私はすでにここにインストールしていますpacketbeat
。それで、設定を学ぶ間に packetbeat
ディレクトリにファイルがあるのを見ました。ファイルに関する情報を取得しようとしていますが、ソースを取得できません...fields.yml
/etc/packetbeat
これがどのように機能するかを教えたり、文書を送信できますか?
答え1
まず私はpacketbeatユーザーではありませんが、heartbeat、winlogbeat、filebeatなどを使ってみました。
通常、fields.ymlには、ビットが特別に使用するフィールドが含まれています。これらのフィールドのいくつかは、デフォルトで特定の値で構成されています。たとえば、「name」はデフォルトでサーバーのホスト名で、@timestampは時間を追跡し、filebeatの場合は「イベントログレコードが作成された時期」を追跡します。使用しているビットのデフォルトYAMLから他のフィールドを手動で埋めることができます。これの例には、ユーザー作成フィールドを保存するための「フィールド」と、Elastic Stackの他の部分が識別のためにデータにタグを付けることができる「タグ」があります。データを特定のシステムやネットワークに簡単に接続できます。ただし、ほとんどのBeatsでは、fields.ymlに含まれるほとんどのフィールドは、収集する情報の種類に関連するフィールドです。ただし、filebeatは柔軟性を維持するように設計されています。これはwinlogbeat、auditbeat、packetbeatなどを意味します。サポートされているすべてのイベントのすべてのフィールドがこのファイルに含まれています。
Packetbeatをターゲットに特別に拡張すると、packetbeatは(filebeatとは異なり)事前定義されたフィールドを含むイベントのみを生成するため、packetbeatで使用可能なすべてのフィールドはfields.ymlにリストされます。以下では、プロトコルごとにこれらのフィールドを表示できます。https://github.com/elastic/beats/tree/master/packetbeat/protos 興味のあるプロトコルが何であれ(例:/icmp/_meta/fields.yml)
表示されるコンパイル済みの fields.yml は、各個別の fields.yml ファイルのセットです。
これに関連する文書はあまり見つかりません。、このファイルが存在する理由を明確に説明してください。私の推測はこの yaml ファイルは、Elasticsearch インデックステンプレートを生成するために使用されます。、ビット単位で、これがほとんどのビット構成ディレクトリに存在する理由です。
インデックステンプレートに関する関連情報はここにあります。 https://www.elastic.co/guide/en/elasticsearch/reference/current/indices-templates.html
GET /index-name(beatのインデックステンプレートを使用した場合)またはこのガイドを使用して、インデックスがマッピングされているフィールドを取得できます。 https://www.elastic.co/guide/en/beats/packetbeat/master/packetbeat-template.html