基础设施应用程序字段
编辑基础设施应用程序字段编辑
本节列出了基础设施应用程序用于显示数据的必需字段。请注意,列出的一些字段不是 ECS 字段。
其他字段详细信息编辑
在某些视图中,event.dataset 字段是正确显示数据的必要条件。此字段是 metricset.module(即 Metricbeat 模块名称)和 metricset.name(即指标集名称)的组合。
为了确定每个指标的最佳时间间隔,所有图表都使用 metricset.period。如果 metricset.period 不可用,则回退到 1 分钟间隔。
基本字段编辑
base 字段集包含所有位于顶层的字段。这些字段在所有类型的事件中都是通用的。
-
@timestamp -
事件起源的日期/时间。
这是从事件中提取的日期/时间,通常代表源生成事件的时间。如果事件源没有原始时间戳,则此值通常由管道首次接收事件的时间填充。所有事件的必需字段。
类型:日期
必需:True
ECS 字段:True
示例:
2020 年 5 月 27 日 15:22:27.982 -
message -
对于日志事件,message 字段包含日志消息,针对日志查看器进行了优化。
对于没有原始 message 字段的结构化日志,可以将其他字段连接起来,以形成事件的人类可读摘要。
如果存在多个消息,则可以将它们合并为一条消息。
类型:文本
必需:True
ECS 字段:True
示例:
Hello World
主机字段编辑
这些字段必须映射才能在基础设施应用程序中显示主机数据。
-
host.name -
主机的名称。
它可以包含 Unix 系统上
hostname返回的内容、完全限定域名或用户指定的名称。发送方决定使用哪个值。类型:关键字
必需:True
ECS 字段:True
示例:
MacBook-Elastic.local -
host.ip -
记录事件的主机的 IP。
类型:
ip必需:True
ECS 字段:True
Docker 容器字段编辑
这些字段必须映射才能在基础设施应用程序中显示 Docker 容器数据。
-
container.id -
唯一的容器 ID。
类型:关键字
必需:True
ECS 字段:True
示例:
data -
container.name -
容器名称。
类型:关键字
必需:True
ECS 字段:True
-
container.ip_address -
容器的 IP。
类型:
ip必需:True
ECS 字段:False
Kubernetes Pod 字段编辑
这些字段必须映射才能在基础设施应用程序中显示 Kubernetes Pod 数据。
-
kubernetes.pod.uid -
Kubernetes Pod UID。
类型:关键字
必需:True
ECS 字段:False
示例:
8454328b-673d-11ea-7d80-21010a840123 -
kubernetes.pod.name -
Kubernetes Pod 名称。
类型:关键字
必需:True
ECS 字段:False
示例:
nginx-demo -
kubernetes.pod.ip -
Kubernetes Pod 的 IP。
类型:关键字
必需:True
ECS 字段:False
AWS EC2 实例字段编辑
这些字段必须映射才能在基础设施应用程序中显示 EC2 实例数据。
-
cloud.instance.id -
主机机器的实例 ID。
类型:关键字
必需:True
ECS 字段:True
示例:
i-1234567890abcdef0 -
cloud.instance.name -
主机机器的实例名称。
类型:关键字
必需:True
ECS 字段:True
-
aws.ec2.instance.public.ip -
主机机器的实例公网 IP。
类型:关键字
必需:True
ECS 字段:False
AWS S3 存储桶字段编辑
这些字段必须映射才能在基础设施应用程序中显示 S3 存储桶数据。
-
aws.s3.bucket.name -
AWS S3 存储桶的名称或 ID。
类型:关键字
必需:True
ECS 字段:False
AWS SQS 队列字段编辑
这些字段必须映射才能在基础设施应用程序中显示 SQS 队列数据。
-
aws.sqs.queue.name -
AWS SQS 队列的名称或 ID。
类型:关键字
必需:True
ECS 字段:False
AWS RDS 数据库字段编辑
这些字段必须映射才能在基础设施应用程序中显示 RDS 数据库数据。
-
aws.rds.db_instance.arn -
每个 RDS 的 Amazon 资源名称 (ARN)。
类型:关键字
必需:True
ECS 字段:False
-
aws.rds.db_instance.identifier -
包含用户提供的数据库标识符。此标识符是标识 DB 实例的唯一键。
类型:关键字
必需:True
ECS 字段:False
其他分组字段编辑
根据您在 库存 视图中选择的实体,这些其他字段可以映射到按实体进行分组。
-
cloud.availability_zone -
此主机运行的可用区。
类型:关键字
必需:True
ECS 字段:True
示例:
us-east-1c -
cloud.machine.type -
主机机器的机器类型。
类型:关键字
必需:True
ECS 字段:True
示例:
t2.medium -
cloud.region -
此主机运行的区域。
类型:关键字
必需:True
ECS 字段:True
示例:
us-east-1 -
cloud.instance.id -
主机机器的实例 ID。
类型:关键字
必需:True
ECS 字段:True
示例:
i-1234567890abcdef0 -
cloud.provider -
云提供商的名称。示例值为
aws、azure、gcp或digitalocean。类型:关键字
必需:True
ECS 字段:True
示例:
aws -
cloud.instance.name -
主机机器的实例名称。
类型:关键字
必需:True
ECS 字段:True
-
cloud.project.id -
Google Cloud 中项目的名称。
类型:关键字
必需:True
ECS 字段:False
-
service.type -
收集服务数据的类型。
该类型可用于对来自一种服务类型的日志和指标进行分组和关联。
示例:如果从 Elasticsearch 收集指标,则 service.type 将为
elasticsearch。类型:关键字
必需:True
ECS 字段:False
示例:
elasticsearch -
host.hostname -
主机的名称。
它通常包含主机机器上
hostname命令返回的内容。类型:关键字
必需:True,如果您想使用机器学习功能。
ECS 字段:True
示例:
Elastic.local -
host.os.name -
操作系统名称,不含版本。
多字段
-
os.name.text(类型:文本)
类型:关键字
必需:True
ECS 字段:True
示例:
Mac OS X
-
-
host.os.kernel -
操作系统内核版本,作为原始字符串。
类型:关键字
必需:True
ECS 字段:True
示例:
4.4.0-112-generic