什么是fields.yml文件

Question

这里我安装了packetbeat。因此，在学习packetbeat配置的过程中，我在目录/etc/packetbeat中看到了一个文件fields.yml。我试着获取关于那个文件的任何信息，但没有得到消息来源……

请有人告诉我那个文件的工作原理，或者发送任何文件吗？

Answer 1

首先，我不是一个使用包的用户，但我使用了心跳、winlogbeat、文件心跳等.

一般来说，fields.yml包含您的节拍专门使用的字段。在默认情况下，这些字段中的一些被配置为某些值，例如默认为服务器主机名的"name“，在文件节拍的情况下，@Time戳用于跟踪时间，”何时生成事件日志记录“。其他字段可能由您在使用的节拍的主YAML中手动填写。这方面的例子包括“字段”(用于存储用户生成的字段)和“标记”(标记)，这些“标记”允许您和弹性堆栈的其他部分标记数据以进行标识，您可能已经看到logstash将事件标记为"_jsonparsefailure“，或者标记自己的数据以方便地将其与特定的系统或网络相关联。然而，在大多数节拍中，fields.yml中包含的大多数字段都是与您正在收集的信息类型有关的字段，主要的例外是文件拍，因为它的目的是灵活的。这意味着对于winlog节拍、审计节拍、包拍等等。每个受支持事件的每个字段都包含在此文件中。

将其扩展到特定的Packet节拍，因为packet节拍只生成包含预定义字段的事件(与file节拍不同)，所以fields.yml中列出了packet节拍使用的所有可能字段。您可以在每个协议的基础上查看这些字段：https://github.com/elastic/beats/tree/master/packetbeat/protos，在您感兴趣的任何协议下，例如./icmp/_meta/field s.yml。

您看到的编译后fields.yml是每个fields.yml文件的聚合。

关于这一点，我找不到太多的文档，以至于说出了为什么这个文件需要存在的确切原因。我的猜测是，这个yaml文件用于为elasticsearch生成一个索引模板，这就是为什么它存在于大多数节拍的配置目录中。

有关索引模板的相关阅读可以在这里找到：https://www.elastic.co/guide/en/elasticsearch/reference/current/indices-templates.html

您可以获取索引映射使用的字段: GET / index -name (如果使用节拍的索引模板)或使用本指南https://www.elastic.co/guide/en/beats/packetbeat/master/packetbeat-template.html