基础设施应用字段
编辑基础设施应用字段
编辑本节列出了基础设施应用用于显示数据的必需字段。请注意,所列出的一些字段并非ECS 字段。
附加字段详情
编辑event.dataset 字段对于在某些视图中正确显示数据是必需的。此字段是 metricset.module(Metricbeat 模块名称)和 metricset.name(metricset 名称)的组合。
为了确定每个指标的最佳时间间隔,所有图表都使用 metricset.period。如果 metricset.period 不可用,则回退到 1 分钟间隔。
基础字段
编辑base 字段集包含所有位于顶层的字段。这些字段在所有类型的事件中都是通用的。
-
@timestamp -
事件的生成日期/时间。
这是从事件中提取的日期/时间,通常表示源生成事件的时间。如果事件源没有原始时间戳,则此值通常由管道第一次接收事件的时间填充。所有事件的必需字段。
类型:日期
必需:是
ECS 字段:是
示例:
2020年5月27日 15:22:27.982 -
message -
对于日志事件,message 字段包含日志消息,针对在日志查看器中查看进行了优化。
对于没有原始 message 字段的结构化日志,可以将其他字段连接起来,形成事件的可读摘要。
如果存在多个消息,可以将它们组合成一个消息。
类型:文本
必需:是
ECS 字段:是
示例:
Hello World
主机字段
编辑必须映射这些字段才能在基础设施应用中显示主机数据。
-
host.name -
主机的名称。
它可以包含 Unix 系统上
hostname命令的返回值、完全限定域名或用户指定的名称。发送者决定使用哪个值。类型:关键字
必需:是
ECS 字段:是
示例:
MacBook-Elastic.local -
host.ip -
记录事件的主机的 IP。
类型:
ip必需:是
ECS 字段:是
Docker 容器字段
编辑必须映射这些字段才能在基础设施应用中显示 Docker 容器数据。
-
container.id -
唯一的容器 ID。
类型:关键字
必需:是
ECS 字段:是
示例:
data -
container.name -
容器名称。
类型:关键字
必需:是
ECS 字段:是
-
container.ip_address -
容器的 IP。
类型:
ip必需:是
ECS 字段:否
Kubernetes Pod 字段
编辑必须映射这些字段才能在基础设施应用中显示 Kubernetes Pod 数据。
-
kubernetes.pod.uid -
Kubernetes Pod UID。
类型:关键字
必需:是
ECS 字段:否
示例:
8454328b-673d-11ea-7d80-21010a840123 -
kubernetes.pod.name -
Kubernetes Pod 名称。
类型:关键字
必需:是
ECS 字段:否
示例:
nginx-demo -
kubernetes.pod.ip -
Kubernetes Pod 的 IP。
类型:关键字
必需:是
ECS 字段:否
AWS EC2 实例字段
编辑必须映射这些字段才能在基础设施应用中显示 EC2 实例数据。
-
cloud.instance.id -
主机实例 ID。
类型:关键字
必需:是
ECS 字段:是
示例:
i-1234567890abcdef0 -
cloud.instance.name -
主机实例名称。
类型:关键字
必需:是
ECS 字段:是
-
aws.ec2.instance.public.ip -
主机实例的公共 IP。
类型:关键字
必需:是
ECS 字段:否
AWS S3 桶字段
编辑必须映射这些字段才能在基础设施应用中显示 S3 桶数据。
-
aws.s3.bucket.name -
AWS S3 桶的名称或 ID。
类型:关键字
必需:是
ECS 字段:否
AWS SQS 队列字段
编辑必须映射这些字段才能在基础设施应用中显示 SQS 队列数据。
-
aws.sqs.queue.name -
AWS SQS 队列的名称或 ID。
类型:关键字
必需:是
ECS 字段:否
AWS RDS 数据库字段
编辑必须映射这些字段才能在基础设施应用中显示 RDS 数据库数据。
-
aws.rds.db_instance.arn -
每个 RDS 的 Amazon 资源名称 (ARN)。
类型:关键字
必需:是
ECS 字段:否
-
aws.rds.db_instance.identifier -
包含用户提供的数据库标识符。此标识符是标识 DB 实例的唯一键。
类型:关键字
必需:是
ECS 字段:否
其他分组字段
编辑根据您在基础设施清单视图中选择的实体,可以映射这些其他字段以按其分组实体。
-
cloud.availability_zone -
此主机运行的可用区。
类型:关键字
必需:是
ECS 字段:是
示例:
us-east-1c -
cloud.machine.type -
主机实例的机器类型。
类型:关键字
必需:是
ECS 字段:是
示例:
t2.medium -
cloud.region -
此主机运行的区域。
类型:关键字
必需:是
ECS 字段:是
示例:
us-east-1 -
cloud.instance.id -
主机实例 ID。
类型:关键字
必需:是
ECS 字段:是
示例:
i-1234567890abcdef0 -
cloud.provider -
云提供商的名称。示例值为
aws、azure、gcp或digitalocean。类型:关键字
必需:是
ECS 字段:是
示例:
aws -
cloud.instance.name -
主机实例名称。
类型:关键字
必需:是
ECS 字段:是
-
cloud.project.id -
Google Cloud 中项目的名称。
类型:关键字
必需:是
ECS 字段:否
-
service.type -
收集服务数据的类型。
该类型可用于对来自一种服务类型的日志和指标进行分组和关联。
示例:如果从 Elasticsearch 收集指标,则 service.type 为
elasticsearch。类型:关键字
必需:是
ECS 字段:否
示例:
elasticsearch -
host.hostname -
主机的名称。
它通常包含主机上
hostname命令的返回值。类型:关键字
必需:如果您想使用机器学习功能,则为必需。
ECS 字段:是
示例:
Elastic.local -
host.os.name -
操作系统名称,不包含版本。
多字段
-
os.name.text(类型:文本)
类型:关键字
必需:是
ECS 字段:是
示例:
Mac OS X
-
-
host.os.kernel -
作为原始字符串的操作系统内核版本。
类型:关键字
必需:是
ECS 字段:是
示例:
4.4.0-112-generic