Linux 集成

@timestamp

事件时间戳。

日期

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机正在其中运行的可用区。

关键字

cloud.image.id

云实例的映像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

Google Cloud 中项目的名称。

关键字

cloud.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机正在其中运行的区域。

关键字

container.id

唯一容器 ID。

关键字

container.image.name

构建容器所依据的映像的名称。

关键字

container.labels

映像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

ecs.version

此事件符合的 ECS 版本。ecs.version 是必需字段，并且必须存在于所有事件中。在跨多个索引（这些索引可能符合稍微不同的 ECS 版本）进行查询时，此字段允许集成调整到事件的架构版本。

关键字

event.dataset

事件数据集

常量关键字

event.duration

事件的持续时间，以纳秒为单位。如果知道 event.start 和 event.end，则此值应为结束时间和开始时间之间的差值。

长整型

event.module

事件模块

常量关键字

host.architecture

操作系统架构。

关键字

host.containerized

主机是否为容器。

布尔值

host.domain

主机所属的域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的主机名。它通常包含主机机器上 hostname 命令返回的内容。

关键字

host.id

唯一主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前 beat.name 的用法。

关键字

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

关键字

host.os.build

OS 构建信息。

关键字

host.os.codename

OS 代码名称（如果有）。

关键字

host.os.family

OS 系列（例如 redhat、debian、freebsd、windows）。

关键字

host.os.kernel

作为原始字符串的操作系统内核版本。

关键字

host.os.name

操作系统名称，不含版本。

关键字

host.os.name.text

host.os.name 的多字段。

文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

关键字

host.os.version

作为原始字符串的操作系统版本。

关键字

host.type

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果为虚拟机，这可以是容器，例如，或在您的环境中具有意义的其他信息。

关键字

service.address

从中收集有关此服务的数据的地址。这应为 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

关键字

service.type

从中收集服务数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 中收集日志或指标，则 service.type 将为 elasticsearch。

关键字

system.entropy.available_bits

可用熵位数

长整型

system.entropy.pct

可用熵的百分比，相对于 4096 的池大小

缩放浮点数

@timestamp

事件时间戳。

日期

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机正在其中运行的可用区。

关键字

cloud.image.id

云实例的映像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

Google Cloud 中项目的名称。

关键字

cloud.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机正在其中运行的区域。

关键字

container.id

唯一容器 ID。

关键字

container.image.name

构建容器所依据的映像的名称。

关键字

container.labels

映像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

ecs.version

此事件符合的 ECS 版本。ecs.version 是必需字段，并且必须存在于所有事件中。在跨多个索引（这些索引可能符合稍微不同的 ECS 版本）进行查询时，此字段允许集成调整到事件的架构版本。

关键字

event.dataset

事件数据集

常量关键字

event.duration

事件的持续时间，以纳秒为单位。如果知道 event.start 和 event.end，则此值应为结束时间和开始时间之间的差值。

长整型

event.module

事件模块

常量关键字

host.architecture

操作系统架构。

关键字

host.containerized

主机是否为容器。

布尔值

host.domain

主机所属的域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的主机名。它通常包含主机机器上 hostname 命令返回的内容。

关键字

host.id

唯一主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前 beat.name 的用法。

关键字

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

关键字

host.os.build

OS 构建信息。

关键字

host.os.codename

OS 代码名称（如果有）。

关键字

host.os.family

OS 系列（例如 redhat、debian、freebsd、windows）。

关键字

host.os.kernel

作为原始字符串的操作系统内核版本。

关键字

host.os.name

操作系统名称，不含版本。

关键字

host.os.name.text

host.os.name 的多字段。

文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

关键字

host.os.version

作为原始字符串的操作系统版本。

关键字

host.type

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果为虚拟机，这可以是容器，例如，或在您的环境中具有意义的其他信息。

关键字

service.address

从中收集有关此服务的数据的地址。这应为 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

关键字

service.type

从中收集服务数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 中收集日志或指标，则 service.type 将为 elasticsearch。

关键字

system.network_summary.icmp.*

ICMP 计数器

对象

system.network_summary.ip.*

IP 计数器

对象

system.network_summary.tcp.*

TCP 计数器

对象

system.network_summary.udp.*

UDP 计数器

对象

system.network_summary.udp_lite.*

UDP Lite 计数器

对象

@timestamp

事件时间戳。

日期

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机正在其中运行的可用区。

关键字

cloud.image.id

云实例的映像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

Google Cloud 中项目的名称。

关键字

cloud.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机正在其中运行的区域。

关键字

container.id

唯一容器 ID。

关键字

container.image.name

构建容器所依据的映像的名称。

关键字

container.labels

映像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

ecs.version

此事件符合的 ECS 版本。ecs.version 是必需字段，并且必须存在于所有事件中。在跨多个索引（这些索引可能符合稍微不同的 ECS 版本）进行查询时，此字段允许集成调整到事件的架构版本。

关键字

event.dataset

事件数据集

常量关键字

event.duration

事件的持续时间，以纳秒为单位。如果知道 event.start 和 event.end，则此值应为结束时间和开始时间之间的差值。

长整型

event.module

事件模块

常量关键字

host.architecture

操作系统架构。

关键字

host.containerized

主机是否为容器。

布尔值

host.domain

主机所属的域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的主机名。它通常包含主机机器上 hostname 命令返回的内容。

关键字

host.id

唯一主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前 beat.name 的用法。

关键字

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

关键字

host.os.build

OS 构建信息。

关键字

host.os.codename

OS 代码名称（如果有）。

关键字

host.os.family

OS 系列（例如 redhat、debian、freebsd、windows）。

关键字

host.os.kernel

作为原始字符串的操作系统内核版本。

关键字

host.os.name

操作系统名称，不含版本。

关键字

host.os.name.text

host.os.name 的多字段。

文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

关键字

host.os.version

作为原始字符串的操作系统版本。

关键字

host.type

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果为虚拟机，这可以是容器，例如，或在您的环境中具有意义的其他信息。

关键字

service.address

从中收集有关此服务的数据的地址。这应为 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

关键字

service.type

从中收集服务数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 中收集日志或指标，则 service.type 将为 elasticsearch。

关键字

system.raid.blocks.synced

设备上同步的块数，以 1024 字节的块为单位。

长整型

system.raid.blocks.total

设备保存的块数，以 1024 字节的块为单位。

长整型

system.raid.disks.active

活动磁盘数。

长整型

system.raid.disks.failed

失败磁盘数。

长整型

system.raid.disks.spare

备用磁盘的数量。

长整型

system.raid.disks.states.*

原始磁盘状态的映射

对象

system.raid.disks.total

设备包含的磁盘总数。

长整型

system.raid.level

设备的 RAID 级别

关键字

system.raid.name

设备的名称。

关键字

system.raid.status

设备的活动状态。

关键字

system.raid.sync_action

当前同步操作，如果 RAID 阵列是冗余的

关键字

@timestamp

事件时间戳。

日期

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机正在其中运行的可用区。

关键字

cloud.image.id

云实例的映像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

Google Cloud 中项目的名称。

关键字

cloud.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机正在其中运行的区域。

关键字

container.id

唯一容器 ID。

关键字

container.image.name

构建容器所依据的映像的名称。

关键字

container.labels

映像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

ecs.version

此事件符合的 ECS 版本。ecs.version 是必需字段，并且必须存在于所有事件中。在跨多个索引（这些索引可能符合稍微不同的 ECS 版本）进行查询时，此字段允许集成调整到事件的架构版本。

关键字

event.dataset

事件数据集

常量关键字

event.duration

事件的持续时间，以纳秒为单位。如果知道 event.start 和 event.end，则此值应为结束时间和开始时间之间的差值。

长整型

event.module

事件模块

常量关键字

host

主机被定义为通用计算实例。ECS host.* 字段应填充有关事件发生或进行测量的所在主机的详细信息。主机类型包括硬件、虚拟机、Docker 容器和 Kubernetes 节点。

group

host.architecture

操作系统架构。

关键字

host.containerized

主机是否为容器。

布尔值

host.domain

主机所属的域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的主机名。它通常包含主机机器上 hostname 命令返回的内容。

关键字

host.id

唯一主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前 beat.name 的用法。

关键字

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

关键字

host.os.build

OS 构建信息。

关键字

host.os.codename

OS 代码名称（如果有）。

关键字

host.os.family

OS 系列（例如 redhat、debian、freebsd、windows）。

关键字

host.os.full

操作系统名称，包括版本或代号。

关键字

host.os.full.text

host.os.full 的多字段。

match_only_text

host.os.kernel

作为原始字符串的操作系统内核版本。

关键字

host.os.name

操作系统名称，不含版本。

关键字

host.os.name.text

host.os.name 的多字段。

文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

关键字

host.os.version

作为原始字符串的操作系统版本。

关键字

host.type

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果为虚拟机，这可以是容器，例如，或在您的环境中具有意义的其他信息。

关键字

process

这些字段包含有关进程的信息。这些字段可以帮助您将指标信息与日志消息中的进程 ID/名称相关联。process.pid 通常保留在指标本身中，并复制到全局字段以进行关联。

group

process.exit_code

进程的退出代码（如果这是一个终止事件）。如果事件没有退出代码，则该字段应不存在（例如，进程启动）。

长整型

process.name

进程名称。有时称为程序名称或类似名称。

关键字

process.name.text

process.name 的多字段。

match_only_text

process.pgid

进程所属的进程组的标识符。

长整型

process.pid

进程 ID。

长整型

process.ppid

父进程的 PID。

长整型

process.working_directory

进程的工作目录。

关键字

process.working_directory.text

process.working_directory 的多字段。

match_only_text

service.address

从中收集有关此服务的数据的地址。这应为 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

关键字

service.type

从中收集服务数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 中收集日志或指标，则 service.type 将为 elasticsearch。

关键字

system.service.exec_code

来自服务主进程的 SIGCHLD 代码

关键字

system.service.load_state

服务的加载状态

关键字

system.service.name

服务的名称

关键字

system.service.resources.cpu.usage.ns

CPU 使用率（以纳秒为单位）

长整型

system.service.resources.memory.usage.bytes

内存使用量（以字节为单位）

长整型

system.service.resources.network.in.bytes

传入字节数

长整型

system.service.resources.network.in.packets

传入数据包数

长整型

system.service.resources.network.out.bytes

传出字节数

长整型

system.service.resources.network.out.packets

传出数据包数

长整型

system.service.resources.tasks.count

与服务关联的任务数

长整型

system.service.state

服务的活动状态

关键字

system.service.state_since

上次状态更改的时间戳。如果服务处于活动且运行状态，则这是其正常运行时间。

日期

system.service.sub_state

服务的子状态

关键字

systemd.fragment_path

服务文件位置

关键字

systemd.unit

服务单元名称

关键字

user

用户字段描述与事件相关的用户信息。字段可以有一个或多个条目。如果用户有多个 ID，请提供一个包含所有 ID 的数组。

group

user.name

用户的简称或登录名。

关键字

user.name.text

user.name 的多字段。

match_only_text

@timestamp

事件时间戳。

日期

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机正在其中运行的可用区。

关键字

cloud.image.id

云实例的映像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

Google Cloud 中项目的名称。

关键字

cloud.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机正在其中运行的区域。

关键字

container.id

唯一容器 ID。

关键字

container.image.name

构建容器所依据的映像的名称。

关键字

container.labels

映像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

ecs.version

此事件符合的 ECS 版本。ecs.version 是必需字段，并且必须存在于所有事件中。在跨多个索引（这些索引可能符合稍微不同的 ECS 版本）进行查询时，此字段允许集成调整到事件的架构版本。

关键字

event.dataset

事件数据集

常量关键字

event.duration

事件的持续时间，以纳秒为单位。如果知道 event.start 和 event.end，则此值应为结束时间和开始时间之间的差值。

长整型

event.module

事件模块

常量关键字

host.architecture

操作系统架构。

关键字

host.containerized

主机是否为容器。

布尔值

host.domain

主机所属的域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的主机名。它通常包含主机机器上 hostname 命令返回的内容。

关键字

host.id

唯一主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前 beat.name 的用法。

关键字

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

关键字

host.os.build

OS 构建信息。

关键字

host.os.codename

OS 代码名称（如果有）。

关键字

host.os.family

OS 系列（例如 redhat、debian、freebsd、windows）。

关键字

host.os.kernel

作为原始字符串的操作系统内核版本。

关键字

host.os.name

操作系统名称，不含版本。

关键字

host.os.name.text

host.os.name 的多字段。

文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

关键字

host.os.version

作为原始字符串的操作系统版本。

关键字

host.type

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果为虚拟机，这可以是容器，例如，或在您的环境中具有意义的其他信息。

关键字

network

网络被定义为发生主机或网络事件的通信路径。network.* 字段应填充与事件相关的网络活动的详细信息。

group

network.direction

网络流量的方向。建议的值为：* ingress * egress * inbound * outbound * internal * external * unknown 当从基于主机的监控环境中映射事件时，请从主机的角度填充此字段，使用值“ingress”或“egress”。当从基于网络或外围的监控环境中映射事件时，请从网络外围的角度填充此字段，使用值“inbound”、“outbound”、“internal”或“external”。请注意，“internal”不会跨越外围边界，而是指外围内两台主机之间的通信。还要注意，“external”是指两个外部主机的流量。例如，这对于 ISP 或 VPN 服务提供商很有用。

关键字

network.type

在 OSI 模型中，这将是网络层。ipv4、ipv6、ipsec、pim 等。该字段值必须标准化为小写，以便进行查询。请参阅“实施 ECS”文档部分。

关键字

process

这些字段包含有关进程的信息。这些字段可以帮助您将指标信息与日志消息中的进程 ID/名称相关联。process.pid 通常保留在指标本身中，并复制到全局字段以进行关联。

group

process.executable

进程可执行文件的绝对路径。

关键字

process.executable.text

process.executable 的多字段。

match_only_text

process.name

进程名称。有时称为程序名称或类似名称。

关键字

process.name.text

process.name 的多字段。

match_only_text

process.pid

进程 ID。

长整型

service.address

从中收集有关此服务的数据的地址。这应为 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

关键字

service.type

从中收集服务数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 中收集日志或指标，则 service.type 将为 elasticsearch。

关键字

system.socket.local.ip

本地 IP 地址。可以是 IPv4 或 IPv6 地址。

IP

system.socket.local.port

本地端口。

长整型

system.socket.process.cmdline

完整命令行

关键字

system.socket.remote.etld_plus_one

远程主机的有效顶级域名 (eTLD) 加一个标签。例如，“foo.bar.golang.org.”的 eTLD+1 是“golang.org.”。用于确定 eTLD 的数据来自 http://publicsuffix.org 的嵌入式数据副本。

关键字

system.socket.remote.host

与远程 IP 关联的 PTR 记录。它通过反向 IP 查找获得。

关键字

system.socket.remote.host_error

描述反向查找失败原因的错误。

关键字

system.socket.remote.ip

远程 IP 地址。可以是 IPv4 或 IPv6 地址。

IP

system.socket.remote.port

远程端口。

长整型

user

用户字段描述与事件相关的用户信息。字段可以有一个或多个条目。如果用户有多个 ID，请提供一个包含所有 ID 的数组。

group

user.full_name

用户的全名（如果可用）。

关键字

user.full_name.text

user.full_name 的多字段。

match_only_text

user.id

用户的唯一标识符。

关键字

@timestamp

事件时间戳。

日期

cloud.account.id

用于在多租户环境中标识不同实体的云帐户或组织 ID。示例：AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。

关键字

cloud.availability_zone

此主机正在其中运行的可用区。

关键字

cloud.image.id

云实例的映像 ID。

关键字

cloud.instance.id

主机机器的实例 ID。

关键字

cloud.instance.name

主机机器的实例名称。

关键字

cloud.machine.type

主机机器的机器类型。

关键字

cloud.project.id

Google Cloud 中项目的名称。

关键字

cloud.provider

云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。

关键字

cloud.region

此主机正在其中运行的区域。

关键字

container.id

唯一容器 ID。

关键字

container.image.name

构建容器所依据的映像的名称。

关键字

container.labels

映像标签。

对象

container.name

容器名称。

关键字

data_stream.dataset

数据流数据集。

常量关键字

data_stream.namespace

数据流命名空间。

常量关键字

data_stream.type

数据流类型。

常量关键字

ecs.version

此事件符合的 ECS 版本。ecs.version 是必需字段，并且必须存在于所有事件中。在跨多个索引（这些索引可能符合稍微不同的 ECS 版本）进行查询时，此字段允许集成调整到事件的架构版本。

关键字

event.dataset

事件数据集

常量关键字

event.duration

事件的持续时间，以纳秒为单位。如果知道 event.start 和 event.end，则此值应为结束时间和开始时间之间的差值。

长整型

event.module

事件模块

常量关键字

host.architecture

操作系统架构。

关键字

host.containerized

主机是否为容器。

布尔值

host.domain

主机所属的域的名称。例如，在 Windows 上，这可以是主机的 Active Directory 域或 NetBIOS 域名。对于 Linux，这可以是主机 LDAP 提供程序的域。

关键字

host.hostname

主机的主机名。它通常包含主机机器上 hostname 命令返回的内容。

关键字

host.id

唯一主机 ID。由于主机名并不总是唯一的，请使用在您的环境中具有意义的值。示例：当前 beat.name 的用法。

关键字

host.ip

主机 IP 地址。

IP

host.mac

主机 MAC 地址。

关键字

host.name

主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。

关键字

host.os.build

OS 构建信息。

关键字

host.os.codename

OS 代码名称（如果有）。

关键字

host.os.family

OS 系列（例如 redhat、debian、freebsd、windows）。

关键字

host.os.kernel

作为原始字符串的操作系统内核版本。

关键字

host.os.name

操作系统名称，不含版本。

关键字

host.os.name.text

host.os.name 的多字段。

文本

host.os.platform

操作系统平台（例如 centos、ubuntu、windows）。

关键字

host.os.version

作为原始字符串的操作系统版本。

关键字

host.type

主机类型。对于云提供商，这可以是机器类型，例如 t2.medium。如果为虚拟机，这可以是容器，例如，或在您的环境中具有意义的其他信息。

关键字

service.address

从中收集有关此服务的数据的地址。这应为 URI、网络地址（ipv4:port 或 [ipv6]:port）或资源路径（套接字）。

关键字

service.type

从中收集服务数据的服务类型。类型可用于对来自一种服务类型的日志和指标进行分组和关联。示例：如果从 Elasticsearch 中收集日志或指标，则 service.type 将为 elasticsearch。

关键字

source

源字段捕获有关网络交换/数据包的发送者的详细信息。这些字段是从网络事件、数据包或其他包含网络事务详细信息的事件中填充的。源字段通常与目标字段结合使用。源和目标字段被认为是基线，如果事件包含来自网络事务的源和目标详细信息，则应始终填写这些字段。如果事件还包含客户端和服务器角色的标识，则还应填充客户端和服务器字段。

group

source.ip

源的 IP 地址（IPv4 或 IPv6）。

IP

source.port

源的端口。

长整型

system.users.id

会话的 ID

关键字

system.users.leader

会话的根 PID

长整型

system.users.path

会话的 DBus 对象路径

关键字

system.users.remote

一个指示远程会话的布尔值

布尔值

system.users.remote_host

会话的远程主机地址

关键字

system.users.scope

关联的 systemd 范围

关键字

system.users.seat

关联的 logind 座位

关键字

system.users.service

与服务关联的会话

关键字

system.users.state

会话的当前状态

关键字

system.users.type

用户会话的类型

关键字

0.6.11

错误修复 (查看拉取请求)
修复服务处理器。

—

0.6.10

增强 (查看拉取请求)
向 Linux 指标添加处理器功能。

—

0.6.9

错误修复 (查看拉取请求)
修复过滤器列表类型

—

0.6.8

增强 (查看拉取请求)
修复文档中的错别字。

—

0.6.7

增强 (查看拉取请求)
更新文档，为新用户提供更多上下文。

—

0.6.6

错误修复 (查看拉取请求)
修复 vmstat 内存中的映射

—

0.6.5

错误修复 (查看拉取请求)
为内存映射添加更多字段

—

0.6.4

错误修复 (查看拉取请求)
为内存映射添加字段

—

0.6.3

增强 (查看拉取请求)
添加多字段文档

—

0.6.2

错误修复 (查看拉取请求)
更一致地使用 Proc 文件系统目录设置

增强 (查看拉取请求)
支持 Kibana 8

—

0.6.1

增强 (查看拉取请求)
与指南保持一致

—

0.6.0

增强 (查看拉取请求)
更新到 ECS 1.12.0

—

0.5.1

增强 (查看拉取请求)
转义文档中的特殊字符

—

0.5.0

增强 (查看拉取请求)
更新集成描述

—

0.4.2

增强 (查看拉取请求)
添加系统测试

—

0.4.1

增强 (查看拉取请求)
修复 network_summary 中的 event.module

—

0.4.0

增强 (查看拉取请求)
设置 "event.module" 和 "event.dataset"

—

0.3.10

错误修复 (查看拉取请求)
默认启用一些 Linux 数据流

—

0.3.9

错误修复 (查看拉取请求)
修复 linux/users 中 IP 字段的映射

增强 (查看拉取请求)
更新软件包所有者

—

0.3.8

错误修复 (查看拉取请求)
添加 Guard

—

0.1.0

增强 (查看拉取请求)
初始版本

—