kube-state-metrics
编辑kube-state-metrics
编辑Kube-state Metrics 版本应与您的集群的 Kubernetes 版本对齐。有关更多信息,请参考相关的 kubernetes/kube-state-metrics 兼容性矩阵。
指标
编辑如果启用了 Leader Election(默认行为),则只有持有领导锁的 elastic agent 才会从 kube_state_metrics 检索指标。这在多节点 Kubernetes 集群中很重要,并且可以防止数据重复。
state_container
编辑这是 Kubernetes 包的 state_container 数据集。它从 kube_state_metrics 收集与容器相关的指标。
示例
state_container 的示例事件如下所示
{
"container": {
"image": {
"name": "k8s.gcr.io/coredns/coredns:v1.8.0"
},
"runtime": "containerd",
"id": "696963fe4eeb8734a10e44e0ef8d582fe9861c13ef7c50d6fa5689733df7d302"
},
"kubernetes": {
"container": {
"memory": {
"request": {
"bytes": 73400320
},
"limit": {
"bytes": 178257920
}
},
"name": "coredns",
"cpu": {
"request": {
"cores": 0.1
}
},
"id": "containerd://696963fe4eeb8734a10e44e0ef8d582fe9861c13ef7c50d6fa5689733df7d302",
"status": {
"phase": "running",
"ready": true,
"restarts": 5
}
},
"node": {
"uid": "57ccd748-c877-4be9-9b0e-568e9f205025",
"hostname": "kind-control-plane",
"name": "kind-control-plane",
"labels": {
"node_kubernetes_io/exclude-from-external-load-balancers": "",
"node-role_kubernetes_io/master": "",
"kubernetes_io/hostname": "kind-control-plane",
"node-role_kubernetes_io/control-plane": "",
"beta_kubernetes_io/os": "linux",
"kubernetes_io/arch": "amd64",
"kubernetes_io/os": "linux",
"beta_kubernetes_io/arch": "amd64"
}
},
"pod": {
"uid": "b5637989-65ec-4f86-a13e-b9bd02e9bac5",
"ip": "10.244.0.5",
"name": "coredns-558bd4d5db-8qp4d"
},
"namespace": "kube-system",
"namespace_uid": "a4453575-518e-4a21-9909-34874f674177",
"replicaset": {
"name": "coredns-558bd4d5db"
},
"namespace_labels": {
"kubernetes_io/metadata_name": "kube-system"
},
"labels": {
"pod-template-hash": "558bd4d5db",
"k8s-app": "kube-dns"
},
"deployment": {
"name": "coredns"
}
},
"agent": {
"name": "kind-control-plane",
"id": "de42127b-4db8-4471-824e-a7b14f478663",
"ephemeral_id": "22ed892c-43bd-408a-9121-65e2f5b6a56e",
"type": "metricbeat",
"version": "8.1.0"
},
"elastic_agent": {
"id": "de42127b-4db8-4471-824e-a7b14f478663",
"version": "8.1.0",
"snapshot": true
},
"orchestrator": {
"cluster": {
"name": "kind",
"url": "kind-control-plane:6443"
}
},
"@timestamp": "2021-12-20T10:02:04.923Z",
"ecs": {
"version": "8.0.0"
},
"data_stream": {
"namespace": "default",
"type": "metrics",
"dataset": "kubernetes.state_container"
},
"service": {
"address": "http://kube-state-metrics:8080/metrics",
"type": "kubernetes"
},
"metricset": {
"period": 10000,
"name": "state_container"
},
"event": {
"duration": 1459222,
"agent_id_status": "verified",
"ingested": "2021-12-20T10:02:05Z",
"module": "kubernetes",
"dataset": "kubernetes.state_container"
}
}
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
||
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
||
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
||
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
||
container.labels |
映像标签。 |
对象 |
||
container.name |
容器名称。 |
关键字 |
||
container.runtime |
管理此容器的运行时。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
||
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
||
host.architecture |
操作系统架构。 |
关键字 |
||
host.containerized |
主机是否是容器。 |
布尔值 |
||
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
||
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
||
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
||
host.ip |
主机 IP 地址。 |
ip |
||
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统构建信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
||
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
||
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
||
host.os.name.text |
|
match_only_text |
||
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
||
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
||
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
||
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
||
kubernetes.container.cpu.limit.cores |
容器 CPU 核心限制 |
浮点数 |
计量 |
|
kubernetes.container.cpu.request.cores |
容器请求的 CPU 核心 |
浮点数 |
计量 |
|
kubernetes.container.id |
容器 ID |
关键字 |
||
kubernetes.container.memory.limit.bytes |
容器内存限制(以字节为单位) |
长整型 |
字节 |
计量 |
kubernetes.container.memory.request.bytes |
容器请求的内存(以字节为单位) |
长整型 |
字节 |
计量 |
kubernetes.container.name |
Kubernetes 容器名称 |
关键字 |
||
kubernetes.container.status.last_terminated_reason |
容器处于终止状态的最后一个原因(Completed、ContainerCannotRun、Error 或 OOMKilled)。 |
关键字 |
||
kubernetes.container.status.last_terminated_timestamp |
容器的最后终止时间(纪元时间) |
双精度浮点数 |
||
kubernetes.container.status.phase |
容器阶段(running、waiting、terminated) |
关键字 |
||
kubernetes.container.status.ready |
容器就绪状态 |
布尔值 |
||
kubernetes.container.status.reason |
容器当前处于等待状态(ContainerCreating、CrashLoopBackoff、ErrImagePull、ImagePullBackoff)或终止状态(Completed、ContainerCannotRun、Error、OOMKilled)的原因。 |
关键字 |
||
kubernetes.container.status.restarts |
容器重启计数 |
整数 |
计数器 |
|
kubernetes.cronjob.name |
Pod 所属的 CronJob 的名称 |
关键字 |
||
kubernetes.daemonset.name |
Kubernetes daemonset 名称 |
关键字 |
||
kubernetes.deployment.name |
Kubernetes deployment 名称 |
关键字 |
||
kubernetes.job.name |
Pod 所属的 Job 的名称 |
关键字 |
||
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
||
kubernetes.namespace |
Kubernetes 命名空间 |
关键字 |
||
kubernetes.namespace_annotations.* |
Kubernetes 命名空间注释映射 |
对象 |
||
kubernetes.namespace_labels.* |
Kubernetes 命名空间标签映射 |
对象 |
||
kubernetes.namespace_uid |
Kubernetes 命名空间 UID |
关键字 |
||
kubernetes.node.annotations.* |
Kubernetes 节点注释映射 |
对象 |
||
kubernetes.node.hostname |
节点内核报告的 Kubernetes 主机名 |
关键字 |
||
kubernetes.node.labels.* |
Kubernetes 节点标签映射 |
对象 |
||
kubernetes.node.name |
Kubernetes 节点名称 |
关键字 |
||
kubernetes.node.uid |
Kubernetes 节点 UID |
关键字 |
||
kubernetes.pod.ip |
Kubernetes Pod IP |
ip |
||
kubernetes.pod.name |
Kubernetes Pod 名称 |
关键字 |
||
kubernetes.pod.uid |
Kubernetes Pod UID |
关键字 |
||
kubernetes.replicaset.name |
Kubernetes replicaset 名称 |
关键字 |
||
kubernetes.statefulset.name |
Kubernetes statefulset 名称 |
关键字 |
||
orchestrator.cluster.name |
集群的名称。 |
关键字 |
||
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
||
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
||
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_cronjob
编辑这是 Kubernetes 包的 state_cronjob 数据集。它从 kube_state_metrics 收集与 cronjob 相关的指标。
重要提示:请确保安装最新的 kube-state 指标版本,以便显示此数据集。例如,Kube-state-metrics v2.3.0 不会报告 Kubernetes v1.25.0 的 cron_job 指标
示例
state_cronjob 的示例事件如下所示
{
"kubernetes": {
"namespace": "default",
"namespace_uid": "5f4a8989-32b3-4fc9-ba5b-9dece58436b8",
"namespace_labels": {
"kubernetes_io/metadata_name": "default"
},
"cronjob": {
"last_schedule": {
"sec": 1674053820
},
"created": {
"sec": 1674053817
},
"name": "hello",
"active": {
"count": 0
},
"is_suspended": false,
"next_schedule": {
"sec": 1674053880
}
},
"labels": {
"k8s-app": "myjob"
}
},
"orchestrator": {
"cluster": {
"name": "kind",
"url": "kind-control-plane:6443"
}
},
"agent": {
"name": "kind-control-plane",
"id": "c446ee97-62f8-47db-ac88-ada92aa550a0",
"type": "metricbeat",
"ephemeral_id": "b61db5f9-8e5a-4ec2-b73f-dd4ee1537110",
"version": "8.6.0"
},
"@timestamp": "2023-01-18T14:57:16.597Z",
"ecs": {
"version": "8.0.0"
},
"data_stream": {
"namespace": "default",
"type": "metrics",
"dataset": "kubernetes.state_cronjob"
},
"service": {
"address": "http://kube-state-metrics:8080/metrics",
"type": "kubernetes"
},
"host": {
"hostname": "kind-control-plane",
"os": {
"kernel": "5.10.104-linuxkit",
"codename": "focal",
"name": "Ubuntu",
"family": "debian",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)",
"platform": "ubuntu"
},
"containerized": false,
"ip": [
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"172.18.0.2",
"fc00:f853:ccd:e793::2",
"fe80::42:acff:fe12:2",
"10.244.0.1",
"172.21.0.2",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1"
],
"name": "kind-control-plane",
"id": "ee94d9f5b385448b805141d2b007ef9e",
"mac": [
"02-42-AC-12-00-02",
"02-42-AC-15-00-02",
"26-44-88-00-0A-01",
"36-29-00-36-7F-53",
"52-A2-77-CF-D4-EC",
"62-BC-CF-94-14-6C",
"8E-B9-C8-09-2D-B8",
"92-BA-04-F3-2A-CC",
"A2-55-7D-53-57-91",
"A6-4F-D1-E2-1E-12",
"B6-ED-00-D6-1B-B8",
"BA-D7-49-95-5A-F5",
"CA-B9-E6-A7-52-0D",
"D6-F9-71-43-6C-24",
"DE-05-63-F9-0B-36",
"EE-C8-E8-11-00-F5",
"F6-52-0A-F0-63-83"
],
"architecture": "x86_64"
},
"elastic_agent": {
"id": "c446ee97-62f8-47db-ac88-ada92aa550a0",
"version": "8.6.0",
"snapshot": false
},
"metricset": {
"period": 10000,
"name": "state_cronjob"
},
"event": {
"duration": 11786458,
"agent_id_status": "verified",
"ingested": "2023-01-18T14:57:17Z",
"module": "kubernetes",
"dataset": "kubernetes.state_cronjob"
}
}
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
||
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
||
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
||
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
||
container.labels |
映像标签。 |
对象 |
||
container.name |
容器名称。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
||
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
||
host.architecture |
操作系统架构。 |
关键字 |
||
host.containerized |
主机是否是容器。 |
布尔值 |
||
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
||
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
||
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
||
host.ip |
主机 IP 地址。 |
ip |
||
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统构建信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
||
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
||
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
||
host.os.name.text |
|
match_only_text |
||
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
||
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
||
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
||
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
||
kubernetes.cronjob.active.count |
cronjob 的活动 pod 数量 |
长整型 |
计量 |
|
kubernetes.cronjob.concurrency |
并发策略 |
关键字 |
||
kubernetes.cronjob.created.sec |
自 cronjob 创建以来的纪元秒数 |
双精度浮点数 |
秒 |
计量 |
kubernetes.cronjob.deadline.sec |
计划后考虑失败的截止时间秒数 |
长整型 |
秒 |
计量 |
kubernetes.cronjob.is_suspended |
cronjob 是否已暂停 |
布尔值 |
||
kubernetes.cronjob.last_schedule.sec |
上次 Cronjob 运行的 Unix 时间戳(秒) |
双精度浮点数 |
秒 |
计量 |
kubernetes.cronjob.name |
Cronjob 名称 |
关键字 |
||
kubernetes.cronjob.next_schedule.sec |
下次 Cronjob 运行的 Unix 时间戳(秒) |
双精度浮点数 |
秒 |
计量 |
kubernetes.cronjob.schedule |
Cronjob 调度 |
关键字 |
||
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
||
kubernetes.namespace |
Kubernetes 命名空间 |
关键字 |
||
kubernetes.namespace_labels.* |
Kubernetes 命名空间标签映射 |
对象 |
||
kubernetes.namespace_uid |
Kubernetes 命名空间 UID |
关键字 |
||
orchestrator.cluster.name |
集群的名称。 |
关键字 |
||
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
||
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
||
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_daemonset
编辑这是 Kubernetes 包的 state_daemonset 数据集。它从 kube_state_metrics 收集与守护进程集相关的指标。
示例
state_daemonset 的示例事件如下所示
{
"orchestrator": {
"cluster": {
"name": "kind",
"url": "kind-control-plane:6443"
}
},
"kubernetes": {
"namespace": "kube-system",
"daemonset": {
"replicas": {
"desired": 1,
"unavailable": 0,
"ready": 1,
"available": 1
},
"name": "kube-proxy"
},
"namespace_uid": "250a647d-3acc-4f7e-85b5-a51b6069959d",
"namespace_labels": {
"kubernetes_io/metadata_name": "kube-system"
},
"labels": {
"k8s-app": "kube-proxy"
}
},
"agent": {
"name": "kind-control-plane",
"id": "c446ee97-62f8-47db-ac88-ada92aa550a0",
"ephemeral_id": "b61db5f9-8e5a-4ec2-b73f-dd4ee1537110",
"type": "metricbeat",
"version": "8.6.0"
},
"@timestamp": "2023-01-18T14:52:46.935Z",
"ecs": {
"version": "8.0.0"
},
"service": {
"address": "http://kube-state-metrics:8080/metrics",
"type": "kubernetes"
},
"data_stream": {
"namespace": "default",
"type": "metrics",
"dataset": "kubernetes.state_daemonset"
},
"host": {
"hostname": "kind-control-plane",
"os": {
"kernel": "5.10.104-linuxkit",
"codename": "focal",
"name": "Ubuntu",
"type": "linux",
"family": "debian",
"version": "20.04.5 LTS (Focal Fossa)",
"platform": "ubuntu"
},
"containerized": false,
"ip": [
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"172.18.0.2",
"fc00:f853:ccd:e793::2",
"fe80::42:acff:fe12:2",
"10.244.0.1",
"172.21.0.2",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1"
],
"name": "kind-control-plane",
"id": "ee94d9f5b385448b805141d2b007ef9e",
"mac": [
"02-42-AC-12-00-02",
"02-42-AC-15-00-02",
"26-44-88-00-0A-01",
"36-29-00-36-7F-53",
"8E-B9-C8-09-2D-B8",
"92-BA-04-F3-2A-CC",
"A2-55-7D-53-57-91",
"A6-4F-D1-E2-1E-12",
"B6-ED-00-D6-1B-B8",
"BA-D7-49-95-5A-F5",
"CA-B9-E6-A7-52-0D",
"D6-F9-71-43-6C-24",
"DE-05-63-F9-0B-36",
"F6-52-0A-F0-63-83"
],
"architecture": "x86_64"
},
"elastic_agent": {
"id": "c446ee97-62f8-47db-ac88-ada92aa550a0",
"version": "8.6.0",
"snapshot": false
},
"metricset": {
"period": 10000,
"name": "state_daemonset"
},
"event": {
"duration": 182782,
"agent_id_status": "verified",
"ingested": "2023-01-18T14:52:47Z",
"module": "kubernetes",
"dataset": "kubernetes.state_daemonset"
}
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
|
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
|
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
|
cloud.image.id |
云实例的映像 ID。 |
关键字 |
|
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
|
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
|
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
|
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
|
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
|
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
|
container.id |
唯一的容器 ID。 |
关键字 |
|
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
|
container.labels |
映像标签。 |
对象 |
|
container.name |
容器名称。 |
关键字 |
|
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
|
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
|
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
|
host.architecture |
操作系统架构。 |
关键字 |
|
host.containerized |
主机是否是容器。 |
布尔值 |
|
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
|
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
|
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
|
host.ip |
主机 IP 地址。 |
ip |
|
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
|
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
|
host.os.build |
操作系统构建信息。 |
关键字 |
|
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
|
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
|
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
|
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
|
host.os.name.text |
|
match_only_text |
|
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
|
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
|
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
|
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
|
kubernetes.daemonset.name |
关键字 |
||
kubernetes.daemonset.replicas.available |
每个 DaemonSet 中可用的副本数量 |
长整型 |
计量 |
kubernetes.daemonset.replicas.desired |
每个 DaemonSet 中期望的副本数量 |
长整型 |
计量 |
kubernetes.daemonset.replicas.ready |
每个 DaemonSet 中就绪的副本数量 |
长整型 |
计量 |
kubernetes.daemonset.replicas.unavailable |
每个 DaemonSet 中不可用的副本数量 |
长整型 |
计量 |
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
|
kubernetes.namespace |
Kubernetes 命名空间 |
关键字 |
|
kubernetes.namespace_labels.* |
Kubernetes 命名空间标签映射 |
对象 |
|
kubernetes.namespace_uid |
Kubernetes 命名空间 UID |
关键字 |
|
orchestrator.cluster.name |
集群的名称。 |
关键字 |
|
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
|
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
|
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_deployment
编辑这是 Kubernetes 包的 state_deployment 数据集。它从 kube_state_metrics 收集与 Deployment 相关的指标。
示例
state_deployment 的示例事件如下所示
{
"orchestrator": {
"cluster": {
"name": "kind",
"url": "kind-control-plane:6443"
}
},
"kubernetes": {
"namespace": "kube-system",
"namespace_uid": "250a647d-3acc-4f7e-85b5-a51b6069959d",
"namespace_labels": {
"kubernetes_io/metadata_name": "kube-system"
},
"labels": {
"k8s-app": "kube-dns"
},
"deployment": {
"paused": false,
"replicas": {
"desired": 2,
"unavailable": 0,
"available": 2,
"updated": 2
},
"name": "coredns"
}
},
"agent": {
"name": "kind-control-plane",
"id": "c446ee97-62f8-47db-ac88-ada92aa550a0",
"ephemeral_id": "b61db5f9-8e5a-4ec2-b73f-dd4ee1537110",
"type": "metricbeat",
"version": "8.6.0"
},
"@timestamp": "2023-01-18T14:50:47.075Z",
"ecs": {
"version": "8.0.0"
},
"service": {
"address": "http://kube-state-metrics:8080/metrics",
"type": "kubernetes"
},
"data_stream": {
"namespace": "default",
"type": "metrics",
"dataset": "kubernetes.state_deployment"
},
"elastic_agent": {
"id": "c446ee97-62f8-47db-ac88-ada92aa550a0",
"version": "8.6.0",
"snapshot": false
},
"host": {
"hostname": "kind-control-plane",
"os": {
"kernel": "5.10.104-linuxkit",
"codename": "focal",
"name": "Ubuntu",
"family": "debian",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)",
"platform": "ubuntu"
},
"containerized": false,
"ip": [
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"172.18.0.2",
"fc00:f853:ccd:e793::2",
"fe80::42:acff:fe12:2",
"10.244.0.1",
"172.21.0.2",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1"
],
"name": "kind-control-plane",
"id": "ee94d9f5b385448b805141d2b007ef9e",
"mac": [
"02-42-AC-12-00-02",
"02-42-AC-15-00-02",
"26-44-88-00-0A-01",
"36-29-00-36-7F-53",
"8E-B9-C8-09-2D-B8",
"92-BA-04-F3-2A-CC",
"A2-55-7D-53-57-91",
"A6-4F-D1-E2-1E-12",
"B6-ED-00-D6-1B-B8",
"BA-D7-49-95-5A-F5",
"CA-B9-E6-A7-52-0D",
"D6-F9-71-43-6C-24",
"DE-05-63-F9-0B-36",
"F6-52-0A-F0-63-83"
],
"architecture": "x86_64"
},
"metricset": {
"period": 10000,
"name": "state_deployment"
},
"event": {
"duration": 361259,
"agent_id_status": "verified",
"ingested": "2023-01-18T14:50:47Z",
"module": "kubernetes",
"dataset": "kubernetes.state_deployment"
}
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
|
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
|
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
|
cloud.image.id |
云实例的映像 ID。 |
关键字 |
|
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
|
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
|
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
|
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
|
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
|
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
|
container.id |
唯一的容器 ID。 |
关键字 |
|
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
|
container.labels |
映像标签。 |
对象 |
|
container.name |
容器名称。 |
关键字 |
|
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
|
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
|
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
|
host.architecture |
操作系统架构。 |
关键字 |
|
host.containerized |
主机是否是容器。 |
布尔值 |
|
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
|
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
|
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
|
host.ip |
主机 IP 地址。 |
ip |
|
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
|
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
|
host.os.build |
操作系统构建信息。 |
关键字 |
|
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
|
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
|
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
|
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
|
host.os.name.text |
|
match_only_text |
|
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
|
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
|
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
|
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
|
kubernetes.deployment.name |
Kubernetes deployment 名称 |
关键字 |
|
kubernetes.deployment.paused |
Kubernetes Deployment 暂停状态 |
布尔值 |
|
kubernetes.deployment.replicas.available |
Deployment 可用副本 |
整数 |
计量 |
kubernetes.deployment.replicas.desired |
Deployment 期望的副本数量 (spec) |
整数 |
计量 |
kubernetes.deployment.replicas.unavailable |
Deployment 不可用副本 |
整数 |
计量 |
kubernetes.deployment.replicas.updated |
Deployment 更新的副本 |
整数 |
计量 |
kubernetes.deployment.status.available |
Deployment 可用状态 (true、false 或 unknown) |
关键字 |
|
kubernetes.deployment.status.progressing |
Deployment 正在进行状态 (true、false 或 unknown) |
关键字 |
|
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
|
kubernetes.namespace |
Kubernetes 命名空间 |
关键字 |
|
kubernetes.namespace_labels.* |
Kubernetes 命名空间标签映射 |
对象 |
|
kubernetes.namespace_uid |
Kubernetes 命名空间 UID |
关键字 |
|
orchestrator.cluster.name |
集群的名称。 |
关键字 |
|
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
|
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
|
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_job
编辑这是 Kubernetes 包的 state_job 数据集。它从 kube_state_metrics 收集与 Job 相关的指标。
示例
state_job 的示例事件如下所示
{
"orchestrator": {
"cluster": {
"name": "kind",
"url": "kind-control-plane:6443"
}
},
"kubernetes": {
"namespace": "default",
"job": {
"owner": {
"kind": "CronJob",
"is_controller": "true",
"name": "hello"
},
"parallelism": {
"desired": 1
},
"name": "hello-27900898",
"completions": {
"desired": 1
},
"pods": {
"active": 0,
"failed": 0,
"succeeded": 1
},
"time": {
"created": "2023-01-18T14:58:00.000Z",
"completed": "2023-01-18T14:58:04.000Z"
},
"status": {
"complete": "true"
}
},
"namespace_uid": "5f4a8989-32b3-4fc9-ba5b-9dece58436b8",
"namespace_labels": {
"kubernetes_io/metadata_name": "default"
},
"cronjob": {
"name": "hello"
},
"labels": {
"job-name": "hello-27900898",
"controller-uid": "ae0e0759-f219-49c5-8845-43553448a045"
}
},
"agent": {
"name": "kind-control-plane",
"id": "c446ee97-62f8-47db-ac88-ada92aa550a0",
"ephemeral_id": "b61db5f9-8e5a-4ec2-b73f-dd4ee1537110",
"type": "metricbeat",
"version": "8.6.0"
},
"@timestamp": "2023-01-18T14:58:46.786Z",
"ecs": {
"version": "8.0.0"
},
"service": {
"address": "http://kube-state-metrics:8080/metrics",
"type": "kubernetes"
},
"data_stream": {
"namespace": "default",
"type": "metrics",
"dataset": "kubernetes.state_job"
},
"host": {
"hostname": "kind-control-plane",
"os": {
"kernel": "5.10.104-linuxkit",
"codename": "focal",
"name": "Ubuntu",
"family": "debian",
"type": "linux",
"version": "20.04.5 LTS (Focal Fossa)",
"platform": "ubuntu"
},
"containerized": false,
"ip": [
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"172.18.0.2",
"fc00:f853:ccd:e793::2",
"fe80::42:acff:fe12:2",
"10.244.0.1",
"172.21.0.2",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1"
],
"name": "kind-control-plane",
"id": "ee94d9f5b385448b805141d2b007ef9e",
"mac": [
"02-42-AC-12-00-02",
"02-42-AC-15-00-02",
"26-44-88-00-0A-01",
"36-29-00-36-7F-53",
"52-A2-77-CF-D4-EC",
"62-BC-CF-94-14-6C",
"8E-B9-C8-09-2D-B8",
"92-BA-04-F3-2A-CC",
"A2-55-7D-53-57-91",
"A6-4F-D1-E2-1E-12",
"B6-ED-00-D6-1B-B8",
"BA-D7-49-95-5A-F5",
"CA-B9-E6-A7-52-0D",
"D6-F9-71-43-6C-24",
"DE-05-63-F9-0B-36",
"EE-C8-E8-11-00-F5",
"F6-52-0A-F0-63-83"
],
"architecture": "x86_64"
},
"elastic_agent": {
"id": "c446ee97-62f8-47db-ac88-ada92aa550a0",
"version": "8.6.0",
"snapshot": false
},
"metricset": {
"period": 10000,
"name": "state_job"
},
"event": {
"duration": 212263,
"agent_id_status": "verified",
"ingested": "2023-01-18T14:58:46Z",
"module": "kubernetes",
"dataset": "kubernetes.state_job"
}
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
|
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
|
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
|
cloud.image.id |
云实例的映像 ID。 |
关键字 |
|
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
|
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
|
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
|
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
|
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
|
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
|
container.id |
唯一的容器 ID。 |
关键字 |
|
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
|
container.labels |
映像标签。 |
对象 |
|
container.name |
容器名称。 |
关键字 |
|
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
|
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
|
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
|
host.architecture |
操作系统架构。 |
关键字 |
|
host.containerized |
主机是否是容器。 |
布尔值 |
|
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
|
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
|
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
|
host.ip |
主机 IP 地址。 |
ip |
|
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
|
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
|
host.os.build |
操作系统构建信息。 |
关键字 |
|
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
|
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
|
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
|
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
|
host.os.name.text |
|
match_only_text |
|
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
|
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
|
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
|
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
|
kubernetes.cronjob.name |
Pod 所属的 CronJob 的名称 |
关键字 |
|
kubernetes.job.completions.desired |
Job 配置的完成计数 (Spec) |
长整型 |
计量 |
kubernetes.job.name |
Pod 所属的 Job 的名称 |
关键字 |
|
kubernetes.job.owner.is_controller |
所有者是否为控制器 ("true"、"false" 或 |
关键字 |
|
kubernetes.job.owner.kind |
拥有此 Job 的资源类型 (例如 "CronJob") |
关键字 |
|
kubernetes.job.owner.name |
拥有此 Job 的资源名称 |
关键字 |
|
kubernetes.job.parallelism.desired |
Job 配置的并行度 (Spec) |
长整型 |
计量 |
kubernetes.job.pods.active |
活跃 Pod 的数量 |
长整型 |
计量 |
kubernetes.job.pods.failed |
失败 Pod 的数量 |
长整型 |
计量 |
kubernetes.job.pods.succeeded |
成功 Pod 的数量 |
长整型 |
计量 |
kubernetes.job.status.complete |
Job 是否已完成 ("true"、"false" 或 "unknown") |
关键字 |
|
kubernetes.job.status.failed |
Job 是否已失败 ("true"、"false" 或 "unknown") |
关键字 |
|
kubernetes.job.time.completed |
Job 完成的时间 |
日期 |
|
kubernetes.job.time.created |
Job 创建的时间 |
日期 |
|
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
|
kubernetes.namespace |
Kubernetes 命名空间 |
关键字 |
|
kubernetes.namespace_labels.* |
Kubernetes 命名空间标签映射 |
对象 |
|
kubernetes.namespace_uid |
Kubernetes 命名空间 UID |
关键字 |
|
orchestrator.cluster.name |
集群的名称。 |
关键字 |
|
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
|
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
|
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_namespace
编辑这是 Kubernetes 包的 state_namespace 数据集。它从 kube_state_metrics 收集与命名空间相关的指标。
示例
state_namespace 的示例事件如下所示
{
"kubernetes": {
"namespace": "local-path-storage",
"state_namespace": {
"created": {
"sec": 1698661397
},
"status": {
"active": true,
"terminating": false
}
}
},
"agent": {
"name": "kind-control-plane",
"id": "9bbe4c49-2375-4d5d-b7ed-87eaec794094",
"ephemeral_id": "fae4af00-5533-44c9-b2f1-bb5225bc2b36",
"type": "metricbeat",
"version": "8.11.0"
},
"@timestamp": "2023-10-30T10:31:06.062Z",
"ecs": {
"version": "8.0.0"
},
"data_stream": {
"namespace": "default",
"type": "metrics",
"dataset": "kubernetes.state_namespace"
},
"service": {
"address": "http://kube-state-metrics:8080/metrics",
"type": "kubernetes"
},
"elastic_agent": {
"id": "9bbe4c49-2375-4d5d-b7ed-87eaec794094",
"version": "8.11.0",
"snapshot": true
},
"host": {
"hostname": "kind-control-plane",
"os": {
"kernel": "6.3.13-linuxkit",
"codename": "focal",
"name": "Ubuntu",
"type": "linux",
"family": "debian",
"version": "20.04.6 LTS (Focal Fossa)",
"platform": "ubuntu"
},
"containerized": false,
"name": "kind-control-plane",
"id": "138690b2aa0f48758176419fc2733566",
"architecture": "x86_64"
},
"metricset": {
"period": 10000,
"name": "state_namespace"
},
"event": {
"duration": 546253,
"agent_id_status": "verified",
"ingested": "2023-10-30T10:31:07Z",
"module": "kubernetes",
"dataset": "kubernetes.state_namespace"
}
}
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
||
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
||
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
||
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
||
container.labels |
映像标签。 |
对象 |
||
container.name |
容器名称。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
||
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
||
host.architecture |
操作系统架构。 |
关键字 |
||
host.containerized |
主机是否是容器。 |
布尔值 |
||
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
||
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
||
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
||
host.ip |
主机 IP 地址。 |
ip |
||
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统构建信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
||
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
||
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
||
host.os.name.text |
|
match_only_text |
||
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
||
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
||
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
||
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
||
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
||
kubernetes.namespace |
Kubernetes 命名空间 |
关键字 |
||
kubernetes.state_namespace.created.sec |
自命名空间创建以来的 Unix 时间戳(秒) |
双精度浮点数 |
秒 |
计量 |
kubernetes.state_namespace.status.active |
命名空间是否处于活动状态(true 或 false) |
布尔值 |
||
kubernetes.state_namespace.status.terminating |
命名空间是否正在终止(true 或 false) |
布尔值 |
||
orchestrator.cluster.name |
集群的名称。 |
关键字 |
||
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
||
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
||
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_node
编辑这是 Kubernetes 包的 state_node 数据集。它从 kube_state_metrics 收集与节点相关的指标。
示例
state_node 的示例事件如下所示
{
"kubernetes": {
"labels": {
"beta_kubernetes_io/arch": "amd64",
"beta_kubernetes_io/os": "linux",
"kubernetes_io/arch": "amd64",
"kubernetes_io/hostname": "kind-control-plane",
"kubernetes_io/os": "linux",
"node-role_kubernetes_io/control-plane": "",
"node_kubernetes_io/exclude-from-external-load-balancers": ""
},
"node": {
"cpu": {
"allocatable": {
"cores": 16
},
"capacity": {
"cores": 16
}
},
"kubelet": {
"version": "v1.27.3"
},
"memory": {
"allocatable": {
"bytes": 8069844992
},
"capacity": {
"bytes": 8069844992
}
},
"name": "kind-control-plane",
"pod": {
"allocatable": {
"total": 110
},
"capacity": {
"total": 110
}
},
"status": {
"disk_pressure": "false",
"memory_pressure": "false",
"pid_pressure": "false",
"ready": "true",
"unschedulable": false
}
}
}
}
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
||
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
||
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
||
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
||
container.labels |
映像标签。 |
对象 |
||
container.name |
容器名称。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
||
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
||
host.architecture |
操作系统架构。 |
关键字 |
||
host.containerized |
主机是否是容器。 |
布尔值 |
||
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
||
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
||
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
||
host.ip |
主机 IP 地址。 |
ip |
||
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统构建信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
||
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
||
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
||
host.os.name.text |
|
match_only_text |
||
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
||
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
||
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
||
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
||
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
||
kubernetes.node.cpu.allocatable.cores |
节点 CPU 可分配核心数 |
浮点数 |
计量 |
|
kubernetes.node.cpu.capacity.cores |
节点 CPU 容量核心数 |
长整型 |
计量 |
|
kubernetes.node.hostname |
节点内核报告的 Kubernetes 主机名 |
关键字 |
||
kubernetes.node.kubelet.version |
Kubelet 版本 |
关键字 |
||
kubernetes.node.memory.allocatable.bytes |
节点可分配内存(字节) |
长整型 |
字节 |
计量 |
kubernetes.node.memory.capacity.bytes |
节点内存容量(字节) |
长整型 |
字节 |
计量 |
kubernetes.node.name |
Kubernetes 节点名称 |
关键字 |
||
kubernetes.node.pod.allocatable.total |
节点可分配 Pod 数量 |
长整型 |
计量 |
|
kubernetes.node.pod.capacity.total |
节点 Pod 容量 |
长整型 |
计量 |
|
kubernetes.node.status.disk_pressure |
节点磁盘压力状态 (true、false 或 unknown) |
关键字 |
||
kubernetes.node.status.memory_pressure |
节点内存压力状态 (true、false 或 unknown) |
关键字 |
||
kubernetes.node.status.network_unavailable |
节点网络不可用状态 (true、false 或 unknown) |
关键字 |
||
kubernetes.node.status.out_of_disk |
节点磁盘空间不足状态 (true、false 或 unknown) |
关键字 |
||
kubernetes.node.status.pid_pressure |
节点 PID 压力状态 (true、false 或 unknown) |
关键字 |
||
kubernetes.node.status.ready |
节点就绪状态 (true、false 或 unknown) |
关键字 |
||
kubernetes.node.status.unschedulable |
节点不可调度状态 |
布尔值 |
||
orchestrator.cluster.name |
集群的名称。 |
关键字 |
||
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
||
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
||
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_persistentvolume
编辑这是 Kubernetes 包的 state_persistentvolume 数据集。它从 kube_state_metrics 收集与持久卷相关的指标。
示例
state_persistentvolume 的示例事件如下所示
{
"@timestamp": "2020-06-25T12:43:54.412Z",
"ecs": {
"version": "1.5.0"
},
"event": {
"module": "kubernetes",
"duration": 12149615,
"dataset": "kubernetes.state_persistentvolume"
},
"agent": {
"version": "8.0.0",
"ephemeral_id": "644323b5-5d6a-4dfb-92dd-35ca602db487",
"id": "a6147a6e-6626-4a84-9907-f372f6c61eee",
"name": "agent-ingest-management-clusterscope-674dbb75df-rp8cc",
"type": "metricbeat"
},
"kubernetes": {
"persistentvolume": {
"capacity": {
"bytes": 10737418240
},
"phase": "Bound",
"storage_class": "manual",
"name": "task-pv-volume"
},
"labels": {
"type": "local"
}
},
"metricset": {
"period": 10000,
"name": "state_persistentvolume"
},
"service": {
"address": "kube-state-metrics:8080",
"type": "kubernetes"
}
}
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
||
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
||
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
||
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
||
container.labels |
映像标签。 |
对象 |
||
container.name |
容器名称。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
||
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
||
host.architecture |
操作系统架构。 |
关键字 |
||
host.containerized |
主机是否是容器。 |
布尔值 |
||
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
||
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
||
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
||
host.ip |
主机 IP 地址。 |
ip |
||
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统构建信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
||
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
||
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
||
host.os.name.text |
|
match_only_text |
||
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
||
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
||
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
||
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
||
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
||
kubernetes.persistentvolume.capacity.bytes |
卷容量 |
长整型 |
字节 |
计量 |
kubernetes.persistentvolume.name |
卷名称 |
关键字 |
||
kubernetes.persistentvolume.phase |
根据 Kubernetes 卷的阶段 |
关键字 |
||
kubernetes.persistentvolume.storage_class |
卷的存储类 |
关键字 |
||
orchestrator.cluster.name |
集群的名称。 |
关键字 |
||
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
||
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
||
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_persistentvolumeclaim
编辑这是 Kubernetes 包的 state_persistentvolumeclaim 数据集。它从 kube_state_metrics 收集与持久卷声明相关的指标。
示例
state_persistentvolumeclaim 的示例事件如下所示
{
"kubernetes": {
"namespace": "default",
"namespace_labels": {
"kubernetes_io/metadata_name": "default"
},
"namespace_uid": "b6c80381-f829-45a4-acef-e4e1c8e58f3e",
"persistentvolumeclaim": {
"access_mode": "ReadWriteOnce",
"created": "2024-01-08T14:07:51.000Z",
"name": "task-pv-claim",
"phase": "Bound",
"request_storage": {
"bytes": 1024
},
"storage_class": "generic",
"volume_name": "task-pv-volume"
}
}
}
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
||
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
||
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
||
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
||
container.labels |
映像标签。 |
对象 |
||
container.name |
容器名称。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
||
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
||
host.architecture |
操作系统架构。 |
关键字 |
||
host.containerized |
主机是否是容器。 |
布尔值 |
||
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
||
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
||
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
||
host.ip |
主机 IP 地址。 |
ip |
||
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统构建信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
||
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
||
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
||
host.os.name.text |
|
match_only_text |
||
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
||
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
||
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
||
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
||
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
||
kubernetes.namespace |
Kubernetes 命名空间 |
关键字 |
||
kubernetes.namespace_labels.* |
Kubernetes 命名空间标签映射 |
对象 |
||
kubernetes.namespace_uid |
Kubernetes 命名空间 UID |
关键字 |
||
kubernetes.persistentvolumeclaim.access_mode |
访问模式 |
关键字 |
||
kubernetes.persistentvolumeclaim.created |
持久卷声明创建日期 |
日期 |
||
kubernetes.persistentvolumeclaim.name |
PVC 名称 |
关键字 |
||
kubernetes.persistentvolumeclaim.phase |
PVC 阶段 |
关键字 |
||
kubernetes.persistentvolumeclaim.request_storage.bytes |
请求的容量 |
长整型 |
字节 |
计量 |
kubernetes.persistentvolumeclaim.storage_class |
PVC 的存储类 |
关键字 |
||
kubernetes.persistentvolumeclaim.volume_name |
绑定的卷名称 |
关键字 |
||
orchestrator.cluster.name |
集群的名称。 |
关键字 |
||
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
||
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
||
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_pod
编辑这是 Kubernetes 包的 state_pod 数据集。它从 kube_state_metrics 收集与 Pod 相关的指标。
示例
state_pod 的示例事件如下所示
{
"kubernetes": {
"node": {
"uid": "57ccd748-c877-4be9-9b0e-568e9f205025",
"hostname": "kind-control-plane",
"name": "kind-control-plane",
"labels": {
"node_kubernetes_io/exclude-from-external-load-balancers": "",
"node-role_kubernetes_io/master": "",
"kubernetes_io/hostname": "kind-control-plane",
"node-role_kubernetes_io/control-plane": "",
"beta_kubernetes_io/os": "linux",
"kubernetes_io/arch": "amd64",
"kubernetes_io/os": "linux",
"beta_kubernetes_io/arch": "amd64"
}
},
"pod": {
"uid": "d06d59c2-929f-4b13-bc7d-c2492200ce07",
"host_ip": "172.20.0.2",
"ip": "172.20.0.2",
"name": "elastic-agent-h2mgj",
"status": {
"phase": "running",
"ready": "true",
"scheduled": "true"
}
},
"namespace": "kube-system",
"daemonset": {
"name": "elastic-agent"
},
"namespace_uid": "a4453575-518e-4a21-9909-34874f674177",
"namespace_labels": {
"kubernetes_io/metadata_name": "kube-system"
},
"labels": {
"app": "elastic-agent",
"controller-revision-hash": "57c5d7c56f",
"pod-template-generation": "3"
}
},
"agent": {
"name": "kind-control-plane",
"id": "de42127b-4db8-4471-824e-a7b14f478663",
"type": "metricbeat",
"ephemeral_id": "22ed892c-43bd-408a-9121-65e2f5b6a56e",
"version": "8.1.0"
},
"elastic_agent": {
"id": "de42127b-4db8-4471-824e-a7b14f478663",
"version": "8.1.0",
"snapshot": true
},
"orchestrator": {
"cluster": {
"name": "kind",
"url": "kind-control-plane:6443"
}
},
"@timestamp": "2021-12-20T10:03:24.643Z",
"ecs": {
"version": "8.0.0"
},
"data_stream": {
"namespace": "default",
"type": "metrics",
"dataset": "kubernetes.state_pod"
},
"service": {
"address": "http://kube-state-metrics:8080/metrics",
"type": "kubernetes"
},
"metricset": {
"period": 10000,
"name": "state_pod"
},
"event": {
"duration": 736951,
"agent_id_status": "verified",
"ingested": "2021-12-20T10:03:25Z",
"module": "kubernetes",
"dataset": "kubernetes.state_pod"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
container.id |
唯一的容器 ID。 |
关键字 |
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
container.labels |
映像标签。 |
对象 |
container.name |
容器名称。 |
关键字 |
container.runtime |
管理此容器的运行时。 |
关键字 |
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
host.architecture |
操作系统架构。 |
关键字 |
host.containerized |
主机是否是容器。 |
布尔值 |
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
kubernetes.cronjob.name |
Pod 所属的 CronJob 的名称 |
关键字 |
kubernetes.daemonset.name |
Kubernetes daemonset 名称 |
关键字 |
kubernetes.deployment.name |
Kubernetes deployment 名称 |
关键字 |
kubernetes.job.name |
Pod 所属的 Job 的名称 |
关键字 |
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
kubernetes.namespace |
Kubernetes 命名空间 |
关键字 |
kubernetes.namespace_annotations.* |
Kubernetes 命名空间注释映射 |
对象 |
kubernetes.namespace_labels.* |
Kubernetes 命名空间标签映射 |
对象 |
kubernetes.namespace_uid |
Kubernetes 命名空间 UID |
关键字 |
kubernetes.node.annotations.* |
Kubernetes 节点注释映射 |
对象 |
kubernetes.node.hostname |
节点内核报告的 Kubernetes 主机名 |
关键字 |
kubernetes.node.labels.* |
Kubernetes 节点标签映射 |
对象 |
kubernetes.node.name |
Kubernetes 节点名称 |
关键字 |
kubernetes.node.uid |
Kubernetes 节点 UID |
关键字 |
kubernetes.pod.host_ip |
Kubernetes Pod 主机 IP |
ip |
kubernetes.pod.ip |
Kubernetes Pod IP |
ip |
kubernetes.pod.name |
Kubernetes Pod 名称 |
关键字 |
kubernetes.pod.status.phase |
Kubernetes Pod 阶段 (Running、Pending…) |
关键字 |
kubernetes.pod.status.ready |
Kubernetes Pod 就绪状态 (true、false 或 unknown) |
关键字 |
kubernetes.pod.status.ready_time |
Pod 达到就绪状态时的 Unix 时间戳 |
双精度浮点数 |
kubernetes.pod.status.reason |
Pod 处于当前状态的原因(Evicted、NodeAffinity、NodeLost、Shutdown 或 UnexpectedAdmissionError) |
关键字 |
kubernetes.pod.status.scheduled |
Kubernetes Pod 调度状态 (true、false 或 unknown) |
关键字 |
kubernetes.pod.uid |
Kubernetes Pod UID |
关键字 |
kubernetes.replicaset.name |
Kubernetes replicaset 名称 |
关键字 |
kubernetes.statefulset.name |
Kubernetes statefulset 名称 |
关键字 |
orchestrator.cluster.name |
集群的名称。 |
关键字 |
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_replicaset
编辑这是 Kubernetes 包的 state_replicaset 数据集。它从 kube_state_metrics 收集与副本集相关的指标。
示例
state_replicaset 的示例事件如下所示
{
"orchestrator": {
"cluster": {
"name": "kind",
"url": "kind-control-plane:6443"
}
},
"kubernetes": {
"namespace": "kube-system",
"replicaset": {
"replicas": {
"desired": 1,
"ready": 1,
"labeled": 1,
"available": 1,
"observed": 1
},
"name": "kube-state-metrics-599d598bdf"
},
"namespace_uid": "250a647d-3acc-4f7e-85b5-a51b6069959d",
"namespace_labels": {
"kubernetes_io/metadata_name": "kube-system"
},
"deployment": {
"name": "kube-state-metrics"
},
"labels": {
"pod-template-hash": "599d598bdf",
"app_kubernetes_io/version": "2.5.0",
"app_kubernetes_io/name": "kube-state-metrics",
"app_kubernetes_io/component": "exporter"
}
},
"agent": {
"name": "kind-control-plane",
"id": "c446ee97-62f8-47db-ac88-ada92aa550a0",
"type": "metricbeat",
"ephemeral_id": "b61db5f9-8e5a-4ec2-b73f-dd4ee1537110",
"version": "8.6.0"
},
"@timestamp": "2023-01-18T14:40:26.856Z",
"ecs": {
"version": "8.0.0"
},
"service": {
"address": "http://kube-state-metrics:8080/metrics",
"type": "kubernetes"
},
"data_stream": {
"namespace": "default",
"type": "metrics",
"dataset": "kubernetes.state_replicaset"
},
"host": {
"hostname": "kind-control-plane",
"os": {
"kernel": "5.10.104-linuxkit",
"codename": "focal",
"name": "Ubuntu",
"type": "linux",
"family": "debian",
"version": "20.04.5 LTS (Focal Fossa)",
"platform": "ubuntu"
},
"containerized": false,
"ip": [
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"172.18.0.2",
"fc00:f853:ccd:e793::2",
"fe80::42:acff:fe12:2",
"10.244.0.1",
"172.21.0.2",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1"
],
"name": "kind-control-plane",
"id": "ee94d9f5b385448b805141d2b007ef9e",
"mac": [
"02-42-AC-12-00-02",
"02-42-AC-15-00-02",
"26-44-88-00-0A-01",
"36-29-00-36-7F-53",
"8E-B9-C8-09-2D-B8",
"92-BA-04-F3-2A-CC",
"A2-55-7D-53-57-91",
"A6-4F-D1-E2-1E-12",
"B6-ED-00-D6-1B-B8",
"BA-D7-49-95-5A-F5",
"CA-B9-E6-A7-52-0D",
"D6-F9-71-43-6C-24",
"DE-05-63-F9-0B-36",
"F6-52-0A-F0-63-83"
],
"architecture": "x86_64"
},
"elastic_agent": {
"id": "c446ee97-62f8-47db-ac88-ada92aa550a0",
"version": "8.6.0",
"snapshot": false
},
"metricset": {
"period": 10000,
"name": "state_replicaset"
},
"event": {
"duration": 394846,
"agent_id_status": "verified",
"ingested": "2023-01-18T14:40:27Z",
"module": "kubernetes",
"dataset": "kubernetes.state_replicaset"
}
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
|
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
|
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
|
cloud.image.id |
云实例的映像 ID。 |
关键字 |
|
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
|
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
|
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
|
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
|
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
|
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
|
container.id |
唯一的容器 ID。 |
关键字 |
|
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
|
container.labels |
映像标签。 |
对象 |
|
container.name |
容器名称。 |
关键字 |
|
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
|
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
|
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
|
host.architecture |
操作系统架构。 |
关键字 |
|
host.containerized |
主机是否是容器。 |
布尔值 |
|
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
|
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
|
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
|
host.ip |
主机 IP 地址。 |
ip |
|
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
|
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
|
host.os.build |
操作系统构建信息。 |
关键字 |
|
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
|
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
|
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
|
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
|
host.os.name.text |
|
match_only_text |
|
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
|
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
|
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
|
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
|
kubernetes.deployment.name |
Kubernetes deployment 名称 |
关键字 |
|
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
|
kubernetes.namespace |
Kubernetes 命名空间 |
关键字 |
|
kubernetes.namespace_labels.* |
Kubernetes 命名空间标签映射 |
对象 |
|
kubernetes.namespace_uid |
Kubernetes 命名空间 UID |
关键字 |
|
kubernetes.replicaset.name |
Kubernetes replicaset 名称 |
关键字 |
|
kubernetes.replicaset.replicas.available |
每个副本集中可用的副本数量 |
长整型 |
计量 |
kubernetes.replicaset.replicas.desired |
每个副本集中可用的副本数量 |
长整型 |
计量 |
kubernetes.replicaset.replicas.labeled |
每个副本集中完全标记的副本数量 |
长整型 |
计量 |
kubernetes.replicaset.replicas.observed |
副本集控制器观察到的生成 |
长整型 |
计量 |
kubernetes.replicaset.replicas.ready |
每个副本集中就绪的副本数量 |
长整型 |
计量 |
orchestrator.cluster.name |
集群的名称。 |
关键字 |
|
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
|
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
|
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_resourcequota
编辑这是 Kubernetes 包的 state_resourcequota 数据集。它从 kube_state_metrics 收集与资源配额相关的指标。
示例
state_resourcequota 的示例事件如下所示
{
"@timestamp": "2020-06-25T12:45:04.416Z",
"metricset": {
"name": "state_resourcequota",
"period": 10000
},
"service": {
"address": "kube-state-metrics:8080",
"type": "kubernetes"
},
"event": {
"dataset": "kubernetes.state_resourcequota",
"module": "kubernetes",
"duration": 6324269
},
"agent": {
"id": "a6147a6e-6626-4a84-9907-f372f6c61eee",
"name": "agent-ingest-management-clusterscope-674dbb75df-rp8cc",
"type": "metricbeat",
"version": "8.0.0",
"ephemeral_id": "644323b5-5d6a-4dfb-92dd-35ca602db487"
},
"ecs": {
"version": "1.5.0"
},
"kubernetes": {
"namespace": "quota-object-example",
"resourcequota": {
"name": "object-quota-demo",
"resource": "persistentvolumeclaims",
"type": "hard",
"quota": 1
}
}
}
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
||
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
||
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
||
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
||
container.labels |
映像标签。 |
对象 |
||
container.name |
容器名称。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
||
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
||
host.architecture |
操作系统架构。 |
关键字 |
||
host.containerized |
主机是否是容器。 |
布尔值 |
||
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
||
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
||
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
||
host.ip |
主机 IP 地址。 |
ip |
||
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统构建信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
||
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
||
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
||
host.os.name.text |
|
match_only_text |
||
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
||
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
||
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
||
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
||
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
||
kubernetes.namespace |
Kubernetes 命名空间 |
关键字 |
||
kubernetes.resourcequota.created.sec |
自资源配额创建以来的 Unix 时间戳(秒) |
双精度浮点数 |
秒 |
计量 |
kubernetes.resourcequota.name |
资源配额名称 |
关键字 |
||
kubernetes.resourcequota.quota |
资源已告知的配额(硬性或已用) |
双精度浮点数 |
计量 |
|
kubernetes.resourcequota.resource |
配额适用的资源名称 |
关键字 |
||
kubernetes.resourcequota.type |
配额信息类型, |
关键字 |
||
orchestrator.cluster.name |
集群的名称。 |
关键字 |
||
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
||
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
||
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_service
编辑这是 Kubernetes 包的 state_service 数据集。它从 kube_state_metrics 收集与服务相关的指标。
示例
state_service 的示例事件如下所示
{
"kubernetes": {
"service": {
"created": "2021-12-15T16:57:18.000Z",
"name": "kube-dns",
"type": "ClusterIP",
"cluster_ip": "10.96.0.10"
},
"namespace": "kube-system",
"namespace_uid": "a4453575-518e-4a21-9909-34874f674177",
"selectors": {
"k8s-app": "kube-dns"
},
"namespace_labels": {
"kubernetes_io/metadata_name": "kube-system"
},
"labels": {
"kubernetes_io_cluster_service": "true",
"kubernetes_io_name": "CoreDNS",
"k8s_app": "kube-dns",
"k8s-app": "kube-dns",
"kubernetes_io/cluster-service": "true",
"kubernetes_io/name": "CoreDNS"
}
},
"agent": {
"name": "kind-control-plane",
"id": "de42127b-4db8-4471-824e-a7b14f478663",
"type": "metricbeat",
"ephemeral_id": "22ed892c-43bd-408a-9121-65e2f5b6a56e",
"version": "8.1.0"
},
"elastic_agent": {
"id": "de42127b-4db8-4471-824e-a7b14f478663",
"version": "8.1.0",
"snapshot": true
},
"orchestrator": {
"cluster": {
"name": "kind",
"url": "kind-control-plane:6443"
}
},
"@timestamp": "2021-12-20T10:04:34.632Z",
"ecs": {
"version": "8.0.0"
},
"service": {
"address": "http://kube-state-metrics:8080/metrics",
"type": "kubernetes"
},
"data_stream": {
"namespace": "default",
"type": "metrics",
"dataset": "kubernetes.state_service"
},
"metricset": {
"period": 10000,
"name": "state_service"
},
"event": {
"duration": 187211,
"agent_id_status": "verified",
"ingested": "2021-12-20T10:04:35Z",
"module": "kubernetes",
"dataset": "kubernetes.state_service"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
container.id |
唯一的容器 ID。 |
关键字 |
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
container.labels |
映像标签。 |
对象 |
container.name |
容器名称。 |
关键字 |
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
host.architecture |
操作系统架构。 |
关键字 |
host.containerized |
主机是否是容器。 |
布尔值 |
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
kubernetes.namespace |
Kubernetes 命名空间 |
关键字 |
kubernetes.namespace_annotations.* |
Kubernetes 命名空间注释映射 |
对象 |
kubernetes.namespace_labels.* |
Kubernetes 命名空间标签映射 |
对象 |
kubernetes.namespace_uid |
Kubernetes 命名空间 UID |
关键字 |
kubernetes.selectors.* |
Kubernetes 服务选择器映射 |
对象 |
kubernetes.service.cluster_ip |
服务的内部 IP |
关键字 |
kubernetes.service.created |
服务创建日期 |
日期 |
kubernetes.service.external_ip |
服务外部 IP |
关键字 |
kubernetes.service.external_name |
服务外部 DNS 名称 |
关键字 |
kubernetes.service.ingress_hostname |
入口主机名 |
关键字 |
kubernetes.service.ingress_ip |
入口 IP |
关键字 |
kubernetes.service.load_balancer_ip |
负载均衡器服务 IP |
关键字 |
kubernetes.service.name |
服务名称 |
关键字 |
kubernetes.service.type |
服务类型 |
关键字 |
orchestrator.cluster.name |
集群的名称。 |
关键字 |
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_statefulset
编辑这是 Kubernetes 包的 state_statefulset 数据集。
示例
state_statefulset 的示例事件如下所示
{
"orchestrator": {
"cluster": {
"name": "kind",
"url": "kind-control-plane:6443"
}
},
"kubernetes": {
"statefulset": {
"generation": {
"desired": 1,
"observed": 1
},
"replicas": {
"desired": 1,
"ready": 1,
"observed": 1
},
"created": 1671791408,
"name": "prometheus-1-alertmanager"
},
"namespace": "kube-system",
"namespace_uid": "250a647d-3acc-4f7e-85b5-a51b6069959d",
"namespace_labels": {
"kubernetes_io/metadata_name": "kube-system"
},
"labels": {
"app_kubernetes_io/managed-by": "Helm",
"helm_sh/chart": "alertmanager-0.22.2",
"app_kubernetes_io/version": "v0.24.0",
"app_kubernetes_io/name": "alertmanager",
"app_kubernetes_io/instance": "prometheus-1"
}
},
"agent": {
"name": "kind-control-plane",
"id": "c446ee97-62f8-47db-ac88-ada92aa550a0",
"type": "metricbeat",
"ephemeral_id": "b61db5f9-8e5a-4ec2-b73f-dd4ee1537110",
"version": "8.6.0"
},
"@timestamp": "2023-01-18T15:00:26.890Z",
"ecs": {
"version": "8.0.0"
},
"data_stream": {
"namespace": "default",
"type": "metrics",
"dataset": "kubernetes.state_statefulset"
},
"service": {
"address": "http://kube-state-metrics:8080/metrics",
"type": "kubernetes"
},
"host": {
"hostname": "kind-control-plane",
"os": {
"kernel": "5.10.104-linuxkit",
"codename": "focal",
"name": "Ubuntu",
"type": "linux",
"family": "debian",
"version": "20.04.5 LTS (Focal Fossa)",
"platform": "ubuntu"
},
"containerized": false,
"ip": [
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"172.18.0.2",
"fc00:f853:ccd:e793::2",
"fe80::42:acff:fe12:2",
"10.244.0.1",
"172.21.0.2",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1",
"10.244.0.1"
],
"name": "kind-control-plane",
"id": "ee94d9f5b385448b805141d2b007ef9e",
"mac": [
"02-42-AC-12-00-02",
"02-42-AC-15-00-02",
"26-44-88-00-0A-01",
"36-29-00-36-7F-53",
"52-A2-77-CF-D4-EC",
"62-BC-CF-94-14-6C",
"8E-B9-C8-09-2D-B8",
"92-BA-04-F3-2A-CC",
"A2-55-7D-53-57-91",
"A6-4F-D1-E2-1E-12",
"B6-ED-00-D6-1B-B8",
"CA-B9-E6-A7-52-0D",
"D6-F9-71-43-6C-24",
"DE-05-63-F9-0B-36",
"EE-C8-E8-11-00-F5",
"F6-52-0A-F0-63-83"
],
"architecture": "x86_64"
},
"elastic_agent": {
"id": "c446ee97-62f8-47db-ac88-ada92aa550a0",
"version": "8.6.0",
"snapshot": false
},
"metricset": {
"period": 10000,
"name": "state_statefulset"
},
"event": {
"duration": 183204,
"agent_id_status": "verified",
"ingested": "2023-01-18T15:00:27Z",
"module": "kubernetes",
"dataset": "kubernetes.state_statefulset"
}
}
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
|
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
|
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
|
cloud.image.id |
云实例的映像 ID。 |
关键字 |
|
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
|
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
|
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
|
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
|
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
|
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
|
container.id |
唯一的容器 ID。 |
关键字 |
|
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
|
container.labels |
映像标签。 |
对象 |
|
container.name |
容器名称。 |
关键字 |
|
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
|
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
|
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
|
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
|
host.architecture |
操作系统架构。 |
关键字 |
|
host.containerized |
主机是否是容器。 |
布尔值 |
|
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
|
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
|
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
|
host.ip |
主机 IP 地址。 |
ip |
|
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
|
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
|
host.os.build |
操作系统构建信息。 |
关键字 |
|
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
|
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
|
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
|
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
|
host.os.name.text |
|
match_only_text |
|
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
|
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
|
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
|
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
|
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
|
kubernetes.namespace |
Kubernetes 命名空间 |
关键字 |
|
kubernetes.namespace_labels.* |
Kubernetes 命名空间标签映射 |
对象 |
|
kubernetes.namespace_uid |
Kubernetes 命名空间 UID |
关键字 |
|
kubernetes.statefulset.created |
StatefulSet 的创建时间戳(Unix 时间戳) |
长整型 |
计量 |
kubernetes.statefulset.generation.desired |
每个 StatefulSet 期望的生成 |
长整型 |
计量 |
kubernetes.statefulset.generation.observed |
每个 StatefulSet 观察到的生成 |
长整型 |
计量 |
kubernetes.statefulset.name |
Kubernetes statefulset 名称 |
关键字 |
|
kubernetes.statefulset.replicas.desired |
每个 StatefulSet 期望的副本数量 |
长整型 |
计量 |
kubernetes.statefulset.replicas.observed |
每个 StatefulSet 观察到的副本数量 |
长整型 |
计量 |
kubernetes.statefulset.replicas.ready |
每个 StatefulSet 就绪的副本数量 |
长整型 |
计量 |
orchestrator.cluster.name |
集群的名称。 |
关键字 |
|
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
|
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
|
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
state_storageclass
编辑这是 Kubernetes 包的 state_storageclass 数据集。它从 kube_state_metrics 收集与存储类相关的指标。
示例
state_storageclass 的示例事件如下所示
{
"@timestamp": "2020-06-25T12:39:44.399Z",
"agent": {
"name": "agent-ingest-management-clusterscope-674dbb75df-rp8cc",
"type": "metricbeat",
"version": "8.0.0",
"ephemeral_id": "644323b5-5d6a-4dfb-92dd-35ca602db487",
"id": "a6147a6e-6626-4a84-9907-f372f6c61eee"
},
"kubernetes": {
"storageclass": {
"provisioner": "k8s.io/minikube-hostpath",
"reclaim_policy": "Delete",
"volume_binding_mode": "Immediate",
"name": "standard",
"created": "2020-06-10T09:02:27.000Z"
},
"labels": {
"addonmanager_kubernetes_io_mode": "EnsureExists"
}
},
"event": {
"module": "kubernetes",
"duration": 5713503,
"dataset": "kubernetes.state_storageclass"
},
"metricset": {
"name": "state_storageclass",
"period": 10000
},
"service": {
"address": "kube-state-metrics:8080",
"type": "kubernetes"
},
"ecs": {
"version": "1.5.0"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件产生的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
cloud.instance.id |
主机机器的实例 ID。 |
关键字 |
cloud.instance.name |
主机机器的实例名称。 |
关键字 |
cloud.machine.type |
主机机器的机器类型。 |
关键字 |
cloud.project.id |
云项目标识符。示例:Google Cloud Project ID、Azure Project ID。 |
关键字 |
cloud.provider |
云提供商的名称。示例值有 aws、azure、gcp 或 digitalocean。 |
关键字 |
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
container.id |
唯一的容器 ID。 |
关键字 |
container.image.name |
容器构建所基于的映像的名称。 |
关键字 |
container.labels |
映像标签。 |
对象 |
container.name |
容器名称。 |
关键字 |
data_stream.dataset |
该字段可以包含任何有意义的、表示数据来源的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许对数据进行分组很有用。许多用户已经以这种方式组织他们的索引,并且数据流命名方案现在提供了这种最佳实践作为默认值。许多用户将使用 |
constant_keyword |
data_stream.type |
数据流的总体类型。目前允许的值为 “logs” 和 “metrics”。我们希望在不久的将来添加 “traces” 和 “synthetics”。 |
constant_keyword |
ecs.version |
此事件符合的 ECS 版本。 |
关键字 |
host.architecture |
操作系统架构。 |
关键字 |
host.containerized |
主机是否是容器。 |
布尔值 |
host.domain |
主机所属的域的名称。例如,在 Windows 上,这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux,这可以是主机 LDAP 提供商的域。 |
关键字 |
host.hostname |
主机的 hostname。它通常包含主机机器上 |
关键字 |
host.id |
唯一的主机 ID。由于主机名并不总是唯一的,请使用在您的环境中具有意义的值。示例:当前 |
关键字 |
host.ip |
主机 IP 地址。 |
ip |
host.mac |
主机 MAC 地址。建议使用 RFC 7042 中的表示法格式:每个八位字节(即 8 位字节)都用两个 [大写] 十六进制数字表示,该数字给出八位字节作为无符号整数的值。连续的八位字节用连字符分隔。 |
关键字 |
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
host.os.build |
操作系统构建信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
host.os.family |
操作系统家族(例如 redhat、debian、freebsd、windows)。 |
关键字 |
host.os.kernel |
操作系统内核版本(原始字符串)。 |
关键字 |
host.os.name |
操作系统名称(不含版本)。 |
关键字 |
host.os.name.text |
|
match_only_text |
host.os.platform |
操作系统平台(例如 centos、ubuntu、windows)。 |
关键字 |
host.os.version |
操作系统版本(原始字符串)。 |
关键字 |
host.type |
主机类型。对于云提供商,这可以是机器类型,例如 |
关键字 |
kubernetes.annotations.* |
Kubernetes 注释映射 |
对象 |
kubernetes.labels.* |
Kubernetes 标签映射 |
对象 |
kubernetes.storageclass.created |
存储类创建日期 |
日期 |
kubernetes.storageclass.name |
存储类名称 |
关键字 |
kubernetes.storageclass.provisioner |
存储类的卷配置器 |
关键字 |
kubernetes.storageclass.reclaim_policy |
动态创建卷的回收策略 |
关键字 |
kubernetes.storageclass.volume_binding_mode |
默认配置和绑定的模式 |
关键字 |
orchestrator.cluster.name |
集群的名称。 |
关键字 |
orchestrator.cluster.url |
用于管理集群的 API 的 URL。 |
关键字 |
service.address |
从中收集有关此服务的数据的地址。这应是一个 URI、网络地址 (ipv4:port 或 [ipv6]:port) 或资源路径(套接字)。 |
关键字 |
service.type |
从中收集数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例:如果从 Elasticsearch 收集日志或指标,则 |
关键字 |
更新日志
编辑更新日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
1.68.1 |
Bug 修复 (查看拉取请求) |
8.15.0 或更高版本 |
1.68.0 |
增强 (查看拉取请求) |
8.15.0 或更高版本 |
1.67.0 |
增强 (查看拉取请求) |
8.15.0 或更高版本 |
1.66.4 |
Bug 修复 (查看拉取请求) |
8.15.0 或更高版本 |
1.66.3 |
增强 (查看拉取请求) |
8.15.0 或更高版本 |
1.66.2 |
Bug 修复 (查看拉取请求) |
8.15.0 或更高版本 |
1.66.1 |
Bug 修复 (查看拉取请求) |
8.15.0 或更高版本 |
1.66.0 |
增强 (查看拉取请求) |
8.15.0 或更高版本 |
1.65.0 |
增强 (查看拉取请求) |
8.15.0 或更高版本 |
1.64.0 |
增强 (查看拉取请求) |
8.15.0 或更高版本 |
1.63.1 |
Bug 修复 (查看拉取请求) |
8.15.0 或更高版本 |
1.63.0 |
增强 (查看拉取请求) |
8.15.0 或更高版本 |
1.62.1 |
Bug 修复 (查看拉取请求) |
8.14.0 或更高版本 |
1.62.0 |
增强 (查看拉取请求) |
8.14.0 或更高版本 |
1.61.1 |
Bug 修复 (查看拉取请求) |
8.14.0 或更高版本 |
1.61.0 |
增强 (查看拉取请求) |
8.14.0 或更高版本 |
1.60.0 |
Bug 修复 (查看拉取请求) |
8.14.0 或更高版本 |
1.59.0 |
增强 (查看拉取请求) |
8.14.0 或更高版本 |
1.58.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.57.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.56.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.55.1 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.55.0 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.54.0 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.53.0 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.52.0 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.51.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.50.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.49.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.48.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.47.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.46.0 |
增强 (查看拉取请求) |
8.10.1 或更高版本 |
1.45.0 |
增强 (查看拉取请求) |
8.10.0 或更高版本 |
1.44.0 |
增强 (查看拉取请求) |
8.10.0 或更高版本 |
1.43.1 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.43.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.42.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.41.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.40.0 |
Bug 修复 (查看拉取请求) |
8.8.0 或更高版本 |
1.40.0-beta.2 |
Bug 修复 (查看拉取请求) |
— |
1.40.0-beta.1 |
Bug 修复 (查看拉取请求) |
— |
1.40.0-beta |
增强 (查看拉取请求) |
— |
1.39.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.38.1 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.38.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.37.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.36.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.35.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.34.1 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.34.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.33.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.32.2 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.32.1 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.32.0 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.31.2 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.31.1 |
增强 (查看拉取请求) |
8.6.1 或更高版本 |
1.31.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
1.30.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
1.29.2 |
Bug 修复 (查看拉取请求) |
8.5.0 或更高版本 |
1.29.1 |
Bug 修复 (查看拉取请求) |
8.5.0 或更高版本 |
1.29.0 |
Bug 修复 (查看拉取请求) |
8.5.0 或更高版本 |
1.28.2 |
Bug 修复 (查看拉取请求) |
8.5.0 或更高版本 |
1.28.1 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.28.0 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.27.1 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.27.0 |
增强 (查看拉取请求) |
8.5.0 或更高版本 |
1.26.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.25.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.24.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.23.1 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.23.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.22.1 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.22.0 |
增强 (查看拉取请求) |
8.4.0 或更高版本 |
1.21.2 |
Bug 修复 (查看拉取请求) |
8.3.0 或更高版本 |
1.21.1 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
1.21.0 |
增强 (查看拉取请求) |
8.3.0 或更高版本 |
1.20.0 |
增强 (查看拉取请求) |
8.2.0 或更高版本 |
1.19.1 |
增强 (查看拉取请求) |
8.2.0 或更高版本 |
1.19.0 |
增强 (查看拉取请求) |
8.2.0 或更高版本 |
1.18.1 |
增强 (查看拉取请求) |
8.2.0 或更高版本 |
1.18.0 |
增强 (查看拉取请求) |
8.2.0 或更高版本 |
1.17.3 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.17.2 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.17.1 |
增强 (查看拉取请求) |
— |
1.17.0 |
增强 (查看拉取请求) |
— |
1.16.0 |
增强 (查看拉取请求) |
— |
1.15.0 |
增强 (查看拉取请求) |
— |
1.14.3 |
Bug 修复 (查看拉取请求) |
— |
1.14.2 |
Bug 修复 (查看拉取请求) |
— |
1.14.1 |
Bug 修复 (查看拉取请求) |
— |
1.14.0 |
增强 (查看拉取请求) |
— |
1.13.0 |
增强 (查看拉取请求) |
— |
1.12.0 |
增强 (查看拉取请求) |
— |
1.11.0 |
增强 (查看拉取请求) |
— |
1.10.0 |
增强 (查看拉取请求) |
— |
1.9.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.8.1 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.4.2 |
增强 (查看拉取请求) |
— |
1.4.1 |
增强 (查看拉取请求) |
8.0.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
— |
1.3.3 |
Bug 修复 (查看拉取请求) |
— |
1.3.2 |
增强 (查看拉取请求) |
— |
1.3.1 |
增强 (查看拉取请求) |
— |
1.3.0 |
增强 (查看拉取请求) |
— |
1.2.1 |
Bug 修复 (查看拉取请求) |
— |
1.2.0 |
增强 (查看拉取请求) |
— |
1.1.1 |
Bug 修复 (查看拉取请求) |
— |
1.1.0 |
增强 (查看拉取请求) |
7.15.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
— |
0.14.1 |
增强 (查看拉取请求) |
— |
0.14.0 |
增强 (查看拉取请求) |
— |
0.13.0 |
增强 (查看拉取请求) |
— |
0.12.2 |
缺陷修复 (查看拉取请求) |
— |
0.12.1 |
缺陷修复 (查看拉取请求) |
— |
0.12.0 |
增强 (查看拉取请求) |
— |
0.11.1 |
增强 (查看拉取请求) |
— |
0.11.0 |
增强 (查看拉取请求) |
— |
0.10.0 |
增强 (查看拉取请求) |
— |
0.9.1 |
缺陷修复 (查看拉取请求) |
— |
0.9.0 |
增强 (查看拉取请求) |
— |
0.8.0 |
增强 (查看拉取请求) |
— |
0.7.0 |
增强 (查看拉取请求) |
— |
0.6.0 |
增强 (查看拉取请求) |
— |
0.5.3 |
增强 (查看拉取请求) |
— |
0.5.2 |
缺陷修复 (查看拉取请求) |
— |
0.5.1 |
缺陷修复 (查看拉取请求) |
— |
0.5.0 |
增强 (查看拉取请求) |
— |
0.4.5 |
增强 (查看拉取请求) |
— |
0.4.4 |
增强 (查看拉取请求) |
— |
0.4.3 |
缺陷修复 (查看拉取请求) |
— |
0.4.2 |
缺陷修复 (查看拉取请求) |
— |
0.4.1 |
增强 (查看拉取请求) |
— |
0.1.0 |
增强 (查看拉取请求) |
— |