系统集成
编辑系统集成
编辑系统集成允许您监控服务器、个人计算机等。
使用系统集成从您的机器收集指标和日志。然后在 Kibana 中可视化这些数据,创建警报以在出现问题时通知您,并在排除问题时参考数据。
例如,如果您希望在磁盘空间可用量少于 10% 时收到通知,您可以安装系统集成,将文件系统指标发送到 Elastic。然后,您可以在 Kibana 的[指标系统]概览仪表板中查看系统磁盘空间使用情况的实时更新。您还可以在 Elastic Observability Metrics 应用中设置新规则,当可用空间百分比少于总磁盘空间的 10% 时发出警报。
数据流
编辑系统集成收集两种类型的数据:日志和指标。
日志帮助您记录机器上发生的事件。系统集成收集的日志数据流包括运行 Windows 的机器上的应用程序、系统和安全事件,以及运行 macOS 或 Linux 的机器上的 auth 和 syslog 事件。有关详细信息,请参阅日志参考。
指标让您深入了解机器的状态。系统集成收集的指标数据流包括 CPU 使用率、负载统计信息、内存使用率、网络行为信息等。有关详细信息,请参阅指标参考。
您可以启用和禁用各个数据流。如果所有数据流都被禁用,并且系统集成仍然启用,则 Fleet 将使用默认数据流。
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们在 Elastic Cloud 上的托管 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
每个数据流收集不同类型的指标数据,这可能需要专门的权限才能获取,并且在不同的操作系统上可能有所不同。有关每个数据流所需权限的详细信息,请参阅指标参考。
设置
编辑有关如何设置集成的分步说明,请参阅入门指南。
问题排查
编辑请注意,某些数据流可能会访问 /proc 来收集进程信息,并且内核为检查权限而进行的 ptrace_may_access() 调用可能会被 AppArmor 和其他 LSM 软件阻止,即使系统模块不直接使用 ptrace。
此外,在容器内运行时,应使用 system.hostfs 设置将主机的 proc 文件系统目录设置为 /hostfs。
Windows 事件 ID 子句限制
编辑如果您指定超过 22 个查询条件(事件 ID 或事件 ID 范围),某些版本的 Windows 将会阻止集成读取事件日志,原因是查询系统存在限制。如果发生这种情况,将会出现如下所示的类似警告
The specified query is invalid.
在某些情况下,限制可能低于 22 个条件。例如,混合使用范围和单个事件 ID,以及额外的参数(如 ignore older)会导致限制为 21 个条件。
如果您有超过 22 个条件,您可以使用 drop_event 处理器来解决此 Windows 限制,从而在 filebeat 从 Windows 接收到事件后进行过滤。下面显示的过滤器等效于 event_id: 903, 1024, 2000-2004, 4624,但可以扩展到 22 个以上的事件 ID。
- drop_event.when.not.or:
- equals.winlog.event_id: "903"
- equals.winlog.event_id: "1024"
- equals.winlog.event_id: "4624"
- range:
winlog.event_id.gte: 2000
winlog.event_id.lte: 2004
日志参考
编辑应用程序
编辑Windows application 数据流提供来自 Windows Application 事件日志的事件。
支持的操作系统
编辑- Windows
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统版本信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
winlog.activity_id |
一个全局唯一标识符,用于标识当前活动。使用此标识符发布的事件是同一活动的一部分。 |
关键字 |
winlog.api |
用于读取记录的事件日志 API 类型。可能的值为 Windows 事件日志 API 的“wineventlog”或事件日志 API 的“eventlogging”。事件日志 API 专为 Windows Server 2003 或 Windows 2000 操作系统设计。在 Windows Vista 中,事件日志基础结构进行了重新设计。在 Windows Vista 或更高版本的操作系统上,使用 Windows 事件日志 API。Winlogbeat 会自动检测使用哪个 API 来读取事件日志。 |
关键字 |
winlog.channel |
从中读取此记录的通道的名称。此值是配置中 |
关键字 |
winlog.computer_name |
生成记录的计算机的名称。使用 Windows 事件转发时,此名称可能与 |
关键字 |
winlog.event_data |
特定于事件的数据。此字段与 |
对象 |
winlog.event_data.AuthenticationPackageName |
关键字 |
|
winlog.event_data.Binary |
关键字 |
|
winlog.event_data.BitlockerUserInputTime |
关键字 |
|
winlog.event_data.BootMode |
关键字 |
|
winlog.event_data.BootType |
关键字 |
|
winlog.event_data.BuildVersion |
关键字 |
|
winlog.event_data.Company |
关键字 |
|
winlog.event_data.CorruptionActionState |
关键字 |
|
winlog.event_data.CreationUtcTime |
关键字 |
|
winlog.event_data.Description |
关键字 |
|
winlog.event_data.Detail |
关键字 |
|
winlog.event_data.DeviceName |
关键字 |
|
winlog.event_data.DeviceNameLength |
关键字 |
|
winlog.event_data.DeviceTime |
关键字 |
|
winlog.event_data.DeviceVersionMajor |
关键字 |
|
winlog.event_data.DeviceVersionMinor |
关键字 |
|
winlog.event_data.DriveName |
关键字 |
|
winlog.event_data.DriverName |
关键字 |
|
winlog.event_data.DriverNameLength |
关键字 |
|
winlog.event_data.DwordVal |
关键字 |
|
winlog.event_data.EntryCount |
关键字 |
|
winlog.event_data.ExtraInfo |
关键字 |
|
winlog.event_data.FailureName |
关键字 |
|
winlog.event_data.FailureNameLength |
关键字 |
|
winlog.event_data.FileVersion |
关键字 |
|
winlog.event_data.FinalStatus |
关键字 |
|
winlog.event_data.Group |
关键字 |
|
winlog.event_data.IdleImplementation |
关键字 |
|
winlog.event_data.IdleStateCount |
关键字 |
|
winlog.event_data.ImpersonationLevel |
关键字 |
|
winlog.event_data.IntegrityLevel |
关键字 |
|
winlog.event_data.IpAddress |
关键字 |
|
winlog.event_data.IpPort |
关键字 |
|
winlog.event_data.KeyLength |
关键字 |
|
winlog.event_data.LastBootGood |
关键字 |
|
winlog.event_data.LastShutdownGood |
关键字 |
|
winlog.event_data.LmPackageName |
关键字 |
|
winlog.event_data.LogonGuid |
关键字 |
|
winlog.event_data.LogonId |
关键字 |
|
winlog.event_data.LogonProcessName |
关键字 |
|
winlog.event_data.LogonType |
关键字 |
|
winlog.event_data.MajorVersion |
关键字 |
|
winlog.event_data.MaximumPerformancePercent |
关键字 |
|
winlog.event_data.MemberName |
关键字 |
|
winlog.event_data.MemberSid |
关键字 |
|
winlog.event_data.MinimumPerformancePercent |
关键字 |
|
winlog.event_data.MinimumThrottlePercent |
关键字 |
|
winlog.event_data.MinorVersion |
关键字 |
|
winlog.event_data.NewProcessId |
关键字 |
|
winlog.event_data.NewProcessName |
关键字 |
|
winlog.event_data.NewSchemeGuid |
关键字 |
|
winlog.event_data.NewTime |
关键字 |
|
winlog.event_data.NominalFrequency |
关键字 |
|
winlog.event_data.Number |
关键字 |
|
winlog.event_data.OldSchemeGuid |
关键字 |
|
winlog.event_data.OldTime |
关键字 |
|
winlog.event_data.OriginalFileName |
关键字 |
|
winlog.event_data.Path |
关键字 |
|
winlog.event_data.PerformanceImplementation |
关键字 |
|
winlog.event_data.PreviousCreationUtcTime |
关键字 |
|
winlog.event_data.PreviousTime |
关键字 |
|
winlog.event_data.PrivilegeList |
关键字 |
|
winlog.event_data.ProcessId |
关键字 |
|
winlog.event_data.ProcessName |
关键字 |
|
winlog.event_data.ProcessPath |
关键字 |
|
winlog.event_data.ProcessPid |
关键字 |
|
winlog.event_data.Product |
关键字 |
|
winlog.event_data.PuaCount |
关键字 |
|
winlog.event_data.PuaPolicyId |
关键字 |
|
winlog.event_data.QfeVersion |
关键字 |
|
winlog.event_data.Reason |
关键字 |
|
winlog.event_data.SchemaVersion |
关键字 |
|
winlog.event_data.ScriptBlockText |
关键字 |
|
winlog.event_data.ServiceName |
关键字 |
|
winlog.event_data.ServiceVersion |
关键字 |
|
winlog.event_data.ShutdownActionType |
关键字 |
|
winlog.event_data.ShutdownEventCode |
关键字 |
|
winlog.event_data.ShutdownReason |
关键字 |
|
winlog.event_data.Signature |
关键字 |
|
winlog.event_data.SignatureStatus |
关键字 |
|
winlog.event_data.Signed |
关键字 |
|
winlog.event_data.StartTime |
关键字 |
|
winlog.event_data.State |
关键字 |
|
winlog.event_data.Status |
关键字 |
|
winlog.event_data.StopTime |
关键字 |
|
winlog.event_data.SubjectDomainName |
关键字 |
|
winlog.event_data.SubjectLogonId |
关键字 |
|
winlog.event_data.SubjectUserName |
关键字 |
|
winlog.event_data.SubjectUserSid |
关键字 |
|
winlog.event_data.TSId |
关键字 |
|
winlog.event_data.TargetDomainName |
关键字 |
|
winlog.event_data.TargetInfo |
关键字 |
|
winlog.event_data.TargetLogonGuid |
关键字 |
|
winlog.event_data.TargetLogonId |
关键字 |
|
winlog.event_data.TargetServerName |
关键字 |
|
winlog.event_data.TargetUserName |
关键字 |
|
winlog.event_data.TargetUserSid |
关键字 |
|
winlog.event_data.TerminalSessionId |
关键字 |
|
winlog.event_data.TokenElevationType |
关键字 |
|
winlog.event_data.TransmittedServices |
关键字 |
|
winlog.event_data.UserSid |
关键字 |
|
winlog.event_data.Version |
关键字 |
|
winlog.event_data.Workstation |
关键字 |
|
winlog.event_data.param1 |
关键字 |
|
winlog.event_data.param2 |
关键字 |
|
winlog.event_data.param3 |
关键字 |
|
winlog.event_data.param4 |
关键字 |
|
winlog.event_data.param5 |
关键字 |
|
winlog.event_data.param6 |
关键字 |
|
winlog.event_data.param7 |
关键字 |
|
winlog.event_data.param8 |
关键字 |
|
winlog.event_id |
事件标识符。该值特定于事件的来源。 |
关键字 |
winlog.keywords |
关键字用于对事件进行分类。 |
关键字 |
winlog.opcode |
事件中定义的操作码。任务和操作码通常用于标识事件记录在应用程序中的哪个位置。 |
关键字 |
winlog.process.pid |
客户端服务器运行时进程的进程 ID。 |
长整型 |
winlog.process.thread.id |
长整型 |
|
winlog.provider_guid |
一个全局唯一标识符,用于标识记录事件的提供程序。 |
关键字 |
winlog.provider_name |
事件日志记录的来源(记录该记录的应用程序或服务)。 |
关键字 |
winlog.record_id |
事件日志记录的记录 ID。写入事件日志的第一条记录的记录号为 1,其他记录按顺序编号。如果记录号达到最大值(对于事件日志 API 为 232,对于 Windows 事件日志 API 为 264),则下一个记录号将为 0。 |
关键字 |
winlog.related_activity_id |
一个全局唯一标识符,用于标识控制转移到的活动。相关的事件将把此标识符作为其 |
关键字 |
winlog.task |
事件中定义的任务。任务和操作码通常用于标识事件记录在应用程序中的哪个位置。事件日志 API(在 Windows Vista 之前的操作系统上)使用的类别会写入此字段。 |
关键字 |
winlog.user.domain |
与此事件关联的帐户所属的域。 |
关键字 |
winlog.user.identifier |
与此事件关联的帐户的 Windows 安全标识符 (SID)。如果 Winlogbeat 无法将 SID 解析为名称,则事件中将省略 |
关键字 |
winlog.user.name |
与此事件关联的用户的名称。 |
关键字 |
winlog.user.type |
与此事件关联的帐户类型。 |
关键字 |
winlog.user_data |
特定于事件的数据。此字段与 |
对象 |
winlog.version |
事件定义的版本号。 |
长整型 |
系统
编辑Windows system 数据流提供来自 Windows System 事件日志的事件。
支持的操作系统
编辑- Windows
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统版本信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
winlog.activity_id |
一个全局唯一标识符,用于标识当前活动。使用此标识符发布的事件是同一活动的一部分。 |
关键字 |
winlog.api |
用于读取记录的事件日志 API 类型。可能的值为 Windows 事件日志 API 的“wineventlog”或事件日志 API 的“eventlogging”。事件日志 API 专为 Windows Server 2003 或 Windows 2000 操作系统设计。在 Windows Vista 中,事件日志基础结构进行了重新设计。在 Windows Vista 或更高版本的操作系统上,使用 Windows 事件日志 API。Winlogbeat 会自动检测使用哪个 API 来读取事件日志。 |
关键字 |
winlog.channel |
从中读取此记录的通道的名称。此值是配置中 |
关键字 |
winlog.computer_name |
生成记录的计算机的名称。使用 Windows 事件转发时,此名称可能与 |
关键字 |
winlog.event_data |
特定于事件的数据。此字段与 |
对象 |
winlog.event_data.AuthenticationPackageName |
关键字 |
|
winlog.event_data.Binary |
关键字 |
|
winlog.event_data.BitlockerUserInputTime |
关键字 |
|
winlog.event_data.BootMode |
关键字 |
|
winlog.event_data.BootType |
关键字 |
|
winlog.event_data.BuildVersion |
关键字 |
|
winlog.event_data.Company |
关键字 |
|
winlog.event_data.CorruptionActionState |
关键字 |
|
winlog.event_data.CreationUtcTime |
关键字 |
|
winlog.event_data.Description |
关键字 |
|
winlog.event_data.Detail |
关键字 |
|
winlog.event_data.DeviceName |
关键字 |
|
winlog.event_data.DeviceNameLength |
关键字 |
|
winlog.event_data.DeviceTime |
关键字 |
|
winlog.event_data.DeviceVersionMajor |
关键字 |
|
winlog.event_data.DeviceVersionMinor |
关键字 |
|
winlog.event_data.DriveName |
关键字 |
|
winlog.event_data.DriverName |
关键字 |
|
winlog.event_data.DriverNameLength |
关键字 |
|
winlog.event_data.DwordVal |
关键字 |
|
winlog.event_data.EntryCount |
关键字 |
|
winlog.event_data.ExtraInfo |
关键字 |
|
winlog.event_data.FailureName |
关键字 |
|
winlog.event_data.FailureNameLength |
关键字 |
|
winlog.event_data.FileVersion |
关键字 |
|
winlog.event_data.FinalStatus |
关键字 |
|
winlog.event_data.Group |
关键字 |
|
winlog.event_data.IdleImplementation |
关键字 |
|
winlog.event_data.IdleStateCount |
关键字 |
|
winlog.event_data.ImpersonationLevel |
关键字 |
|
winlog.event_data.IntegrityLevel |
关键字 |
|
winlog.event_data.IpAddress |
关键字 |
|
winlog.event_data.IpPort |
关键字 |
|
winlog.event_data.KeyLength |
关键字 |
|
winlog.event_data.LastBootGood |
关键字 |
|
winlog.event_data.LastShutdownGood |
关键字 |
|
winlog.event_data.LmPackageName |
关键字 |
|
winlog.event_data.LogonGuid |
关键字 |
|
winlog.event_data.LogonId |
关键字 |
|
winlog.event_data.LogonProcessName |
关键字 |
|
winlog.event_data.LogonType |
关键字 |
|
winlog.event_data.MajorVersion |
关键字 |
|
winlog.event_data.MaximumPerformancePercent |
关键字 |
|
winlog.event_data.MemberName |
关键字 |
|
winlog.event_data.MemberSid |
关键字 |
|
winlog.event_data.MinimumPerformancePercent |
关键字 |
|
winlog.event_data.MinimumThrottlePercent |
关键字 |
|
winlog.event_data.MinorVersion |
关键字 |
|
winlog.event_data.NewProcessId |
关键字 |
|
winlog.event_data.NewProcessName |
关键字 |
|
winlog.event_data.NewSchemeGuid |
关键字 |
|
winlog.event_data.NewTime |
关键字 |
|
winlog.event_data.NominalFrequency |
关键字 |
|
winlog.event_data.Number |
关键字 |
|
winlog.event_data.OldSchemeGuid |
关键字 |
|
winlog.event_data.OldTime |
关键字 |
|
winlog.event_data.OriginalFileName |
关键字 |
|
winlog.event_data.Path |
关键字 |
|
winlog.event_data.PerformanceImplementation |
关键字 |
|
winlog.event_data.PreviousCreationUtcTime |
关键字 |
|
winlog.event_data.PreviousTime |
关键字 |
|
winlog.event_data.PrivilegeList |
关键字 |
|
winlog.event_data.ProcessId |
关键字 |
|
winlog.event_data.ProcessName |
关键字 |
|
winlog.event_data.ProcessPath |
关键字 |
|
winlog.event_data.ProcessPid |
关键字 |
|
winlog.event_data.Product |
关键字 |
|
winlog.event_data.PuaCount |
关键字 |
|
winlog.event_data.PuaPolicyId |
关键字 |
|
winlog.event_data.QfeVersion |
关键字 |
|
winlog.event_data.Reason |
关键字 |
|
winlog.event_data.SchemaVersion |
关键字 |
|
winlog.event_data.ScriptBlockText |
关键字 |
|
winlog.event_data.ServiceName |
关键字 |
|
winlog.event_data.ServiceVersion |
关键字 |
|
winlog.event_data.ShutdownActionType |
关键字 |
|
winlog.event_data.ShutdownEventCode |
关键字 |
|
winlog.event_data.ShutdownReason |
关键字 |
|
winlog.event_data.Signature |
关键字 |
|
winlog.event_data.SignatureStatus |
关键字 |
|
winlog.event_data.Signed |
关键字 |
|
winlog.event_data.StartTime |
关键字 |
|
winlog.event_data.State |
关键字 |
|
winlog.event_data.Status |
关键字 |
|
winlog.event_data.StopTime |
关键字 |
|
winlog.event_data.SubjectDomainName |
关键字 |
|
winlog.event_data.SubjectLogonId |
关键字 |
|
winlog.event_data.SubjectUserName |
关键字 |
|
winlog.event_data.SubjectUserSid |
关键字 |
|
winlog.event_data.TSId |
关键字 |
|
winlog.event_data.TargetDomainName |
关键字 |
|
winlog.event_data.TargetInfo |
关键字 |
|
winlog.event_data.TargetLogonGuid |
关键字 |
|
winlog.event_data.TargetLogonId |
关键字 |
|
winlog.event_data.TargetServerName |
关键字 |
|
winlog.event_data.TargetUserName |
关键字 |
|
winlog.event_data.TargetUserSid |
关键字 |
|
winlog.event_data.TerminalSessionId |
关键字 |
|
winlog.event_data.TokenElevationType |
关键字 |
|
winlog.event_data.TransmittedServices |
关键字 |
|
winlog.event_data.UserSid |
关键字 |
|
winlog.event_data.Version |
关键字 |
|
winlog.event_data.Workstation |
关键字 |
|
winlog.event_data.param1 |
关键字 |
|
winlog.event_data.param2 |
关键字 |
|
winlog.event_data.param3 |
关键字 |
|
winlog.event_data.param4 |
关键字 |
|
winlog.event_data.param5 |
关键字 |
|
winlog.event_data.param6 |
关键字 |
|
winlog.event_data.param7 |
关键字 |
|
winlog.event_data.param8 |
关键字 |
|
winlog.event_id |
事件标识符。该值特定于事件的来源。 |
关键字 |
winlog.keywords |
关键字用于对事件进行分类。 |
关键字 |
winlog.opcode |
事件中定义的操作码。任务和操作码通常用于标识事件记录在应用程序中的哪个位置。 |
关键字 |
winlog.process.pid |
客户端服务器运行时进程的进程 ID。 |
长整型 |
winlog.process.thread.id |
长整型 |
|
winlog.provider_guid |
一个全局唯一标识符,用于标识记录事件的提供程序。 |
关键字 |
winlog.provider_name |
事件日志记录的来源(记录该记录的应用程序或服务)。 |
关键字 |
winlog.record_id |
事件日志记录的记录 ID。写入事件日志的第一条记录的记录号为 1,其他记录按顺序编号。如果记录号达到最大值(对于事件日志 API 为 232,对于 Windows 事件日志 API 为 264),则下一个记录号将为 0。 |
关键字 |
winlog.related_activity_id |
一个全局唯一标识符,用于标识控制转移到的活动。相关的事件将把此标识符作为其 |
关键字 |
winlog.task |
事件中定义的任务。任务和操作码通常用于标识事件记录在应用程序中的哪个位置。事件日志 API(在 Windows Vista 之前的操作系统上)使用的类别会写入此字段。 |
关键字 |
winlog.user.domain |
与此事件关联的帐户所属的域。 |
关键字 |
winlog.user.identifier |
与此事件关联的帐户的 Windows 安全标识符 (SID)。如果 Winlogbeat 无法将 SID 解析为名称,则事件中将省略 |
关键字 |
winlog.user.name |
与此事件关联的用户的名称。 |
关键字 |
winlog.user.type |
与此事件关联的帐户类型。 |
关键字 |
winlog.user_data |
特定于事件的数据。此字段与 |
对象 |
winlog.version |
事件定义的版本号。 |
长整型 |
安全
编辑Windows security 数据流提供来自 Windows Security 事件日志的事件。
支持的操作系统
编辑- Windows
示例
一个 security 的示例事件如下所示
{
"@timestamp": "2019-11-07T10:37:04.226Z",
"agent": {
"ephemeral_id": "7b61ba2a-a1b9-4711-87d0-1b3aad5afb85",
"id": "a152fcd9-5b11-4ed3-9958-e3a95043132d",
"name": "docker-fleet-agent",
"type": "filebeat",
"version": "8.8.0"
},
"data_stream": {
"dataset": "system.security",
"namespace": "ep",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "a152fcd9-5b11-4ed3-9958-e3a95043132d",
"snapshot": false,
"version": "8.8.0"
},
"event": {
"action": "logging-service-shutdown",
"agent_id_status": "verified",
"category": [
"process"
],
"code": "1100",
"created": "2023-07-18T12:31:50.439Z",
"dataset": "system.security",
"ingested": "2023-07-18T12:31:51Z",
"kind": "event",
"original": "<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'><System><Provider Name='Microsoft-Windows-Eventlog' Guid='{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}'/><EventID>1100</EventID><Version>0</Version><Level>4</Level><Task>103</Task><Opcode>0</Opcode><Keywords>0x4020000000000000</Keywords><TimeCreated SystemTime='2019-11-07T10:37:04.226092500Z'/><EventRecordID>14257</EventRecordID><Correlation/><Execution ProcessID='1144' ThreadID='4532'/><Channel>Security</Channel><Computer>WIN-41OB2LO92CR.wlbeat.local</Computer><Security/></System><UserData><ServiceShutdown xmlns='http://manifests.microsoft.com/win/2004/08/windows/eventlog'></ServiceShutdown></UserData></Event>",
"outcome": "success",
"provider": "Microsoft-Windows-Eventlog",
"type": [
"end"
]
},
"host": {
"name": "WIN-41OB2LO92CR.wlbeat.local"
},
"input": {
"type": "httpjson"
},
"log": {
"level": "information"
},
"tags": [
"forwarded",
"preserve_original_event"
],
"winlog": {
"channel": "Security",
"computer_name": "WIN-41OB2LO92CR.wlbeat.local",
"event_id": "1100",
"keywords": [
"Audit Success"
],
"level": "information",
"opcode": "Info",
"outcome": "success",
"process": {
"pid": 1144,
"thread": {
"id": 4532
}
},
"provider_guid": "{fc65ddd8-d6ef-4962-83d5-6e5cfe9ce148}",
"provider_name": "Microsoft-Windows-Eventlog",
"record_id": "14257",
"time_created": "2019-11-07T10:37:04.226Z"
}
}
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统版本信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
Filebeat 输入的类型。 |
关键字 |
process.executable |
进程可执行文件的绝对路径。 |
关键字 |
process.executable.caseless |
|
关键字 |
process.executable.text |
|
match_only_text |
process.name |
进程名称。有时也称为程序名称或类似名称。 |
关键字 |
process.name.caseless |
|
关键字 |
process.name.text |
|
match_only_text |
winlog.activity_id |
一个全局唯一标识符,用于标识当前活动。使用此标识符发布的事件是同一活动的一部分。 |
关键字 |
winlog.api |
用于读取记录的事件日志 API 类型。可能的值为 Windows 事件日志 API 的“wineventlog”或事件日志 API 的“eventlogging”。事件日志 API 专为 Windows Server 2003 或 Windows 2000 操作系统设计。在 Windows Vista 中,事件日志基础结构进行了重新设计。在 Windows Vista 或更高版本的操作系统上,使用 Windows 事件日志 API。Winlogbeat 会自动检测使用哪个 API 来读取事件日志。 |
关键字 |
winlog.channel |
从中读取此记录的通道的名称。此值是配置中 |
关键字 |
winlog.computerObject.domain |
关键字 |
|
winlog.computerObject.id |
关键字 |
|
winlog.computerObject.name |
关键字 |
|
winlog.computer_name |
生成记录的计算机的名称。使用 Windows 事件转发时,此名称可能与 |
关键字 |
winlog.event_data |
特定于事件的数据。此字段与 |
对象 |
winlog.event_data.AccessGranted |
关键字 |
|
winlog.event_data.AccessList |
关键字 |
|
winlog.event_data.AccessListDescription |
关键字 |
|
winlog.event_data.AccessMask |
关键字 |
|
winlog.event_data.AccessMaskDescription |
关键字 |
|
winlog.event_data.AccessReason |
关键字 |
|
winlog.event_data.AccessRemoved |
关键字 |
|
winlog.event_data.AccountDomain |
关键字 |
|
winlog.event_data.AccountExpires |
关键字 |
|
winlog.event_data.AccountName |
关键字 |
|
winlog.event_data.AllowedToDelegateTo |
关键字 |
|
winlog.event_data.Application |
关键字 |
|
winlog.event_data.AttributeValue |
关键字 |
|
winlog.event_data.AttributeValue.wildcard |
|
通配符 |
winlog.event_data.AuditPolicyChanges |
关键字 |
|
winlog.event_data.AuditPolicyChangesDescription |
关键字 |
|
winlog.event_data.AuditSourceName |
关键字 |
|
winlog.event_data.AuthenticationPackageName |
关键字 |
|
winlog.event_data.Binary |
关键字 |
|
winlog.event_data.BitlockerUserInputTime |
关键字 |
|
winlog.event_data.BootMode |
关键字 |
|
winlog.event_data.BootType |
关键字 |
|
winlog.event_data.BuildVersion |
关键字 |
|
winlog.event_data.CallerProcessId |
关键字 |
|
winlog.event_data.CallerProcessName |
关键字 |
|
winlog.event_data.Category |
关键字 |
|
winlog.event_data.CategoryId |
关键字 |
|
winlog.event_data.ClientAddress |
关键字 |
|
winlog.event_data.ClientName |
关键字 |
|
winlog.event_data.ClientProcessId |
关键字 |
|
winlog.event_data.CommandLine |
关键字 |
|
winlog.event_data.Company |
关键字 |
|
winlog.event_data.ComputerAccountChange |
关键字 |
|
winlog.event_data.CorruptionActionState |
关键字 |
|
winlog.event_data.CountOfCredentialsReturned |
关键字 |
|
winlog.event_data.CrashOnAuditFailValue |
关键字 |
|
winlog.event_data.CreationUtcTime |
关键字 |
|
winlog.event_data.CurrentProfile |
关键字 |
|
winlog.event_data.Description |
关键字 |
|
winlog.event_data.DestAddress |
关键字 |
|
winlog.event_data.DestPort |
关键字 |
|
winlog.event_data.Detail |
关键字 |
|
winlog.event_data.DeviceName |
关键字 |
|
winlog.event_data.DeviceNameLength |
关键字 |
|
winlog.event_data.DeviceTime |
关键字 |
|
winlog.event_data.DeviceVersionMajor |
关键字 |
|
winlog.event_data.DeviceVersionMinor |
关键字 |
|
winlog.event_data.Direction |
关键字 |
|
winlog.event_data.DisplayName |
关键字 |
|
winlog.event_data.DnsHostName |
关键字 |
|
winlog.event_data.DomainBehaviorVersion |
关键字 |
|
winlog.event_data.DomainName |
关键字 |
|
winlog.event_data.DomainPolicyChanged |
关键字 |
|
winlog.event_data.DomainSid |
关键字 |
|
winlog.event_data.DriveName |
关键字 |
|
winlog.event_data.DriverName |
关键字 |
|
winlog.event_data.DriverNameLength |
关键字 |
|
winlog.event_data.Dummy |
关键字 |
|
winlog.event_data.DwordVal |
关键字 |
|
winlog.event_data.EnabledPrivilegeList |
关键字 |
|
winlog.event_data.EntryCount |
关键字 |
|
winlog.event_data.EventSourceId |
关键字 |
|
winlog.event_data.ExtraInfo |
关键字 |
|
winlog.event_data.FailureName |
关键字 |
|
winlog.event_data.FailureNameLength |
关键字 |
|
winlog.event_data.FailureReason |
关键字 |
|
winlog.event_data.FileVersion |
关键字 |
|
winlog.event_data.FilterOrigin |
关键字 |
|
winlog.event_data.FilterRTID |
关键字 |
|
winlog.event_data.FinalStatus |
关键字 |
|
winlog.event_data.Flags |
关键字 |
|
winlog.event_data.Group |
关键字 |
|
winlog.event_data.GroupTypeChange |
关键字 |
|
winlog.event_data.HandleId |
关键字 |
|
winlog.event_data.HasRemoteDynamicKeywordAddress |
关键字 |
|
winlog.event_data.HomeDirectory |
关键字 |
|
winlog.event_data.HomePath |
关键字 |
|
winlog.event_data.Identity |
关键字 |
|
winlog.event_data.IdleImplementation |
关键字 |
|
winlog.event_data.IdleStateCount |
关键字 |
|
winlog.event_data.ImpersonationLevel |
关键字 |
|
winlog.event_data.IntegrityLevel |
关键字 |
|
winlog.event_data.InterfaceIndex |
关键字 |
|
winlog.event_data.IpAddress |
关键字 |
|
winlog.event_data.IpPort |
关键字 |
|
winlog.event_data.IsLoopback |
关键字 |
|
winlog.event_data.KerberosPolicyChange |
关键字 |
|
winlog.event_data.KeyLength |
关键字 |
|
winlog.event_data.LastBootGood |
关键字 |
|
winlog.event_data.LastShutdownGood |
关键字 |
|
winlog.event_data.LayerName |
关键字 |
|
winlog.event_data.LayerNameDescription |
关键字 |
|
winlog.event_data.LayerRTID |
关键字 |
|
winlog.event_data.LmPackageName |
关键字 |
|
winlog.event_data.LogonGuid |
关键字 |
|
winlog.event_data.LogonHours |
关键字 |
|
winlog.event_data.LogonID |
关键字 |
|
winlog.event_data.LogonId |
关键字 |
|
winlog.event_data.LogonProcessName |
关键字 |
|
winlog.event_data.LogonType |
关键字 |
|
winlog.event_data.MachineAccountQuota |
关键字 |
|
winlog.event_data.MajorVersion |
关键字 |
|
winlog.event_data.MandatoryLabel |
关键字 |
|
winlog.event_data.MaximumPerformancePercent |
关键字 |
|
winlog.event_data.MemberName |
关键字 |
|
winlog.event_data.MemberSid |
关键字 |
|
winlog.event_data.MinimumPerformancePercent |
关键字 |
|
winlog.event_data.MinimumThrottlePercent |
关键字 |
|
winlog.event_data.MinorVersion |
关键字 |
|
winlog.event_data.MixedDomainMode |
关键字 |
|
winlog.event_data.NewProcessId |
关键字 |
|
winlog.event_data.NewProcessName |
关键字 |
|
winlog.event_data.NewSchemeGuid |
关键字 |
|
winlog.event_data.NewSd |
关键字 |
|
winlog.event_data.NewSdDacl0 |
关键字 |
|
winlog.event_data.NewSdDacl1 |
关键字 |
|
winlog.event_data.NewSdDacl2 |
关键字 |
|
winlog.event_data.NewSdSacl0 |
关键字 |
|
winlog.event_data.NewSdSacl1 |
关键字 |
|
winlog.event_data.NewSdSacl2 |
关键字 |
|
winlog.event_data.NewTargetUserName |
关键字 |
|
winlog.event_data.NewTime |
关键字 |
|
winlog.event_data.NewUACList |
关键字 |
|
winlog.event_data.NewUacValue |
关键字 |
|
winlog.event_data.NominalFrequency |
关键字 |
|
winlog.event_data.Number |
关键字 |
|
winlog.event_data.ObjectName |
关键字 |
|
winlog.event_data.ObjectServer |
关键字 |
|
winlog.event_data.ObjectType |
关键字 |
|
winlog.event_data.OemInformation |
关键字 |
|
winlog.event_data.OldSchemeGuid |
关键字 |
|
winlog.event_data.OldSd |
关键字 |
|
winlog.event_data.OldSdDacl0 |
关键字 |
|
winlog.event_data.OldSdDacl1 |
关键字 |
|
winlog.event_data.OldSdDacl2 |
关键字 |
|
winlog.event_data.OldSdSacl0 |
关键字 |
|
winlog.event_data.OldSdSacl1 |
关键字 |
|
winlog.event_data.OldSdSacl2 |
关键字 |
|
winlog.event_data.OldTargetUserName |
关键字 |
|
winlog.event_data.OldTime |
关键字 |
|
winlog.event_data.OldUacValue |
关键字 |
|
winlog.event_data.OriginalFileName |
关键字 |
|
winlog.event_data.OriginalProfile |
关键字 |
|
winlog.event_data.PackageName |
关键字 |
|
winlog.event_data.ParentProcessName |
关键字 |
|
winlog.event_data.PasswordHistoryLength |
关键字 |
|
winlog.event_data.PasswordLastSet |
关键字 |
|
winlog.event_data.Path |
关键字 |
|
winlog.event_data.PerformanceImplementation |
关键字 |
|
winlog.event_data.PreAuthType |
关键字 |
|
winlog.event_data.PreviousCreationUtcTime |
关键字 |
|
winlog.event_data.PreviousTime |
关键字 |
|
winlog.event_data.PrimaryGroupId |
关键字 |
|
winlog.event_data.PrivilegeList |
关键字 |
|
winlog.event_data.ProcessCreationTime |
关键字 |
|
winlog.event_data.ProcessID |
关键字 |
|
winlog.event_data.ProcessId |
关键字 |
|
winlog.event_data.ProcessName |
关键字 |
|
winlog.event_data.ProcessPath |
关键字 |
|
winlog.event_data.ProcessPid |
关键字 |
|
winlog.event_data.Product |
关键字 |
|
winlog.event_data.ProfilePath |
关键字 |
|
winlog.event_data.Protocol |
关键字 |
|
winlog.event_data.PuaCount |
关键字 |
|
winlog.event_data.PuaPolicyId |
关键字 |
|
winlog.event_data.QfeVersion |
关键字 |
|
winlog.event_data.ReadOperation |
关键字 |
|
winlog.event_data.Reason |
关键字 |
|
winlog.event_data.RelativeTargetName |
关键字 |
|
winlog.event_data.RemoteMachineDescription |
关键字 |
|
winlog.event_data.RemoteMachineID |
关键字 |
|
winlog.event_data.RemoteUserDescription |
关键字 |
|
winlog.event_data.RemoteUserID |
关键字 |
|
winlog.event_data.Resource |
关键字 |
|
winlog.event_data.ResourceAttributes |
关键字 |
|
winlog.event_data.ReturnCode |
关键字 |
|
winlog.event_data.SamAccountName |
关键字 |
|
winlog.event_data.Schema |
关键字 |
|
winlog.event_data.SchemaFriendlyName |
关键字 |
|
winlog.event_data.SchemaVersion |
关键字 |
|
winlog.event_data.ScriptBlockText |
关键字 |
|
winlog.event_data.ScriptPath |
关键字 |
|
winlog.event_data.SearchString |
关键字 |
|
winlog.event_data.Service |
关键字 |
|
winlog.event_data.ServiceAccount |
关键字 |
|
winlog.event_data.ServiceFileName |
关键字 |
|
winlog.event_data.ServiceName |
关键字 |
|
winlog.event_data.ServicePrincipalNames |
关键字 |
|
winlog.event_data.ServiceSid |
关键字 |
|
winlog.event_data.ServiceStartType |
关键字 |
|
winlog.event_data.ServiceType |
关键字 |
|
winlog.event_data.ServiceVersion |
关键字 |
|
winlog.event_data.SessionName |
关键字 |
|
winlog.event_data.ShareLocalPath |
关键字 |
|
winlog.event_data.ShareName |
关键字 |
|
winlog.event_data.ShutdownActionType |
关键字 |
|
winlog.event_data.ShutdownEventCode |
关键字 |
|
winlog.event_data.ShutdownReason |
关键字 |
|
winlog.event_data.SidFilteringEnabled |
关键字 |
|
winlog.event_data.SidHistory |
关键字 |
|
winlog.event_data.Signature |
关键字 |
|
winlog.event_data.SignatureStatus |
关键字 |
|
winlog.event_data.Signed |
关键字 |
|
winlog.event_data.SourceAddress |
关键字 |
|
winlog.event_data.SourcePort |
关键字 |
|
winlog.event_data.StartTime |
关键字 |
|
winlog.event_data.State |
关键字 |
|
winlog.event_data.Status |
关键字 |
|
winlog.event_data.StatusDescription |
关键字 |
|
winlog.event_data.StopTime |
关键字 |
|
winlog.event_data.SubCategory |
关键字 |
|
winlog.event_data.SubCategoryGuid |
关键字 |
|
winlog.event_data.SubCategoryId |
关键字 |
|
winlog.event_data.SubStatus |
关键字 |
|
winlog.event_data.SubcategoryGuid |
关键字 |
|
winlog.event_data.SubcategoryId |
关键字 |
|
winlog.event_data.SubjectDomainName |
关键字 |
|
winlog.event_data.SubjectLogonId |
关键字 |
|
winlog.event_data.SubjectUserName |
关键字 |
|
winlog.event_data.SubjectUserSid |
关键字 |
|
winlog.event_data.TSId |
关键字 |
|
winlog.event_data.TargetDomainName |
关键字 |
|
winlog.event_data.TargetInfo |
关键字 |
|
winlog.event_data.TargetLogonGuid |
关键字 |
|
winlog.event_data.TargetLogonId |
关键字 |
|
winlog.event_data.TargetName |
关键字 |
|
winlog.event_data.TargetServerName |
关键字 |
|
winlog.event_data.TargetSid |
关键字 |
|
winlog.event_data.TargetUserName |
关键字 |
|
winlog.event_data.TargetUserSid |
关键字 |
|
winlog.event_data.TdoAttributes |
关键字 |
|
winlog.event_data.TdoDirection |
关键字 |
|
winlog.event_data.TdoType |
关键字 |
|
winlog.event_data.TerminalSessionId |
关键字 |
|
winlog.event_data.TicketEncryptionType |
关键字 |
|
winlog.event_data.TicketEncryptionTypeDescription |
关键字 |
|
winlog.event_data.TicketOptions |
关键字 |
|
winlog.event_data.TicketOptionsDescription |
关键字 |
|
winlog.event_data.TokenElevationType |
关键字 |
|
winlog.event_data.TransmittedServices |
关键字 |
|
winlog.event_data.Type |
关键字 |
|
winlog.event_data.UserAccountControl |
关键字 |
|
winlog.event_data.UserParameters |
关键字 |
|
winlog.event_data.UserPrincipalName |
关键字 |
|
winlog.event_data.UserSid |
关键字 |
|
winlog.event_data.UserWorkstations |
关键字 |
|
winlog.event_data.Version |
关键字 |
|
winlog.event_data.Workstation |
关键字 |
|
winlog.event_data.WorkstationName |
关键字 |
|
winlog.event_data.param1 |
关键字 |
|
winlog.event_data.param2 |
关键字 |
|
winlog.event_data.param3 |
关键字 |
|
winlog.event_data.param4 |
关键字 |
|
winlog.event_data.param5 |
关键字 |
|
winlog.event_data.param6 |
关键字 |
|
winlog.event_data.param7 |
关键字 |
|
winlog.event_data.param8 |
关键字 |
|
winlog.event_id |
事件标识符。该值特定于事件的来源。 |
关键字 |
winlog.keywords |
关键字用于对事件进行分类。 |
关键字 |
winlog.level |
事件严重性。级别为“严重”、“错误”、“警告”、“信息”和“详细”。 |
关键字 |
winlog.logon.failure.reason |
登录失败的原因。 |
关键字 |
winlog.logon.failure.status |
登录失败的原因。这是基于十六进制 |
关键字 |
winlog.logon.failure.sub_status |
有关登录失败的其他信息。这是基于十六进制 |
关键字 |
winlog.logon.id |
可用于将此登录与同一登录会话相关的其他事件关联的登录 ID。 |
关键字 |
winlog.logon.type |
登录类型名称。这是 |
关键字 |
winlog.opcode |
事件中定义的操作码。任务和操作码通常用于标识事件记录在应用程序中的哪个位置。 |
关键字 |
winlog.outcome |
事件的成功或失败。 |
关键字 |
winlog.process.pid |
客户端服务器运行时进程的进程 ID。 |
长整型 |
winlog.process.thread.id |
长整型 |
|
winlog.provider_guid |
一个全局唯一标识符,用于标识记录事件的提供程序。 |
关键字 |
winlog.provider_name |
事件日志记录的来源(记录该记录的应用程序或服务)。 |
关键字 |
winlog.record_id |
事件日志记录的记录 ID。写入事件日志的第一条记录的记录号为 1,其他记录按顺序编号。如果记录号达到最大值(对于事件日志 API 为 232,对于 Windows 事件日志 API 为 264),则下一个记录号将为 0。 |
关键字 |
winlog.related_activity_id |
一个全局唯一标识符,用于标识控制转移到的活动。相关的事件将把此标识符作为其 |
关键字 |
winlog.task |
事件中定义的任务。任务和操作码通常用于标识事件记录在应用程序中的哪个位置。事件日志 API(在 Windows Vista 之前的操作系统上)使用的类别会写入此字段。 |
关键字 |
winlog.time_created |
事件创建的时间 |
日期 |
winlog.trustAttribute |
关键字 |
|
winlog.trustDirection |
关键字 |
|
winlog.trustType |
关键字 |
|
winlog.user.domain |
与此事件关联的帐户所属的域。 |
关键字 |
winlog.user.identifier |
与此事件关联的帐户的 Windows 安全标识符 (SID)。如果 Winlogbeat 无法将 SID 解析为名称,则事件中将省略 |
关键字 |
winlog.user.name |
与此事件关联的用户的名称。 |
关键字 |
winlog.user.type |
与此事件关联的帐户类型。 |
关键字 |
winlog.user_data |
特定于事件的数据。此字段与 |
对象 |
winlog.user_data.BackupPath |
关键字 |
|
winlog.user_data.Channel |
关键字 |
|
winlog.user_data.SubjectDomainName |
关键字 |
|
winlog.user_data.SubjectLogonId |
关键字 |
|
winlog.user_data.SubjectUserName |
关键字 |
|
winlog.user_data.SubjectUserSid |
关键字 |
|
winlog.user_data.xml_name |
关键字 |
|
winlog.version |
事件定义的版本号。 |
长整型 |
身份验证
编辑auth 数据流提供身份验证日志。它可以从传统日志文件(例如:/var/log/syslog*)或 journald 中收集日志。可以同时启用两个输入,并且可以使用条件来选择应在哪个操作系统/主机上运行该输入。
支持的操作系统
编辑- 10.8 之前的 macOS
- Linux
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统版本信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
system.auth.ssh.dropped_ip |
已打开并立即断开连接的 SSH 连接的客户端 IP。 |
ip |
system.auth.ssh.event |
日志中找到的 SSH 事件(已接受、无效、失败等)。 |
关键字 |
system.auth.ssh.method |
SSH 身份验证方法。可以是“password”或“publickey”之一。 |
关键字 |
system.auth.ssh.signature |
客户端公钥的签名。 |
关键字 |
system.auth.sudo.command |
通过 sudo 执行的命令。 |
关键字 |
system.auth.sudo.error |
如果 sudo 命令失败,则显示错误消息。 |
关键字 |
system.auth.sudo.pwd |
执行 sudo 命令的当前目录。 |
关键字 |
system.auth.sudo.tty |
执行 sudo 命令的 TTY。 |
关键字 |
system.auth.sudo.user |
sudo 命令切换到的目标用户。 |
关键字 |
system.auth.syslog.version |
关键字 |
|
system.auth.useradd.home |
新用户的主文件夹。 |
关键字 |
system.auth.useradd.shell |
新用户的默认 Shell。 |
关键字 |
版本 |
作为原始字符串的操作系统版本。 |
关键字 |
系统日志
编辑syslog 数据流提供系统日志。它可以从传统日志文件(例如:/var/log/syslog*)或 journald 中收集日志。可以同时启用两个输入,并且可以使用条件来选择应在哪个操作系统/主机上运行该输入。
支持的操作系统
编辑- macOS
- Linux
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
cloud.image.id |
云实例的映像 ID。 |
关键字 |
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
host.containerized |
如果主机是容器。 |
布尔值 |
host.os.build |
操作系统版本信息。 |
关键字 |
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
input.type |
输入类型 |
关键字 |
log.offset |
日志偏移量 |
长整型 |
指标参考
编辑核心
编辑系统 core 数据流提供每个 CPU 核心的使用情况统计信息。
支持的操作系统
编辑- FreeBSD
- Linux
- macOS
- OpenBSD
- Windows
权限
编辑此数据应该在没有提升权限的情况下可用。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机实例 ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
||
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
||
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
||
host.containerized |
如果主机是容器。 |
布尔值 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统版本信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
system.core.id |
CPU 核心编号。 |
关键字 |
||
system.core.idle.pct |
CPU 空闲时间百分比。 |
scaled_float |
percent |
gauge |
system.core.idle.ticks |
CPU 空闲时间量。 |
长整型 |
counter |
|
system.core.iowait.pct |
CPU 等待(磁盘)的时间百分比。 |
scaled_float |
percent |
gauge |
system.core.iowait.ticks |
CPU 等待(磁盘)的时间量。 |
长整型 |
counter |
|
system.core.irq.pct |
CPU 用于处理硬件中断的时间百分比。 |
scaled_float |
percent |
gauge |
system.core.irq.ticks |
CPU 用于处理硬件中断的时间量。 |
长整型 |
counter |
|
system.core.nice.pct |
CPU 用于低优先级进程的时间百分比。 |
scaled_float |
percent |
gauge |
system.core.nice.ticks |
CPU 用于低优先级进程的时间量。 |
长整型 |
counter |
|
system.core.softirq.pct |
CPU 用于处理软件中断的时间百分比。 |
scaled_float |
percent |
gauge |
system.core.softirq.ticks |
CPU 用于处理软件中断的时间量。 |
长整型 |
counter |
|
system.core.steal.pct |
虚拟机 CPU 在虚拟机管理程序为另一个处理器提供服务时处于非自愿等待状态的时间百分比。仅在 Unix 上可用。 |
scaled_float |
percent |
gauge |
system.core.steal.ticks |
虚拟机 CPU 在虚拟机管理程序为另一个处理器提供服务时处于非自愿等待状态的时间量。仅在 Unix 上可用。 |
长整型 |
counter |
|
system.core.system.pct |
CPU 用于内核空间的时间百分比。 |
scaled_float |
percent |
gauge |
system.core.system.ticks |
CPU 用于内核空间的时间量。 |
长整型 |
counter |
|
system.core.user.pct |
CPU 用于用户空间的时间百分比。 |
scaled_float |
percent |
gauge |
system.core.user.ticks |
CPU 用于用户空间的时间量。 |
长整型 |
counter |
CPU
编辑System cpu 数据流提供 CPU 统计信息。
支持的操作系统
编辑- FreeBSD
- Linux
- macOS
- OpenBSD
- Windows
权限
编辑此数据应该在没有提升权限的情况下可用。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机实例 ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
||
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
||
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
||
host.containerized |
如果主机是容器。 |
布尔值 |
||
host.cpu.pct |
使用的 CPU 百分比。此值已由 CPU 核心数归一化,范围为 0 到 1。 |
scaled_float |
percent |
gauge |
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统版本信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
system.cpu.cores |
主机上存在的 CPU 核心数。未归一化的百分比的最大值为 |
长整型 |
gauge |
|
system.cpu.idle.norm.pct |
CPU 空闲时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.idle.pct |
CPU 空闲时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.idle.ticks |
CPU 空闲时间量。 |
长整型 |
counter |
|
system.cpu.iowait.norm.pct |
CPU 等待(磁盘)的时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.iowait.pct |
CPU 等待(磁盘)的时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.iowait.ticks |
CPU 等待(磁盘)的时间量。 |
长整型 |
counter |
|
system.cpu.irq.norm.pct |
CPU 用于处理硬件中断的时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.irq.pct |
CPU 用于处理硬件中断的时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.irq.ticks |
CPU 用于处理硬件中断的时间量。 |
长整型 |
counter |
|
system.cpu.nice.norm.pct |
CPU 用于低优先级进程的时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.nice.pct |
CPU 用于低优先级进程的时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.nice.ticks |
CPU 用于低优先级进程的时间量。 |
长整型 |
counter |
|
system.cpu.softirq.norm.pct |
CPU 用于处理软件中断的时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.softirq.pct |
CPU 用于处理软件中断的时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.softirq.ticks |
CPU 用于处理软件中断的时间量。 |
长整型 |
counter |
|
system.cpu.steal.norm.pct |
虚拟机 CPU 在虚拟机管理程序为另一个处理器提供服务时处于非自愿等待状态的时间百分比。仅在 Unix 上可用。 |
scaled_float |
percent |
gauge |
system.cpu.steal.pct |
虚拟机 CPU 在虚拟机管理程序为另一个处理器提供服务时处于非自愿等待状态的时间百分比。仅在 Unix 上可用。 |
scaled_float |
percent |
gauge |
system.cpu.steal.ticks |
虚拟机 CPU 在虚拟机管理程序为另一个处理器提供服务时处于非自愿等待状态的时间量。仅在 Unix 上可用。 |
长整型 |
counter |
|
system.cpu.system.norm.pct |
CPU 用于内核空间的时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.system.pct |
CPU 用于内核空间的时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.system.ticks |
CPU 用于内核空间的时间量。 |
长整型 |
counter |
|
system.cpu.total.norm.pct |
除了空闲和 IOWait 状态之外的 CPU 时间百分比,已按核心数归一化。 |
scaled_float |
percent |
gauge |
system.cpu.total.pct |
除了空闲和 IOWait 状态之外的 CPU 时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.user.norm.pct |
CPU 用于用户空间的时间百分比。 |
scaled_float |
percent |
gauge |
system.cpu.user.pct |
CPU 用于用户空间的时间百分比。在多核系统上,百分比可能大于 100%。例如,如果 3 个核心的使用率为 60%,则 |
scaled_float |
percent |
gauge |
system.cpu.user.ticks |
CPU 用于用户空间的时间量。 |
长整型 |
counter |
磁盘 IO
编辑System diskio 数据流提供从操作系统收集的磁盘 IO 指标。为系统上挂载的每个磁盘创建一个事件。
要检索特定于 Linux 的磁盘 I/O 指标,请使用 Linux 集成。
支持的操作系统
编辑- Linux
- macOS(需要 10.10+)
- Windows
- FreeBSD (amd64)
权限
编辑此数据应该在没有提升权限的情况下可用。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机实例 ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
||
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
||
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
||
host.containerized |
如果主机是容器。 |
布尔值 |
||
host.disk.read.bytes |
自上次指标收集以来成功读取(从所有磁盘聚合)的总字节数(计量)。 |
长整型 |
byte |
gauge |
host.disk.write.bytes |
自上次指标收集以来成功写入(从所有磁盘聚合)的总字节数(计量)。 |
长整型 |
byte |
gauge |
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统版本信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
system.diskio.io.time |
执行 I/O 所花费的总时间(以毫秒为单位)。 |
长整型 |
counter |
|
system.diskio.name |
磁盘名称。 |
关键字 |
||
system.diskio.read.bytes |
成功读取的总字节数。在 Linux 上,这是读取的扇区数乘以假设的扇区大小 512。 |
长整型 |
byte |
counter |
system.diskio.read.count |
成功完成的读取总数。 |
长整型 |
counter |
|
system.diskio.read.time |
所有读取所花费的总时间(以毫秒为单位)。 |
长整型 |
counter |
|
system.diskio.serial_number |
磁盘的序列号。并非所有操作系统都提供此信息。 |
关键字 |
||
system.diskio.write.bytes |
成功写入的总字节数。在 Linux 上,这是写入的扇区数乘以假设的扇区大小 512。 |
长整型 |
byte |
counter |
system.diskio.write.count |
成功完成的写入总数。 |
长整型 |
counter |
|
system.diskio.write.time |
所有写入所花费的总时间(以毫秒为单位)。 |
长整型 |
counter |
文件系统
编辑System filesystem 数据流提供文件系统统计信息。为每个文件系统提供一个文档。
支持的操作系统
编辑- FreeBSD
- Linux
- macOS
- OpenBSD
- Windows
权限
编辑此数据应该在没有提升权限的情况下可用。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机实例 ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
||
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
||
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
||
host.containerized |
如果主机是容器。 |
布尔值 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统版本信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
system.filesystem.available |
非特权用户可用的磁盘空间(以字节为单位)。 |
长整型 |
byte |
gauge |
system.filesystem.device_name |
磁盘名称。例如: |
关键字 |
||
system.filesystem.files |
文件系统中文件节点的总数。 |
长整型 |
gauge |
|
system.filesystem.free |
可用的磁盘空间(以字节为单位)。 |
长整型 |
byte |
gauge |
system.filesystem.free_files |
文件系统中空闲文件节点的数量。 |
长整型 |
gauge |
|
system.filesystem.mount_point |
挂载点。例如: |
关键字 |
||
system.filesystem.total |
磁盘总空间(以字节为单位)。 |
长整型 |
byte |
gauge |
system.filesystem.type |
磁盘类型。例如: |
关键字 |
||
system.filesystem.used.bytes |
已使用的磁盘空间(以字节为单位)。 |
长整型 |
byte |
gauge |
system.filesystem.used.pct |
已使用的磁盘空间百分比。 |
scaled_float |
percent |
gauge |
Fsstat
编辑System fsstat 数据流提供整体文件系统统计信息。
支持的操作系统
编辑- FreeBSD
- Linux
- macOS
- OpenBSD
- Windows
权限
编辑此数据应该在没有提升权限的情况下可用。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机实例 ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
||
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
||
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
||
host.containerized |
如果主机是容器。 |
布尔值 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统版本信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
system.fsstat.count |
找到的文件系统数量。 |
长整型 |
gauge |
|
system.fsstat.total_files |
文件总数。 |
长整型 |
gauge |
|
system.fsstat.total_size.free |
总可用空间。 |
长整型 |
byte |
gauge |
system.fsstat.total_size.total |
总空间(已用空间加可用空间)。 |
长整型 |
byte |
gauge |
system.fsstat.total_size.used |
总已用空间。 |
长整型 |
byte |
gauge |
负载
编辑System load 数据流提供负载统计信息。
支持的操作系统
编辑- FreeBSD
- Linux
- macOS
- OpenBSD
权限
编辑此数据应该在没有提升权限的情况下可用。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
|
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
|
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
|
cloud.image.id |
云实例的映像 ID。 |
关键字 |
|
cloud.instance.id |
主机实例 ID。 |
关键字 |
|
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
|
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
|
container.id |
唯一的容器 ID。 |
关键字 |
|
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
|
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
|
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
|
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
|
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
|
host.containerized |
如果主机是容器。 |
布尔值 |
|
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
|
host.os.build |
操作系统版本信息。 |
关键字 |
|
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
|
system.load.1 |
过去一分钟的平均负载。 |
scaled_float |
gauge |
system.load.15 |
过去 15 分钟的平均负载。 |
scaled_float |
gauge |
system.load.5 |
过去 5 分钟的平均负载。 |
scaled_float |
gauge |
system.load.cores |
主机上存在的 CPU 核心数。 |
长整型 |
gauge |
system.load.norm.1 |
过去一分钟的负载除以核心数。 |
scaled_float |
gauge |
system.load.norm.15 |
过去 15 分钟的负载除以核心数。 |
scaled_float |
gauge |
system.load.norm.5 |
过去 5 分钟的负载除以核心数。 |
scaled_float |
gauge |
内存
编辑System memory 数据流提供内存统计信息。
要检索特定于 Linux 的内存指标,请使用 Linux 集成。
支持的操作系统
编辑- FreeBSD
- Linux
- macOS
- OpenBSD
- Windows
权限
编辑此数据应该在没有提升权限的情况下可用。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机实例 ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
||
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
||
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
||
host.containerized |
如果主机是容器。 |
布尔值 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统版本信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
system.memory.actual.free |
实际可用内存(以字节为单位)。它基于操作系统计算。在 Linux 上,此值将是 /proc/meminfo 中的 MemAvailable,或者如果 /proc/meminfo 不可用,则从可用内存加上缓存和缓冲区计算得出。在 OSX 上,它是可用内存和非活动内存的总和。在 Windows 上,它等于 |
长整型 |
byte |
gauge |
system.memory.actual.used.bytes |
实际已用内存(以字节为单位)。它表示总内存与可用内存之间的差值。可用内存取决于操作系统。有关更多详细信息,请检查 |
长整型 |
byte |
gauge |
system.memory.actual.used.pct |
实际已用内存的百分比。 |
scaled_float |
percent |
gauge |
system.memory.free |
可用内存总量(以字节为单位)。此值不包括系统缓存和缓冲区消耗的内存(请参阅 system.memory.actual.free)。 |
长整型 |
byte |
gauge |
system.memory.swap.free |
可用的交换内存。 |
长整型 |
byte |
gauge |
system.memory.swap.total |
交换内存总量。 |
长整型 |
byte |
gauge |
system.memory.swap.used.bytes |
已使用的交换内存。 |
长整型 |
byte |
gauge |
system.memory.swap.used.pct |
已使用的交换内存的百分比。 |
scaled_float |
percent |
gauge |
system.memory.total |
内存总量。 |
长整型 |
byte |
gauge |
system.memory.used.bytes |
已用内存。 |
长整型 |
byte |
gauge |
system.memory.used.pct |
已用内存的百分比。 |
scaled_float |
percent |
gauge |
网络
编辑System network 数据流提供从操作系统收集的网络 IO 指标。为每个网络接口创建一个事件。
支持的操作系统
编辑- FreeBSD
- Linux
- macOS
- Windows
权限
编辑此数据应该在没有提升权限的情况下可用。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机实例 ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
||
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
||
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
||
host.containerized |
如果主机是容器。 |
布尔值 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.network.in.bytes |
主机在给定时间段内,在所有网络接口上接收的字节数。 |
长整型 |
byte |
counter |
host.network.in.packets |
主机在给定时间段内,在所有网络接口上接收的数据包数。 |
长整型 |
counter |
|
host.network.out.bytes |
主机在给定时间段内,在所有网络接口上发送的字节数。 |
长整型 |
byte |
counter |
host.network.out.packets |
主机在给定时间段内,在所有网络接口上发送的数据包数。 |
长整型 |
counter |
|
host.os.build |
操作系统版本信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
system.network.in.bytes |
接收的字节数。 |
长整型 |
byte |
counter |
system.network.in.dropped |
丢弃的传入数据包数。 |
长整型 |
counter |
|
system.network.in.errors |
接收时发生的错误数。 |
长整型 |
counter |
|
system.network.in.packets |
接收的数据包数。 |
长整型 |
counter |
|
system.network.name |
网络接口名称。 |
关键字 |
||
system.network.out.bytes |
发送的字节数。 |
长整型 |
byte |
counter |
system.network.out.dropped |
丢弃的传出数据包数。此值在 Darwin 和 BSD 上始终为 0,因为操作系统不报告此值。 |
长整型 |
counter |
|
system.network.out.errors |
发送时发生的错误数。 |
长整型 |
counter |
|
system.network.out.packets |
发送的数据包数。 |
长整型 |
counter |
进程
编辑System process 数据流提供进程统计信息。为每个进程提供一个文档。
支持的操作系统
编辑- FreeBSD
- Linux
- macOS
- Windows
权限
编辑进程执行数据应可供授权用户使用。如果以较低权限的用户身份运行,则可能无法读取属于其他用户的进程数据。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机实例 ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
||
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
||
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
||
host.containerized |
如果主机是容器。 |
布尔值 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统版本信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
host.os.version |
作为原始字符串的操作系统版本。 |
关键字 |
||
process.cpu.pct |
自上次事件以来进程花费的 CPU 时间百分比。此值已由 CPU 核心数归一化,范围为 0 到 1。 |
scaled_float |
||
process.cpu.start_time |
进程启动的时间。 |
日期 |
||
process.memory.pct |
进程在主内存 (RAM) 中占用的内存百分比。 |
scaled_float |
||
process.pid |
进程 ID。 |
长整型 |
||
process.state |
进程状态。例如:“正在运行”。 |
关键字 |
||
system.process.cgroup.blkio.id |
cgroup 的 ID。 |
关键字 |
||
system.process.cgroup.blkio.path |
相对于 cgroup 子系统的挂载点的 cgroup 路径。 |
关键字 |
||
system.process.cgroup.blkio.total.bytes |
cgroup 中进程与所有块设备之间传输的总字节数。 |
长整型 |
counter |
|
system.process.cgroup.blkio.total.ios |
在节流策略中看到的,cgroup 中进程在所有设备上执行的 I/O 操作总数。 |
长整型 |
counter |
|
system.process.cgroup.cgroups_version |
为进程报告的 cgroups 版本 |
长整型 |
||
system.process.cgroup.cpu.cfs.period.us |
以微秒为单位的时间段,表示应多久重新分配一次 cgroup 对 CPU 资源的访问权限。 |
长整型 |
gauge |
|
system.process.cgroup.cpu.cfs.quota.us |
以微秒为单位的总时间量,表示一个周期内(由 cfs.period.us 定义)cgroup 中的所有任务可以运行的总时间。 |
长整型 |
gauge |
|
system.process.cgroup.cpu.cfs.shares |
一个整数值,指定 cgroup 中任务可用的 CPU 时间的相对份额。cpu.shares 文件中指定的值必须为 2 或更高。 |
长整型 |
gauge |
|
system.process.cgroup.cpu.id |
cgroup 的 ID。 |
关键字 |
||
system.process.cgroup.cpu.path |
相对于 cgroup 子系统的挂载点的 cgroup 路径。 |
关键字 |
||
system.process.cgroup.cpu.pressure.full.10.pct |
超过 10 秒的压力 |
float |
gauge |
|
system.process.cgroup.cpu.pressure.full.300.pct |
超过 300 秒的压力 |
float |
gauge |
|
system.process.cgroup.cpu.pressure.full.60.pct |
超过 60 秒的压力 |
float |
gauge |
|
system.process.cgroup.cpu.pressure.full.total |
完全压力总时间 |
长整型 |
counter |
|
system.process.cgroup.cpu.pressure.some.10.pct |
超过 10 秒的压力 |
float |
gauge |
|
system.process.cgroup.cpu.pressure.some.300.pct |
超过 300 秒的压力 |
float |
gauge |
|
system.process.cgroup.cpu.pressure.some.60.pct |
超过 60 秒的压力 |
float |
gauge |
|
system.process.cgroup.cpu.pressure.some.total |
部分压力总时间 |
长整型 |
counter |
|
system.process.cgroup.cpu.rt.period.us |
以微秒为单位的时间段,表示应多久重新分配一次 cgroup 对 CPU 资源的访问权限。 |
长整型 |
gauge |
|
system.process.cgroup.cpu.rt.runtime.us |
以微秒为单位的时间段,表示 cgroup 中的任务可以访问 CPU 资源的最长连续时间。 |
长整型 |
gauge |
|
system.process.cgroup.cpu.stats.periods |
已过去的周期间隔数(如 cpu.cfs.period.us 中指定)。 |
长整型 |
counter |
|
system.process.cgroup.cpu.stats.system.norm.pct |
cgroups v2 规范化的系统时间 |
float |
gauge |
|
system.process.cgroup.cpu.stats.system.ns |
cgroups v2 以纳秒为单位的系统时间 |
长整型 |
counter |
|
system.process.cgroup.cpu.stats.system.pct |
cgroups v2 系统时间 |
float |
gauge |
|
system.process.cgroup.cpu.stats.throttled.ns |
cgroup 中的任务被节流的总时间(以纳秒为单位)。 |
长整型 |
counter |
|
system.process.cgroup.cpu.stats.throttled.periods |
cgroup 中的任务被节流的次数(即,由于耗尽了配额指定的所有可用时间而无法运行)。 |
长整型 |
counter |
|
system.process.cgroup.cpu.stats.throttled.us |
cgroup 中的任务被节流的总时间(以微秒为单位),由 cgroupsv2 报告。 |
长整型 |
counter |
|
system.process.cgroup.cpu.stats.usage.norm.pct |
cgroups v2 规范化使用率 |
float |
gauge |
|
system.process.cgroup.cpu.stats.usage.ns |
cgroups v2 以纳秒为单位的使用率 |
长整型 |
counter |
|
system.process.cgroup.cpu.stats.usage.pct |
cgroups v2 使用率 |
float |
gauge |
|
system.process.cgroup.cpu.stats.user.norm.pct |
cgroups v2 规范化的 CPU 用户时间 |
float |
gauge |
|
system.process.cgroup.cpu.stats.user.ns |
cgroups v2 以纳秒为单位的 CPU 用户时间 |
长整型 |
counter |
|
system.process.cgroup.cpu.stats.user.pct |
cgroups v2 CPU 用户时间 |
float |
gauge |
|
system.process.cgroup.cpuacct.id |
cgroup 的 ID。 |
关键字 |
||
system.process.cgroup.cpuacct.path |
相对于 cgroup 子系统的挂载点的 cgroup 路径。 |
关键字 |
||
system.process.cgroup.cpuacct.percpu |
此 cgroup 中的所有任务在每个 CPU 上消耗的 CPU 时间(以纳秒为单位)。 |
对象 |
gauge |
|
system.process.cgroup.cpuacct.stats.system.norm.pct |
cgroup 在内核空间中花费的时间,占总 CPU 时间的百分比,并按 CPU 数量进行规范化。 |
scaled_float |
gauge |
|
system.process.cgroup.cpuacct.stats.system.ns |
任务在用户(内核)模式下消耗的 CPU 时间。 |
长整型 |
counter |
|
system.process.cgroup.cpuacct.stats.system.pct |
cgroup 在内核空间中花费的时间,占总 CPU 时间的百分比 |
scaled_float |
gauge |
|
system.process.cgroup.cpuacct.stats.user.norm.pct |
cgroup 在用户空间中花费的时间,占总 CPU 时间的百分比,并按 CPU 数量进行规范化。 |
scaled_float |
gauge |
|
system.process.cgroup.cpuacct.stats.user.ns |
任务在用户模式下消耗的 CPU 时间。 |
长整型 |
counter |
|
system.process.cgroup.cpuacct.stats.user.pct |
cgroup 在用户空间中花费的时间,占总 CPU 时间的百分比 |
scaled_float |
gauge |
|
system.process.cgroup.cpuacct.total.norm.pct |
cgroup 的 CPU 时间占总 CPU 时间的百分比,并按 CPU 数量进行规范化。这在功能上是各个 CPU 上花费的时间的平均值。 |
scaled_float |
gauge |
|
system.process.cgroup.cpuacct.total.ns |
cgroup 中所有任务消耗的总 CPU 时间(以纳秒为单位)。 |
长整型 |
counter |
|
system.process.cgroup.cpuacct.total.pct |
cgroup 的 CPU 时间占总 CPU 时间的百分比。 |
scaled_float |
gauge |
|
system.process.cgroup.id |
与此任务关联的所有 cgroup 共有的 ID。如果所有 cgroup 没有使用通用 ID,则此字段将不存在。 |
关键字 |
||
system.process.cgroup.io.id |
cgroup 的 ID。 |
关键字 |
||
system.process.cgroup.io.path |
相对于 cgroup 子系统的挂载点的 cgroup 路径。 |
关键字 |
||
system.process.cgroup.io.pressure.full.10.pct |
超过 10 秒的压力 |
float |
gauge |
|
system.process.cgroup.io.pressure.full.300.pct |
超过 300 秒的压力 |
float |
gauge |
|
system.process.cgroup.io.pressure.full.60.pct |
超过 60 秒的压力 |
float |
gauge |
|
system.process.cgroup.io.pressure.full.total |
部分压力总时间 |
长整型 |
counter |
|
system.process.cgroup.io.pressure.some.10.pct |
超过 10 秒的压力 |
float |
gauge |
|
system.process.cgroup.io.pressure.some.300.pct |
超过 300 秒的压力 |
float |
gauge |
|
system.process.cgroup.io.pressure.some.60.pct |
超过 60 秒的压力 |
float |
gauge |
|
system.process.cgroup.io.pressure.some.total |
部分压力总时间 |
长整型 |
counter |
|
system.process.cgroup.io.stats...bytes |
每个设备的字节使用情况统计 |
对象 |
gauge |
|
system.process.cgroup.io.stats...ios |
每个设备的 IO 使用情况统计 |
对象 |
gauge |
|
system.process.cgroup.memory.id |
cgroup 的 ID。 |
关键字 |
||
system.process.cgroup.memory.kmem.failures |
达到内存限制 (kmem.limit.bytes) 的次数。 |
长整型 |
counter |
|
system.process.cgroup.memory.kmem.limit.bytes |
cgroup 中的任务允许使用的最大内核内存量。 |
长整型 |
gauge |
|
system.process.cgroup.memory.kmem.usage.bytes |
cgroup 中进程使用的总内核内存(以字节为单位)。 |
长整型 |
gauge |
|
system.process.cgroup.memory.kmem.usage.max.bytes |
cgroup 中进程使用的最大内核内存(以字节为单位)。 |
长整型 |
gauge |
|
system.process.cgroup.memory.kmem_tcp.failures |
达到内存限制 (kmem_tcp.limit.bytes) 的次数。 |
长整型 |
counter |
|
system.process.cgroup.memory.kmem_tcp.limit.bytes |
cgroup 中的任务允许使用的 TCP 缓冲区最大内存量。 |
长整型 |
gauge |
|
system.process.cgroup.memory.kmem_tcp.usage.bytes |
TCP 缓冲区的总内存使用量(以字节为单位)。 |
长整型 |
gauge |
|
system.process.cgroup.memory.kmem_tcp.usage.max.bytes |
cgroup 中进程使用的 TCP 缓冲区的最大内存(以字节为单位)。 |
长整型 |
gauge |
|
system.process.cgroup.memory.mem.events.fail |
失败阈值 |
长整型 |
counter |
|
system.process.cgroup.memory.mem.events.high |
高阈值 |
长整型 |
counter |
|
system.process.cgroup.memory.mem.events.low |
低阈值 |
长整型 |
counter |
|
system.process.cgroup.memory.mem.events.max |
最大阈值 |
长整型 |
counter |
|
system.process.cgroup.memory.mem.events.oom |
内存不足阈值 |
长整型 |
counter |
|
system.process.cgroup.memory.mem.events.oom_kill |
内存不足杀手阈值 |
长整型 |
counter |
|
system.process.cgroup.memory.mem.failures |
达到内存限制 (mem.limit.bytes) 的次数。 |
长整型 |
counter |
|
system.process.cgroup.memory.mem.high.bytes |
内存高阈值 |
长整型 |
gauge |
|
system.process.cgroup.memory.mem.limit.bytes |
cgroup 中的任务允许使用的最大用户内存量(以字节为单位,包括文件缓存)。 |
长整型 |
gauge |
|
system.process.cgroup.memory.mem.low.bytes |
内存低阈值 |
长整型 |
gauge |
|
system.process.cgroup.memory.mem.max.bytes |
内存最大阈值 |
长整型 |
gauge |
|
system.process.cgroup.memory.mem.usage.bytes |
cgroup 中进程使用的总内存(以字节为单位)。 |
长整型 |
gauge |
|
system.process.cgroup.memory.mem.usage.max.bytes |
cgroup 中进程使用的最大内存(以字节为单位)。 |
长整型 |
gauge |
|
system.process.cgroup.memory.memsw.events.fail |
失败阈值 |
长整型 |
counter |
|
system.process.cgroup.memory.memsw.events.high |
高阈值 |
长整型 |
counter |
|
system.process.cgroup.memory.memsw.events.low |
低阈值 |
长整型 |
counter |
|
system.process.cgroup.memory.memsw.events.max |
最大阈值 |
长整型 |
counter |
|
system.process.cgroup.memory.memsw.events.oom |
内存不足阈值 |
长整型 |
counter |
|
system.process.cgroup.memory.memsw.events.oom_kill |
内存不足杀手阈值 |
长整型 |
counter |
|
system.process.cgroup.memory.memsw.failures |
达到内存加交换空间限制 (memsw.limit.bytes) 的次数。 |
长整型 |
counter |
|
system.process.cgroup.memory.memsw.high.bytes |
内存高阈值 |
长整型 |
gauge |
|
system.process.cgroup.memory.memsw.limit.bytes |
cgroup 中的任务允许使用的内存和交换空间总和的最大量。 |
长整型 |
gauge |
|
system.process.cgroup.memory.memsw.low.bytes |
内存低阈值 |
长整型 |
gauge |
|
system.process.cgroup.memory.memsw.max.bytes |
内存最大阈值 |
长整型 |
gauge |
|
system.process.cgroup.memory.memsw.usage.bytes |
cgroup 中进程使用的当前内存使用量加上交换空间的总和(以字节为单位)。 |
长整型 |
gauge |
|
system.process.cgroup.memory.memsw.usage.max.bytes |
cgroup 中进程使用的最大内存和交换空间量(以字节为单位)。 |
长整型 |
gauge |
|
system.process.cgroup.memory.path |
相对于 cgroup 子系统的挂载点的 cgroup 路径。 |
关键字 |
||
system.process.cgroup.memory.stats.*.bytes |
详细的内存 IO 统计 |
对象 |
gauge |
|
system.process.cgroup.memory.stats.active_anon.bytes |
活动最近最少使用 (LRU) 列表上的匿名和交换缓存(包括 tmpfs (shmem)),以字节为单位。 |
长整型 |
gauge |
|
system.process.cgroup.memory.stats.active_file.bytes |
活动 LRU 列表上的文件支持的内存,以字节为单位。 |
长整型 |
gauge |
|
system.process.cgroup.memory.stats.cache.bytes |
页面缓存(包括 tmpfs (shmem)),以字节为单位。 |
长整型 |
gauge |
|
system.process.cgroup.memory.stats.hierarchical_memory_limit.bytes |
包含内存 cgroup 的层次结构的内存限制(以字节为单位)。 |
长整型 |
gauge |
|
system.process.cgroup.memory.stats.hierarchical_memsw_limit.bytes |
包含内存 cgroup 的层次结构的内存加交换限制(以字节为单位)。 |
长整型 |
gauge |
|
system.process.cgroup.memory.stats.inactive_anon.bytes |
非活动 LRU 列表上的匿名和交换缓存(包括 tmpfs (shmem)),以字节为单位 |
长整型 |
gauge |
|
system.process.cgroup.memory.stats.inactive_file.bytes |
非活动 LRU 列表上的文件支持的内存,以字节为单位。 |
长整型 |
gauge |
|
system.process.cgroup.memory.stats.major_page_faults |
cgroup 中的进程触发主要故障的次数。“主要”故障发生在内核实际上必须从磁盘读取数据时。 |
长整型 |
counter |
|
system.process.cgroup.memory.stats.mapped_file.bytes |
内存映射文件的大小(包括 tmpfs (shmem)),以字节为单位。 |
长整型 |
gauge |
|
system.process.cgroup.memory.stats.page_faults |
cgroup 中的进程触发页面错误的次数。 |
长整型 |
counter |
|
system.process.cgroup.memory.stats.pages_in |
分页到内存中的页面数。这是一个计数器。 |
长整型 |
counter |
|
system.process.cgroup.memory.stats.pages_out |
分页出内存的页面数。这是一个计数器。 |
长整型 |
counter |
|
system.process.cgroup.memory.stats.rss.bytes |
匿名和交换缓存(包括透明大页),不包括 tmpfs (shmem),以字节为单位。 |
长整型 |
gauge |
|
system.process.cgroup.memory.stats.rss_huge.bytes |
匿名透明大页的字节数。 |
长整型 |
gauge |
|
system.process.cgroup.memory.stats.swap.bytes |
交换使用量,以字节为单位。 |
长整型 |
gauge |
|
system.process.cgroup.memory.stats.unevictable.bytes |
无法回收的内存,以字节为单位。 |
长整型 |
gauge |
|
system.process.cgroup.path |
相对于 cgroup 子系统的挂载点的 cgroup 路径。如果所有 cgroup 没有使用通用路径,则此字段将不存在。 |
关键字 |
||
system.process.cmdline |
用于启动进程的完整命令行,包括以空格分隔的参数。 |
关键字 |
||
system.process.cpu.start_time |
进程启动的时间。 |
日期 |
||
system.process.cpu.system.ticks |
进程在内核空间中花费的 CPU 时间。 |
长整型 |
counter |
|
system.process.cpu.total.norm.pct |
自上次事件以来进程花费的 CPU 时间的百分比。此值已按 CPU 核心数进行规范化,范围为 0% 到 100%。 |
scaled_float |
percent |
gauge |
system.process.cpu.total.pct |
自上次更新以来进程花费的 CPU 时间的百分比。其值类似于 Unix 系统上 top 命令显示的进程的 %CPU 值。 |
scaled_float |
percent |
gauge |
system.process.cpu.total.ticks |
进程消耗的总 CPU 时间。 |
长整型 |
counter |
|
system.process.cpu.total.value |
自进程启动以来 CPU 使用率的值。 |
长整型 |
counter |
|
system.process.cpu.user.ticks |
进程在用户空间中消耗的 CPU 时间量。 |
长整型 |
counter |
|
system.process.env |
用于启动进程的环境变量。该数据在 FreeBSD、Linux 和 OS X 上可用。 |
已扁平化 |
||
system.process.fd.limit.hard |
进程打开的文件描述符数量的硬限制。硬限制只能由 root 用户提高。 |
长整型 |
gauge |
|
system.process.fd.limit.soft |
进程打开的文件描述符数量的软限制。软限制可以由进程随时更改。 |
长整型 |
gauge |
|
system.process.fd.open |
进程打开的文件描述符数量。 |
长整型 |
gauge |
|
system.process.io.cancelled_write_bytes |
此进程取消或导致未写入的字节数。 |
长整型 |
byte |
counter |
system.process.io.read_bytes |
从存储层获取的字节数。 |
长整型 |
byte |
counter |
system.process.io.read_char |
从 read(2) 和类似系统调用中读取的字节数。 |
长整型 |
byte |
counter |
system.process.io.read_ops |
与读取相关的系统调用计数。 |
长整型 |
counter |
|
system.process.io.write_bytes |
写入存储层的字节数。 |
长整型 |
byte |
counter |
system.process.io.write_char |
发送到用于写入的系统调用的字节数。 |
长整型 |
byte |
counter |
system.process.io.write_ops |
与写入相关的系统调用计数。 |
长整型 |
counter |
|
system.process.memory.rss.bytes |
常驻内存集大小。进程在主内存(RAM)中占用的内存量。在 Windows 上,这表示当前工作集大小,以字节为单位。 |
长整型 |
byte |
gauge |
system.process.memory.rss.pct |
进程在主内存 (RAM) 中占用的内存百分比。 |
scaled_float |
percent |
gauge |
system.process.memory.share |
进程使用的共享内存。 |
长整型 |
byte |
gauge |
system.process.memory.size |
进程拥有的总虚拟内存。在 Windows 上,这表示此进程的提交费用(内存管理器为正在运行的进程提交的总内存量)值,以字节为单位。 |
长整型 |
byte |
gauge |
system.process.num_threads |
进程中的线程数 |
整数 |
||
system.process.state |
进程状态。例如:“正在运行”。 |
关键字 |
进程摘要
编辑process_summary 数据流收集有关正在运行的进程的高级统计信息。
支持的操作系统
编辑- FreeBSD
- Linux
- macOS
- Windows
权限
编辑一般进程摘要数据应在没有提升权限的情况下可用。如果进程数据属于其他用户,则将其计为未知值。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 指标类型 |
|---|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
|
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
|
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
|
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
|
cloud.image.id |
云实例的映像 ID。 |
关键字 |
|
cloud.instance.id |
主机实例 ID。 |
关键字 |
|
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
|
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
|
container.id |
唯一的容器 ID。 |
关键字 |
|
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
|
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
|
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
|
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
|
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
|
host.containerized |
如果主机是容器。 |
布尔值 |
|
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
|
host.os.build |
操作系统版本信息。 |
关键字 |
|
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
|
system.process.summary.dead |
此主机上已死亡进程的数量。这种情况不太可能出现,但在某些特殊情况下可能会发生。 |
长整型 |
gauge |
system.process.summary.idle |
此主机上空闲进程的数量。 |
长整型 |
gauge |
system.process.summary.running |
此主机上正在运行的进程的数量。 |
长整型 |
gauge |
system.process.summary.sleeping |
此主机上处于睡眠状态的进程的数量。 |
长整型 |
gauge |
system.process.summary.stopped |
此主机上已停止的进程的数量。 |
长整型 |
gauge |
system.process.summary.total |
此主机上的进程总数。 |
长整型 |
gauge |
system.process.summary.unknown |
无法检索状态或状态未知的进程数量。 |
长整型 |
gauge |
system.process.summary.zombie |
此主机上的僵尸进程的数量。 |
长整型 |
gauge |
套接字摘要
编辑系统 socket_summary 数据流提供主机系统中打开的网络套接字的摘要。
它收集 TCP 和 UDP 连接的现有计数以及侦听端口的计数等指标摘要。
支持的操作系统
编辑- FreeBSD
- Linux
- macOS
- Windows
权限
编辑此数据应该在没有提升权限的情况下可用。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机实例 ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
||
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
||
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
||
host.containerized |
如果主机是容器。 |
布尔值 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统版本信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
system.socket.summary.all.count |
所有打开的连接 |
整数 |
gauge |
|
system.socket.summary.all.listening |
所有侦听端口 |
整数 |
gauge |
|
system.socket.summary.tcp.all.close_wait |
处于 close_wait 状态的 TCP 连接数 |
整数 |
gauge |
|
system.socket.summary.tcp.all.closing |
处于 closing 状态的 TCP 连接数 |
整数 |
gauge |
|
system.socket.summary.tcp.all.count |
所有打开的 TCP 连接 |
整数 |
gauge |
|
system.socket.summary.tcp.all.established |
已建立的 TCP 连接数 |
整数 |
gauge |
|
system.socket.summary.tcp.all.fin_wait1 |
处于 fin_wait1 状态的 TCP 连接数 |
整数 |
gauge |
|
system.socket.summary.tcp.all.fin_wait2 |
处于 fin_wait2 状态的 TCP 连接数 |
整数 |
gauge |
|
system.socket.summary.tcp.all.last_ack |
处于 last_ack 状态的 TCP 连接数 |
整数 |
gauge |
|
system.socket.summary.tcp.all.listening |
所有 TCP 侦听端口 |
整数 |
gauge |
|
system.socket.summary.tcp.all.orphan |
所有孤立的 TCP 套接字的计数。仅在 Linux 上可用。 |
整数 |
gauge |
|
system.socket.summary.tcp.all.syn_recv |
处于 syn_recv 状态的 TCP 连接数 |
整数 |
gauge |
|
system.socket.summary.tcp.all.syn_sent |
处于 syn_sent 状态的 TCP 连接数 |
整数 |
gauge |
|
system.socket.summary.tcp.all.time_wait |
处于 time_wait 状态的 TCP 连接数 |
整数 |
gauge |
|
system.socket.summary.tcp.memory |
TCP 套接字使用的内存(以字节为单位),基于已分配的页数和系统页面大小。对应于 /proc/sys/net/ipv4/tcp_mem 中设置的限制。仅在 Linux 上可用。 |
整数 |
byte |
gauge |
system.socket.summary.udp.all.count |
所有打开的 UDP 连接 |
整数 |
gauge |
|
system.socket.summary.udp.memory |
UDP 套接字使用的内存(以字节为单位),基于已分配的页数和系统页面大小。对应于 /proc/sys/net/ipv4/udp_mem 中设置的限制。仅在 Linux 上可用。 |
整数 |
byte |
gauge |
正常运行时间
编辑系统 uptime 数据流提供主机操作系统的正常运行时间。
支持的操作系统
编辑- Linux
- macOS
- OpenBSD
- FreeBSD
- Windows
权限
编辑此数据应该在没有提升权限的情况下可用。
ECS 字段参考
有关 ECS 字段的详细信息,请参阅以下文档。
导出的字段
| 字段 | 描述 | 类型 | 单位 | 指标类型 |
|---|---|---|---|---|
@timestamp |
事件发生时的日期/时间。这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必填字段。 |
日期 |
||
agent.id |
此代理的唯一标识符(如果存在)。示例:对于 Beats,这将是 beat.id。 |
关键字 |
||
cloud.account.id |
用于在多租户环境中标识不同实体的云帐户或组织 ID。示例:AWS 帐户 ID、Google Cloud ORG ID 或其他唯一标识符。 |
关键字 |
||
cloud.availability_zone |
此主机、资源或服务所在的可用区。 |
关键字 |
||
cloud.image.id |
云实例的映像 ID。 |
关键字 |
||
cloud.instance.id |
主机实例 ID。 |
关键字 |
||
cloud.provider |
云提供商的名称。示例值包括 aws、azure、gcp 或 digitalocean。 |
关键字 |
||
cloud.region |
此主机、资源或服务所在的区域。 |
关键字 |
||
container.id |
唯一的容器 ID。 |
关键字 |
||
data_stream.dataset |
该字段可以包含任何对表示数据源有意义的内容。示例包括 |
constant_keyword |
||
data_stream.namespace |
用户定义的命名空间。命名空间对于允许数据分组非常有用。许多用户已经以此方式组织他们的索引,并且数据流命名方案现在默认提供此最佳实践。许多用户会用 |
constant_keyword |
||
data_stream.type |
数据流的总体类型。当前允许的值为“logs”和“metrics”。我们预计在不久的将来还会添加“traces”和“synthetics”。 |
constant_keyword |
||
event.dataset |
数据集的名称。如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个。建议(但不是必需)以模块名称开头数据集名称,后跟点,然后是数据集名称。 |
constant_keyword |
||
event.module |
此数据来自的模块的名称。如果您的监控代理支持模块或插件的概念来处理给定源的事件(例如,Apache 日志), |
constant_keyword |
||
host.containerized |
如果主机是容器。 |
布尔值 |
||
host.name |
主机的名称。它可以包含 Unix 系统上 hostname 返回的内容、完全限定域名 (FQDN) 或用户指定的名称。建议的值是主机的小写 FQDN。 |
关键字 |
||
host.os.build |
操作系统版本信息。 |
关键字 |
||
host.os.codename |
操作系统代号(如果有)。 |
关键字 |
||
system.uptime.duration.ms |
操作系统的正常运行时间(以毫秒为单位)。 |
长整型 |
毫秒 |
counter |
更新日志
编辑更新日志
| 版本 | 详情 | Kibana 版本 |
|---|---|---|
1.63.0 |
增强功能 (查看拉取请求) |
8.17.0 或更高版本 |
1.62.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.62.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.61.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.61.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.60.5 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.60.4 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.60.3 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.60.2 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.60.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.60.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.59.4 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.59.3 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.59.2 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.59.1 |
错误修复 (查看拉取请求) |
8.13.0 或更高版本 |
1.59.0 |
增强功能 (查看拉取请求) |
8.13.0 或更高版本 |
1.58.2 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.58.1 |
错误修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.58.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.57.0 |
增强功能 (查看拉取请求) |
8.12.0 或更高版本 |
1.56.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.55.2 |
Bug 修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.55.1 |
Bug 修复 (查看拉取请求) |
8.12.0 或更高版本 |
1.55.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.54.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
1.53.1 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.53.0 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.52.0 |
增强 (查看拉取请求) |
8.11.0 或更高版本 |
1.51.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.50.1 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.50.0 |
Bug 修复 (查看拉取请求) 增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.49.1 |
Bug 修复 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.10.2 或更高版本 |
1.49.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.48.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.47.2 |
Bug 修复 (查看拉取请求) |
8.10.2 或更高版本 |
1.47.1 |
Bug 修复 (查看拉取请求) 增强 (查看拉取请求) Bug 修复 (查看拉取请求) |
8.10.2 或更高版本 |
1.47.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.46.1 |
Bug 修复 (查看拉取请求) |
8.10.2 或更高版本 |
1.46.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.45.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.44.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.43.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.42.0 |
增强 (查看拉取请求) |
8.10.2 或更高版本 |
1.41.0 |
增强 (查看拉取请求) |
8.9.0 或更高版本 |
1.40.0 |
增强 (查看拉取请求) |
8.9.0 或更高版本 |
1.39.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.38.2 |
Bug 修复 (查看拉取请求) |
8.8.0 或更高版本 |
1.38.1 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.38.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.37.1 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.37.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.36.2 |
Bug 修复 (查看拉取请求) |
8.8.0 或更高版本 |
1.36.1 |
Bug 修复 (查看拉取请求) |
8.8.0 或更高版本 |
1.36.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.35.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.34.1 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.34.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.33.0 |
增强 (查看拉取请求) |
8.8.0 或更高版本 |
1.32.0-beta.2 |
增强 (查看拉取请求) |
— |
1.32.0-beta.1 |
增强 (查看拉取请求) |
— |
1.32.0-beta |
增强 (查看拉取请求) |
— |
1.31.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.31.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.30.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.29.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.28.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.27.1 |
Bug 修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.27.0 |
增强 (查看拉取请求) |
8.7.0 或更高版本 |
1.26.0 |
增强 (查看拉取请求) |
8.6.0 或更高版本 |
1.25.4 |
错误修复 (查看拉取请求) |
8.6.0 或更高版本 |
1.26.0-next |
增强功能 (查看拉取请求) |
— |
1.25.3 |
增强功能 (查看拉取请求) |
8.6.0 或更高版本 |
1.25.2 |
错误修复 (查看拉取请求) |
8.1.0 或更高版本 |
1.25.1 |
增强功能 (查看拉取请求) |
8.1.0 或更高版本 |
1.25.0 |
增强功能 (查看拉取请求) |
8.1.0 或更高版本 |
1.24.3 |
错误修复 (查看拉取请求) |
8.1.0 或更高版本 |
1.24.2 |
错误修复 (查看拉取请求) |
8.1.0 或更高版本 |
1.24.1 |
增强功能 (查看拉取请求) |
8.1.0 或更高版本 |
1.24.0 |
增强功能 (查看拉取请求) |
8.1.0 或更高版本 |
1.23.1 |
错误修复 (查看拉取请求) |
8.1.0 或更高版本 |
1.23.0 |
增强功能 (查看拉取请求) |
8.1.0 或更高版本 |
1.22.0 |
增强功能 (查看拉取请求) |
8.1.0 或更高版本 |
1.21.0 |
增强功能 (查看拉取请求) |
8.1.0 或更高版本 |
1.20.4 |
错误修复 (查看拉取请求) |
8.1.0 或更高版本 |
1.20.3 |
错误修复 (查看拉取请求) |
8.1.0 或更高版本 |
1.20.2 |
错误修复 (查看拉取请求) |
8.1.0 或更高版本 |
1.20.1 |
错误修复 (查看拉取请求) |
8.1.0 或更高版本 |
1.20.0 |
增强功能 (查看拉取请求) |
8.1.0 或更高版本 |
1.19.5 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.19.4 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.19.3 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.19.2 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.19.1 |
错误修复 (查看拉取请求) |
8.0.0 或更高版本 |
1.19.0 |
增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.18.0 |
错误修复 (查看拉取请求) 增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.17.0 |
增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.16.2 |
增强功能 (查看拉取请求) |
8.0.0 或更高版本 |
1.16.1 |
错误修复 (查看拉取请求) |
— |
1.16.0 |
增强功能 (查看拉取请求) |
— |
1.15.1 |
错误修复 (查看拉取请求) |
— |
1.15.0 |
增强功能 (查看拉取请求) |
— |
1.14.0 |
增强功能 (查看拉取请求) |
— |
1.13.0 |
增强功能 (查看拉取请求) |
— |
1.12.1 |
增强功能 (查看拉取请求) |
— |
1.12.0 |
增强功能 (查看拉取请求) |
— |
1.11.0 |
增强功能 (查看拉取请求) |
7.16.0 或更高版本 |
1.10.0 |
增强功能 (查看拉取请求) 错误修复 (查看拉取请求) 增强功能 (查看拉取请求) |
— |
1.9.0 |
增强功能 (查看拉取请求) |
— |
1.8.0 |
增强功能 (查看拉取请求) |
— |
1.7.0 |
增强功能 (查看拉取请求) |
— |
1.6.6 |
错误修复 (查看拉取请求) |
— |
1.6.5 |
错误修复 (查看拉取请求) |
— |
1.6.4 |
错误修复 (查看拉取请求) 增强功能 (查看拉取请求) |
7.14.0 或更高版本 |
1.6.3 |
错误修复 (查看拉取请求) |
7.14.0 或更高版本 |
1.6.2 |
错误修复 (查看拉取请求) |
7.14.0 或更高版本 |
1.6.1 |
增强功能 (查看拉取请求) |
— |
1.6.0 |
错误修复 (查看拉取请求) |
— |
1.5.0 |
增强功能 (查看拉取请求) |
— |
1.4.2 |
错误修复 (查看拉取请求) |
— |
1.4.1 |
错误修复 (查看拉取请求) |
— |
1.4.0 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
— |
1.2.1 |
增强 (查看拉取请求) |
— |
1.2.0 |
增强 (查看拉取请求) |
— |
1.1.5 |
错误修复 (查看拉取请求) |
— |
1.1.4 |
错误修复 (查看拉取请求) |
— |
1.1.3 |
增强 (查看拉取请求) |
— |
1.1.2 |
错误修复 (查看拉取请求) |
7.14.0 或更高版本 |
1.1.1 |
增强 (查看拉取请求) |
— |
1.1.0 |
增强 (查看拉取请求) |
— |
1.0.1 |
增强 (查看拉取请求) |
— |
1.0.0 |
增强 (查看拉取请求) |
7.14.0 或更高版本 |
0.13.6 |
增强 (查看拉取请求) |
— |
0.13.5 |
增强 (查看拉取请求) |
— |
0.13.4 |
增强 (查看拉取请求) |
— |
0.13.3 |
错误修复 (查看拉取请求) |
— |
0.13.2 |
错误修复 (查看拉取请求) |
— |
0.13.1 |
增强 (查看拉取请求) |
— |
0.13.0 |
增强 (查看拉取请求) |
— |
0.12.7 |
错误修复 (查看拉取请求) |
— |
0.12.6 |
错误修复 (查看拉取请求) |
— |
0.12.5 |
增强 (查看拉取请求) |
— |
0.12.4 |
错误修复 (查看拉取请求) |
— |
0.12.3 |
增强 (查看拉取请求) |
— |
0.12.2 |
错误修复 (查看拉取请求) |
— |
0.12.1 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
— |
0.12.0 |
增强 (查看拉取请求) |
— |
0.11.3 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
— |
0.11.2 |
错误修复 (查看拉取请求) |
— |
0.11.1 |
错误修复 (查看拉取请求) |
— |
0.0.3 |
增强 (查看拉取请求) |
— |