日志浏览器字段
编辑日志浏览器字段
编辑本节列出了 日志浏览器 用于显示数据的必需字段。请注意,列出的某些字段不是 ECS 字段。
-
@timestamp -
事件发生的日期/时间。
这是从事件中提取的日期/时间,通常表示事件由源生成的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收到事件的时间填充。所有事件的必需字段。
类型:date
必需:True
ECS 字段:True
示例:
2020 年 5 月 27 日 @ 15:22:27.982 -
_doc -
此字段用于打破两个具有相同时间戳的条目之间的联系。
必需:True
ECS 字段:False
-
container.id -
唯一的容器 ID。
类型:keyword
必需:True
ECS 字段:True
示例:
data -
event.dataset -
数据集的名称。
如果事件源发布多种类型的日志或事件(例如,访问日志、错误日志),则数据集用于指定事件来自哪个日志或事件。
建议(但不是必需)数据集名称以模块名称开头,后跟一个点,然后是数据集名称。
类型:keyword
必需:True,如果您想使用机器学习功能。
ECS 字段:True
示例:
apache.access -
host.hostname -
主机的名称。
它通常包含主机上
hostname命令返回的内容。类型:keyword
必需:True,如果您想启用并使用 上下文查看 功能。
ECS 字段:True
示例:
Elastic.local -
host.name -
主机的名称。
它可以包含 Unix 系统上
hostname返回的内容、完全限定的域名或用户指定的名称。发送者决定使用哪个值。类型:keyword
必需:True
ECS 字段:True
示例:
MacBook-Elastic.local -
kubernetes.pod.uid -
Kubernetes Pod UID。
类型:keyword
必需:True
ECS 字段:False
示例:
8454328b-673d-11ea-7d80-21010a840123 -
log.file.path -
此事件来自的日志文件的完整路径,包括文件名。如果适用,它应包括驱动器号。
如果事件不是从日志文件中读取的,则不要填充此字段。
类型:keyword
必需:True,如果您想使用 上下文查看 功能。
ECS 字段:True
示例:
/var/log/demo.log -
message -
对于日志事件,消息字段包含日志消息,针对在日志查看器中查看进行了优化。
对于没有原始消息字段的结构化日志,可以将其他字段连接起来,以形成事件的人工可读摘要。
如果存在多条消息,则可以将它们合并为一条消息。
类型:text
必需:True
ECS 字段:True
示例:
Hello World