저는 이미 여기에 설치했습니다 packetbeat. 그래서 구성을 배우는 동안 packetbeat디렉토리에 파일이 있는 것을 보았습니다. 파일에 대한 정보를 얻으려고 하는데 소스를 얻을 수 없습니다...fields.yml/etc/packetbeat
이것이 어떻게 작동하는지 알려주시거나 문서를 보내주실 수 있나요?
답변1
우선 저는 packetbeat 사용자는 아니지만 heartbeat, winlogbeat, filebeat 등을 사용해봤습니다.
일반적으로 fields.yml에는 비트가 특별히 사용하는 필드가 포함되어 있습니다. 이러한 필드 중 일부는 기본적으로 특정 값으로 구성됩니다. 예를 들어 "name"은 기본적으로 서버의 호스트 이름이고, @timestamp는 시간을 추적하며, filebeat의 경우 "이벤트 로그 레코드가 생성된 시기"를 추적합니다. 사용 중인 비트의 기본 YAML에서 다른 필드를 수동으로 채울 수 있습니다. 이에 대한 예로는 사용자 생성 필드를 저장하기 위한 "필드"와 Elastic Stack의 다른 부분이 식별을 위해 데이터에 태그를 지정할 수 있는 "태그"가 있습니다. 데이터를 특정 시스템이나 네트워크와 쉽게 연결할 수 있습니다. 그러나 대부분의 Beats에서 fields.yml에 포함된 대부분의 필드는 수집하는 정보 유형과 관련된 필드입니다. 단, filebeat는 유연성을 유지하도록 설계되었습니다. 이는 winlogbeat, auditbeat, packetbeat 등을 의미합니다. 지원되는 모든 이벤트에 대한 모든 필드가 이 파일에 포함됩니다.
Packetbeat를 대상으로 특별히 확장하면, packetbeat는 (filebeat와 달리) 사전 정의된 필드가 포함된 이벤트만 생성하므로 packetbeat에서 사용하는 가능한 모든 필드는 fields.yml에 나열됩니다. 다음에서 프로토콜별로 이러한 필드를 볼 수 있습니다.https://github.com/elastic/beats/tree/master/packetbeat/protos 관심 있는 프로토콜이 무엇이든 간에(예:/icmp/_meta/fields.yml)
표시되는 컴파일된 fields.yml은 각 개별 fields.yml 파일의 집합입니다.
이와 관련된 문서를 많이 찾을 수 없습니다., 이 파일이 존재해야 하는 이유를 명확하게 설명하세요. 내 추측은이 yaml 파일은 Elasticsearch 인덱스 템플릿을 생성하는 데 사용됩니다., 비트 단위로, 이것이 대부분의 비트 구성 디렉토리에 존재하는 이유입니다.
인덱스 템플릿에 대한 관련 내용은 여기에서 찾을 수 있습니다. https://www.elastic.co/guide/en/elasticsearch/reference/current/indices-templates.html
GET /index-name(beat의 인덱스 템플릿을 사용한 경우) 또는 이 가이드를 사용하여 인덱스가 매핑된 필드를 가져올 수 있습니다. https://www.elastic.co/guide/en/beats/packetbeat/master/packetbeat-template.html