云项目标识符。示例：Google Cloud 项目 ID、Azure 项目 ID。	关键字
cloud.provider	云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。	关键字
cloud.region	此主机、资源或服务所在的区域。	关键字
data_stream.dataset	该字段可以包含任何有意义的内容来表示数据的来源。示例包括 `nginx.access`、`prometheus`、`endpoint` 等。对于其他方面都符合但不设置数据集的数据流，我们使用值“generic”作为数据集值。`event.dataset` 的值应与 `data_stream.dataset` 相同。除了上面提到的 Elasticsearch 数据流命名标准外，`dataset` 值还有其他限制：* 不能包含 `-` * 长度不超过 100 个字符	constant_keyword
data_stream.namespace	用户定义的命名空间。命名空间对于允许对数据进行分组非常有用。许多用户已经以这种方式组织他们的索引，并且数据流命名方案现在将这种最佳实践作为默认设置。许多用户将使用值 `default` 填充此字段。如果没有使用任何值，则会回退到 `default`。除了上面提到的 Elasticsearch 索引命名标准外，`namespace` 值还有其他限制：* 不能包含 `-` * 长度不超过 100 个字符	constant_keyword
data_stream.type	数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。	constant_keyword
ecs.version	此事件符合的 ECS 版本。`ecs.version` 是一个必需字段，必须存在于所有事件中。当跨多个索引（可能符合略有不同的 ECS 版本）进行查询时，此字段允许集成调整为事件的架构版本。	关键字
error.message	错误消息。	match_only_text
event.action	事件捕获的操作。这描述了事件中的信息。它比 `event.category` 更具体。示例包括 `group-add`、`process-started`、`file-created`。该值通常由实现者定义。	关键字
event.dataset	数据集的名称。如果事件源发布多种类型的日志或事件（例如，访问日志、错误日志），则数据集用于指定事件来自哪个日志或事件。建议但不强制数据集名称以模块名称开头，后跟一个点，然后是数据集名称。	关键字
event.ingested	事件到达中央数据存储的时间戳。这与 `@timestamp` 不同，`@timestamp` 是事件最初发生的时间。它也与 `event.created` 不同，`event.created` 旨在捕获代理首次看到事件的时间。在正常情况下，假设没有篡改，时间戳应按时间顺序如下所示：`@timestamp` < `event.created` < `event.ingested`。	日期
event.kind	这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的最高级别。`event.kind` 提供有关事件包含的信息类型的高级信息，而不特定于事件的内容。例如，此字段的值区分警报事件和度量事件。此字段的值可用于告知如何处理这些类型的事件。它们可能需要不同的保留策略、不同的访问控制，也可能有助于了解数据是否以固定的间隔传入。	关键字
event.outcome	这是四个 ECS 分类字段之一，指示 ECS 类别层次结构中的最低级别。`event.outcome` 仅表示从生成事件的实体的角度来看，事件是成功还是失败。请注意，当在多个事件中描述单个事务时，每个事件可能会根据其角度填充不同的 `event.outcome` 值。另请注意，在复合事件（包含多个逻辑事件的单个事件）的情况下，此字段应填充最能从事件生成者的角度捕获整体成功或失败的值。此外，并非所有事件都会有相关的结果。例如，此字段通常不会为度量事件、`event.type:info` 的事件或任何结果没有逻辑意义的事件填充。	关键字
host.architecture	操作系统架构。	关键字
host.containerized	主机是否为容器。	布尔值
host.domain	主机所属域的名称。例如，在 Windows 上，这可能是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可能是主机 LDAP 提供程序的域。	关键字
host.hostname	主机的hostname。它通常包含主机机器上 `hostname` 命令返回的内容。	关键字
host.id	唯一主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前使用 `beat.name`。	关键字
host.ip	主机 IP 地址。	ip
host.mac	主机 MAC 地址。建议使用 RFC 7042 中的表示法格式：每个八位字节（即 8 位字节）用两个 [大写] 十六进制数字表示，给出八位字节的值作为无符号整数。连续的八位字节用连字符分隔。	关键字
host.name	主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。	关键字
host.os.build	操作系统构建信息。	关键字
host.os.codename	操作系统代号（如果有）。	关键字
host.os.family	操作系统系列（例如 redhat、debian、freebsd、windows）。	关键字
host.os.kernel	操作系统的内核版本（原始字符串）。	关键字
host.os.name	操作系统名称，不带版本。	关键字
host.os.name.text	`host.os.name` 的多字段。	match_only_text
host.os.platform	操作系统平台（例如 centos、ubuntu、windows）。	关键字
host.os.version	操作系统版本（原始字符串）。	关键字
host.type	主机类型。对于云提供商，这可以是机器类型，例如 `t2.medium`。如果是虚拟机，这可以是容器，例如，或其他在您的环境中具有意义的信息。	关键字
input.type	输入类型。	关键字
kubernetes.audit.annotations.authorization_k8s_io/decision		关键字
kubernetes.audit.annotations.authorization_k8s_io/reason		文本
kubernetes.audit.apiVersion	审计事件 API 版本	关键字
kubernetes.audit.auditID	为每个请求生成的唯一审计 ID	关键字
kubernetes.audit.impersonatedUser.extra.*	身份验证器提供的任何其他信息	对象
kubernetes.audit.impersonatedUser.groups	此用户所属的组的名称	关键字
kubernetes.audit.impersonatedUser.uid	一个唯一值，用于在时间上识别此用户。如果此用户被删除并且添加了另一个同名用户，他们将具有不同的 UID	关键字
kubernetes.audit.impersonatedUser.username	在所有活动用户中唯一标识此用户的名称	关键字
kubernetes.audit.kind	审计事件的类型	关键字
kubernetes.audit.level	生成事件的 AuditLevel	关键字
kubernetes.audit.objectRef.apiGroup	包含被引用对象的 API 组的名称。空字符串表示核心 API 组。	关键字
kubernetes.audit.objectRef.apiVersion	包含被引用对象的 API 组的版本	关键字
kubernetes.audit.objectRef.name		关键字
kubernetes.audit.objectRef.namespace		关键字
kubernetes.audit.objectRef.resource		关键字
kubernetes.audit.objectRef.resourceVersion		关键字
kubernetes.audit.objectRef.subresource		关键字
kubernetes.audit.objectRef.uid		关键字
kubernetes.audit.requestObject.roleRef.name		关键字
kubernetes.audit.requestObject.rules		嵌套
kubernetes.audit.requestObject.spec.containers.command		文本
kubernetes.audit.requestObject.spec.containers.image		关键字
kubernetes.audit.requestObject.spec.containers.name		关键字
kubernetes.audit.requestObject.spec.containers.securityContext.allowPrivilegeEscalation		布尔值
kubernetes.audit.requestObject.spec.containers.securityContext.capabilities.add		关键字
kubernetes.audit.requestObject.spec.containers.securityContext.privileged		布尔值
kubernetes.audit.requestObject.spec.containers.securityContext.procMount		关键字
kubernetes.audit.requestObject.spec.containers.securityContext.runAsGroup		整数
kubernetes.audit.requestObject.spec.containers.securityContext.runAsNonRoot		布尔值
kubernetes.audit.requestObject.spec.containers.securityContext.runAsUser		整数
kubernetes.audit.requestObject.spec.containers.securityContext.seccompProfile.type		关键字
kubernetes.audit.requestObject.spec.containers.volumeMounts		扁平化
kubernetes.audit.requestObject.spec.hostIPC		布尔值
kubernetes.audit.requestObject.spec.hostNetwork		布尔值
kubernetes.audit.requestObject.spec.hostPID		布尔值
kubernetes.audit.requestObject.spec.restartPolicy		关键字
kubernetes.audit.requestObject.spec.securityContext.runAsGroup		整数
kubernetes.audit.requestObject.spec.securityContext.runAsNonRoot		布尔值
kubernetes.audit.requestObject.spec.securityContext.runAsUser		整数
kubernetes.audit.requestObject.spec.serviceAccountName		关键字
kubernetes.audit.requestObject.spec.type		关键字
kubernetes.audit.requestObject.spec.volumes.hostPath		扁平化
kubernetes.audit.requestReceivedTimestamp	请求到达 apiserver 的时间	日期
kubernetes.audit.requestURI	RequestURI 是客户端发送到服务器的请求 URI	关键字
kubernetes.audit.responseObject.roleRef.kind		关键字
kubernetes.audit.responseObject.rules		嵌套
kubernetes.audit.responseObject.spec.containers.securityContext.allowPrivilegeEscalation		布尔值
kubernetes.audit.responseObject.spec.containers.securityContext.privileged		布尔值
kubernetes.audit.responseObject.spec.containers.securityContext.runAsUser		整数
kubernetes.audit.responseObject.spec.containers.volumeMounts		扁平化
kubernetes.audit.responseObject.spec.hostIPC		布尔值
kubernetes.audit.responseObject.spec.hostNetwork		布尔值
kubernetes.audit.responseObject.spec.hostPID		布尔值
kubernetes.audit.responseObject.spec.restartPolicy		关键字
kubernetes.audit.responseObject.spec.volumes.hostPath		扁平化
kubernetes.audit.responseStatus.code	此状态的建议 HTTP 返回代码，如果未设置则为 0	整数
kubernetes.audit.responseStatus.message	此操作状态的人工可读描述	文本
kubernetes.audit.responseStatus.reason	此操作处于“失败”状态的原因的机器可读描述。如果此值为空，则没有可用信息。原因阐明了 HTTP 状态代码，但不会覆盖它	关键字
kubernetes.audit.responseStatus.status	操作的状态	关键字
kubernetes.audit.sourceIPs	源 IP，请求的来源和中间代理	文本
kubernetes.audit.stage	生成此事件实例时请求处理的阶段	关键字
kubernetes.audit.stageTimestamp	请求到达当前审计阶段的时间	日期
kubernetes.audit.user.extra.*	身份验证器提供的任何其他信息	对象
kubernetes.audit.user.groups	此用户所属的组的名称	关键字
kubernetes.audit.user.uid	一个唯一值，用于在时间上识别此用户。如果此用户被删除并且添加了另一个同名用户，他们将具有不同的 UID	关键字
kubernetes.audit.user.username	在所有活动用户中唯一标识此用户的名称	关键字
kubernetes.audit.userAgent	UserAgent 记录客户端报告的 user agent 字符串。请注意，UserAgent 由客户端提供，不可信任	文本
kubernetes.audit.verb	Verb 是与请求关联的 Kubernetes 动词。对于非资源请求，这是小写的 HTTP 方法	关键字
log.file.device_id	包含文件所在文件系统的设备的 ID。	关键字
log.file.fingerprint	启用指纹识别时文件的 sha256 指纹标识。	关键字
log.file.idxhi	与文件关联的唯一标识符的高位部分。（仅限 Windows）	关键字
log.file.idxlo	与文件关联的唯一标识符的低位部分。（仅限 Windows）	关键字
log.file.inode	日志文件的 Inode 编号。	关键字
log.file.path	此事件来源的日志文件的完整路径，包括文件名。应包括驱动器盘符（如果适用）。如果事件不是从日志文件读取的，请不要填充此字段。	关键字
log.file.vol	包含文件的卷的序列号。（仅限 Windows）	关键字
log.offset	日志文件中条目的偏移量。	长整型
消息	对于日志事件，消息字段包含日志消息，针对在日志查看器中查看进行了优化。对于没有原始消息字段的结构化日志，可以将其他字段连接起来，形成事件的人工可读摘要。如果存在多条消息，可以将它们组合成一条消息。	match_only_text
source.ip	源的 IP 地址（IPv4 或 IPv6）。	ip
user.id	用户的唯一标识符。	关键字
user.name	用户的简称或登录名。	关键字
user.name.text	`user.name` 的多字段。	match_only_text
user_agent.original	未解析的 user_agent 字符串。	关键字
user_agent.original.text	`user_agent.original` 的多字段。	match_only_text

更新日志

编辑

更新日志

版本	详情	Kibana 版本
1.68.1	错误修复 (查看拉取请求) 修复概览仪表板 Kibana id	8.15.0 或更高版本
1.68.0	增强功能 (查看拉取请求) 默认情况下为 container_logs 数据流使用 filestream 指纹模式	8.15.0 或更高版本
1.67.0	增强功能 (查看拉取请求) 将 pod.{cpu,memory}.usage.node.pct 和 pod.{cpu,memory}.usage.limit.pct 指标添加到概览仪表板	8.15.0 或更高版本
1.66.4	错误修复 (查看拉取请求) 更新集群概览仪表板以使用 container.id 作为过滤器，并替换了可视化中的中值函数	8.15.0 或更高版本
1.66.3	增强功能 (查看拉取请求) 更新 kubernetes.audit_logs 中字段组到关键字的映射	8.15.0 或更高版本
1.66.2	错误修复 (查看拉取请求) 修复 kubernetes.audit_logs 中缺失的处理器块	8.15.0 或更高版本
1.66.1	错误修复 (查看拉取请求) 修复卷仪表板中的标题	8.15.0 或更高版本
1.66.0	增强功能 (查看拉取请求) 在 Kubernetes 卷仪表板中添加每个 pod 的卷使用情况	8.15.0 或更高版本
1.65.0	增强功能 (查看拉取请求) 将 last_terminated_timestamp 指标添加到 kubernetes.state_container 数据流	8.15.0 或更高版本
1.64.0	增强功能 (查看拉取请求) 将命名空间过滤器移动到组级别配置	8.15.0 或更高版本
1.63.1	错误修复 (查看拉取请求) 修复 kubernetes.audit 摄取管道中的拼写错误	8.15.0 或更高版本
1.63.0	增强功能 (查看拉取请求) 将 pod.status_reason 和 pod.status.ready_time 字段添加到 state_pod 数据流	8.15.0 或更高版本
1.62.1	错误修复 (查看拉取请求) 修复 kubernetes.audit 摄取管道	8.14.0 或更高版本
1.62.0	增强功能 (查看拉取请求) 将新映射添加到 kubernetes.audit 数据流	8.14.0 或更高版本
1.61.1	错误修复 (查看拉取请求) 删除 pod 内存指标的百分比单位	8.14.0 或更高版本
1.61.0	增强功能 (查看拉取请求) 删除已弃用的字段并添加缺失的 status.last_terminated_reason 指标	8.14.0 或更高版本
1.60.0	错误修复 (查看拉取请求) 更新集群概览仪表板中的 `内存使用量与总内存`和`内核使用量与总内核数`可视化	8.14.0 或更高版本
1.59.0	增强功能 (查看拉取请求) 将元数据字段添加到 state_namespace 数据流。	8.14.0 或更高版本
1.58.0	增强功能 (查看拉取请求) 迁移到 format_version v3。	8.12.0 或更高版本
1.57.0	增强功能 (查看拉取请求) 容器日志根据 pod 注释保留原始内容。	8.12.0 或更高版本
1.56.0	增强功能 (查看拉取请求) 将新字段添加到 API 服务器、state_node 和持久卷声明数据流。	8.12.0 或更高版本
1.55.1	增强功能 (查看拉取请求) 修改字段定义以引用 ECS。	8.11.0 或更高版本
1.55.0	增强功能 (查看拉取请求) 从状态数据流中删除额外的基本字段。	8.11.0 或更高版本
1.54.0	增强功能 (查看拉取请求) 将条件支持扩展到剩余的输入	8.11.0 或更高版本
1.53.0	增强功能 (查看拉取请求) 更新指标可视化的大小	8.11.0 或更高版本
1.52.0	增强功能 (查看拉取请求) 添加新的数据流 state_namespace。	8.11.0 或更高版本
1.51.0	增强功能 (查看拉取请求) 将 `Deployments` 仪表板可视化迁移到 lens。	8.10.2 或更高版本
1.50.0	增强功能 (查看拉取请求) 将 `Cronjobs` 仪表板可视化迁移到 lens	8.10.2 或更高版本
1.49.0	增强功能 (查看拉取请求) 将 `DaemonSets` 仪表板可视化迁移到 lens。	8.10.2 或更高版本
1.48.0	增强功能 (查看拉取请求) 将 `StatefulSets` 仪表板可视化迁移到 lens。	8.10.2 或更高版本
1.47.0	增强功能 (查看拉取请求) 将 `Jobs` 仪表板可视化迁移到 lens。	8.10.2 或更高版本
1.46.0	增强 (查看拉取请求) 调整字段以适应文件系统信息的更改	8.10.1 或更高版本
1.45.0	增强 (查看拉取请求) 根据 Pod 注解重新路由容器日志。	8.10.0 或更高版本
1.44.0	增强 (查看拉取请求) 引入 kubernetes.deployment.status.* 指标	8.10.0 或更高版本
1.43.1	增强 (查看拉取请求) 为 CCS 用例更新 adHocDataviews 的索引模式	8.8.0 或更高版本
1.43.0	增强 (查看拉取请求) 为 CCS 用例扩展 adHocDataviews 的索引模式	8.8.0 或更高版本
1.42.0	增强 (查看拉取请求) 为 container_logs 数据流添加将事件重新路由到 logs-- 的权限	8.8.0 或更高版本
1.41.0	增强 (查看拉取请求) 为指标数据集启用时间序列数据流。这提高了存储使用率和查询性能。有关更多详细信息，请参阅 https://elastic.ac.cn/guide/en/elasticsearch/reference/current/tsds.html	8.8.0 或更高版本
1.40.0	Bug 修复 (查看拉取请求) 修复 k8s v1.27.0 的 Kubernetes 集成系统测试	8.8.0 或更高版本
1.40.0-beta.2	Bug 修复 (查看拉取请求) 修复卷仪表板。	—
1.40.0-beta.1	Bug 修复 (查看拉取请求) 修复缺少排序字段的代理和调度程序可视化。	—
1.40.0-beta	增强 (查看拉取请求) 为指标数据流启用 TSDS，beta 测试的事件除外	—
1.39.0	增强 (查看拉取请求) 删除 container.name 作为维度。	8.6.1 或更高版本
1.38.1	增强 (查看拉取请求) 将计数器公式上的最大值切换为最后的值，并将缺少的排序字段添加到代理、控制器管理器和调度程序仪表板。	8.6.1 或更高版本
1.38.0	增强 (查看拉取请求) 修复 Pod 仪表板，并从 Api Server 仪表板中删除一些可视化以支持 TSDB 迁移	8.6.1 或更高版本
1.37.0	增强 (查看拉取请求) 更新代理、控制器管理器和调度程序仪表板以支持 TSDB。	8.6.1 或更高版本
1.36.0	增强 (查看拉取请求) 将 container.name 维度添加到容器数据流	8.6.1 或更高版本
1.35.0	增强 (查看拉取请求) 将 NetworkUnavailable 条件添加到状态节点	8.6.1 或更高版本
1.34.1	增强 (查看拉取请求) 在所有指标数据流上添加对 TSDB 的支持，状态数据流除外	8.6.1 或更高版本
1.34.0	增强 (查看拉取请求) 在所有状态指标数据流上添加对 TSDB 的支持	8.6.1 或更高版本
1.33.0	增强 (查看拉取请求) 添加 `data_stream.dataset` 设置和自定义 yaml 输入。	8.6.1 或更高版本
1.32.2	增强 (查看拉取请求) 添加了指向条件过滤器文档的链接	8.6.1 或更高版本
1.32.1	增强 (查看拉取请求) 添加了类别和/或子类别。	8.6.1 或更高版本
1.32.0	增强 (查看拉取请求) 添加有关如何安装警报的文档	8.6.1 或更高版本
1.31.2	增强 (查看拉取请求) 为状态服务数据流添加系统测试	8.6.1 或更高版本
1.31.1	增强 (查看拉取请求) 更新控制器管理器、代理和调度程序指标和仪表板	8.6.1 或更高版本
1.31.0	增强 (查看拉取请求) 使用 datas_tream.dataset 作为仪表板的预过滤器并删除标签	8.6.0 或更高版本
1.30.0	增强 (查看拉取请求) 添加缺少的 namespace_uid 和 namespace_labels 字段	8.6.0 或更高版本
1.29.2	Bug 修复 (查看拉取请求) 修复内存节点使用率的函数	8.5.0 或更高版本
1.29.1	Bug 修复 (查看拉取请求) 修复 container_logs 已删除的条件设置	8.5.0 或更高版本
1.29.0	Bug 修复 (查看拉取请求) 从节点信息表中删除“控制平面”列	8.5.0 或更高版本
1.28.2	Bug 修复 (查看拉取请求) 修复 Pod 内存使用率面板标题	8.5.0 或更高版本
1.28.1	增强 (查看拉取请求) 从集群概览仪表板中删除 statefulset、job 和 cronjob 可视化	8.5.0 或更高版本
1.28.0	增强 (查看拉取请求) 为 Kube-state 指标添加横幅	8.5.0 或更高版本
1.27.1	增强 (查看拉取请求) 修复集群概览仪表板中的错别字	8.5.0 或更高版本
1.27.0	增强 (查看拉取请求) 新的集群概览仪表板	8.5.0 或更高版本
1.26.0	增强 (查看拉取请求) 为 Kubernetes data_streams 添加 `processors` 配置选项	8.4.0 或更高版本
1.25.0	增强 (查看拉取请求) 为容器日志数据流添加 `condition` 配置选项	8.4.0 或更高版本
1.24.0	增强 (查看拉取请求) 向审计日志数据流添加字段	8.4.0 或更高版本
1.23.1	增强 (查看拉取请求) 添加缺少的维度字段	8.4.0 或更高版本
1.23.0	增强 (查看拉取请求) 向审计日志数据流添加字段	8.4.0 或更高版本
1.22.1	增强 (查看拉取请求) 修复 state_job 数据流中重叠的字段	8.4.0 或更高版本
1.22.0	增强 (查看拉取请求) 更新 apiserver 和 controllermanaged 已弃用的字段和仪表板	8.4.0 或更高版本
1.21.2	Bug 修复 (查看拉取请求) 将容器 ID 和 Pod 名称添加为 Kubernetes Cotainer Logs 文件流输入的一部分	8.3.0 或更高版本
1.21.1	增强 (查看拉取请求) 改进了指向 Kubernetes 文档的链接的措辞	8.3.0 或更高版本
1.21.0	增强 (查看拉取请求) 添加新仪表板	8.3.0 或更高版本
1.20.0	增强 (查看拉取请求) 更改 audit_logs 数据流的字段类型，以使用审计事件的 `requestObject` 和 `responseObject` 字段。禁用 audit_logs 数据流的动态映射。删除 `kubernetes.audit.responseObject.metadata` 和 `kubernetes.audit.requestObject.metadata`	8.2.0 或更高版本
1.19.1	增强 (查看拉取请求) 添加 volume 字段的文档	8.2.0 或更高版本
1.19.0	增强 (查看拉取请求) 添加遗漏的 ecs 字段	8.2.0 或更高版本
1.18.1	增强 (查看拉取请求) 添加多字段的文档	8.2.0 或更高版本
1.18.0	增强 (查看拉取请求) 修复 k8s 概览仪表板	8.2.0 或更高版本
1.17.3	错误修复 (查看拉取请求) 删除错误标记的布尔维度	7.16.0 或更高版本 8.0.0 或更高版本
1.17.2	错误修复 (查看拉取请求) 添加缺失的元数据字段	7.16.0 或更高版本 8.0.0 或更高版本
1.17.1	增强 (查看拉取请求) 改进默认 ndjson 解析器配置	—
1.17.0	增强 (查看拉取请求) 默认禁用审计日志收集	—
1.16.0	增强 (查看拉取请求) 文档改进	—
1.15.0	增强 (查看拉取请求) 添加 ssl.certificate_authorities 配置	—
1.14.3	错误修复 (查看拉取请求) 将缺失的 job.name 和 cronjob.name 字段添加到 state_container 数据流	—
1.14.2	错误修复 (查看拉取请求) 将缺失的 job.name 和 cronjob.name 字段添加到容器相关的数据流	—
1.14.1	错误修复 (查看拉取请求) 添加由元数据生成器添加的缺失的 job.name 和 cronjob.name 字段	—
1.14.0	增强 (查看拉取请求) 调整 state_metrics 设置	—
1.13.0	增强 (查看拉取请求) 更新到 ECS 8.0	—
1.12.0	增强 (查看拉取请求) 公开 add_recourse_metadata 配置选项	—
1.11.0	增强 (查看拉取请求) 为 pod 和容器数据流添加 memory.working_set.limit.pct	—
1.10.0	增强 (查看拉取请求) 在 state_job 数据流中添加领导者选举	—
1.9.0	增强 (查看拉取请求) 添加缺失的字段	7.16.0 或更高版本 8.0.0 或更高版本
1.8.1	错误修复 (查看拉取请求) 将 kubernetes.volume.fs.used.pct 设置为 scaled_float	7.16.0 或更高版本 8.0.0 或更高版本
1.8.0	增强 (查看拉取请求) 支持 JSON 日志解析	7.16.0 或更高版本 8.0.0 或更高版本
1.7.0	增强 (查看拉取请求) 在 Kubernetes 集成中添加新的审计日志数据流	7.16.0 或更高版本 8.0.0 或更高版本
1.6.0	增强 (查看拉取请求) 为事件数据流添加 skip_older 选项	7.16.0 或更高版本 8.0.0 或更高版本
1.5.0	增强 (查看拉取请求) 恢复 Kubernetes 命名空间字段的重大更改	7.16.0 或更高版本 8.0.0 或更高版本
1.4.2	增强 (查看拉取请求) 添加维度字段	—
1.4.1	增强 (查看拉取请求) 删除 Kubernetes 概览仪表板上索引模式的覆盖	8.0.0 或更高版本
1.4.0	增强 (查看拉取请求) 为 container_logs 数据流使用 filestream 输入	—
1.3.3	错误修复 (查看拉取请求) 修复基于 k8s 标签的数据流的条件，并在管道中添加条件	—
1.3.2	增强 (查看拉取请求) 将代理的默认主机设置为 localhost	—
1.3.1	增强 (查看拉取请求) 符合指南	—
1.3.0	增强 (查看拉取请求) 添加 container_logs ecs 字段	—
1.2.1	错误修复 (查看拉取请求) 更新 Kubernetes cluster_ip 字段类型	—
1.2.0	增强 (查看拉取请求) 更新 Kubernetes 命名空间字段	—
1.1.1	错误修复 (查看拉取请求) 更新 Kubernetes 集成 Readme	—
1.1.0	增强 (查看拉取请求) 更新到 ECS 1.12.0	7.15.0 或更高版本
1.0.0	增强 (查看拉取请求) 正式发布 Kubernetes	—
0.14.1	增强 (查看拉取请求) 更新 Kubernetes 集成中 Kubernetes 代理数据流中的默认主机	—
0.14.0	增强 (查看拉取请求) 在 Kubernetes 集成中添加新的容器日志数据流	—
0.13.0	增强 (查看拉取请求) 为控制器和调度器数据流利用动态 Kubernetes 提供程序	—
0.12.2	错误修复 (查看拉取请求) 为 pod 和容器数据流添加缺失的 "kubernetes.daemonset.name" 字段	—
0.12.1	错误修复 (查看拉取请求) 在 [Metrics Kubernetes] 概览仪表板和集成概览页面中的仪表板部分中，为 "orchestrator.cluster.name" 字段添加缺失的集群过滤器	—
0.12.0	增强 (查看拉取请求) 使用 orchestrator.cluster.url 和 orchestrator.cluster.name 更新 Kubernetes 包 ecs 字段	—
0.11.1	增强 (查看拉取请求) 转义文档中的特殊字符	—
0.11.0	增强 (查看拉取请求) 更新文档以符合 mdx 规范	—
0.10.0	增强 (查看拉取请求) 更新集成描述	—
0.9.1	错误修复 (查看拉取请求) 为 state_pod 和 state_container 添加缺失的 "kubernetes.daemonset.name" 字段	—
0.9.0	增强 (查看拉取请求) 使用 state_job 数据流增强 Kubernetes 包	—
0.8.0	增强 (查看拉取请求) 在 Kubernetes 集成中利用领导者选举	—
0.7.0	增强 (查看拉取请求) 将 _meta 信息添加到 Kubernetes 字段	—
0.6.0	增强 (查看拉取请求) 使用 input_groups 引入 Kubernetes 包粒度	—
0.5.3	增强 (查看拉取请求) 添加缺失的字段 "kubernetes.statefulset.replicas.ready"	—
0.5.2	错误修复 (查看拉取请求) 修复堆栈兼容性	—
0.5.1	错误修复 (查看拉取请求) 修复对环境变量的引用	—
0.5.0	增强 (查看拉取请求) 为 controllermanager 和 scheduler 数据流添加缺失的字段 "kubernetes.selectors.*" 和额外的 https 设置	—
0.4.5	增强 (查看拉取请求) 添加缺失的字段 "kubernetes.pod.ip"	—
0.4.4	增强 (查看拉取请求) 更新包所有者	—
0.4.3	错误修复 (查看拉取请求) 更正示例事件文件。	—
0.4.2	错误修复 (查看拉取请求) 将 kibana.version 约束更改为更保守。	—
0.4.1	增强 (查看拉取请求) 添加缺失的字段	—
0.1.0	增强 (查看拉取请求) 初始发布	—

« kube-apiserver container-logs »