packetbeat抓取HTTP包-字段释义
韩智敏
最近在学习,先记录一下。
官网信息:https://www.elastic.co/guide/en/beats/packetbeat/current/exported-fields-ecs.html#_http
{
"@timestamp": "2020-03-14T13:02:18.774Z", //事件发生的日期/时间。这是从事件中提取的日期/时间,通常表示源何时生成事件。如果事件源没有原始时间戳,则通常在管道第一次接收事件时填充此值。所有事件的必填字段。
"@metadata": {
"beat": "packetbeat",
"type": "doc",
"version": "6.7.2"
},
"path": "/school-evaluation/paper/check/findPaperList", //事务引用的路径。
//对于HTTP,这是URL。对于SQL数据库,这是表名。对于键值存储,这是键
"type": "http",
"host": { //为哪个主机收集的信息,操作系统的代写
"name": "smiles"
},
"ip": "192.168.8.8", //主机ip
"http": {
"request": {
"params": "*****",//请求参数。对于HTTP,这些是POST或GET参数。
//对于Thrift-RPC,这些是来自请求的参数。
"headers": {
"content-length": 83,
"content-type": "application/x-www-form-urlencoded"
}
},
"response": {
"headers": {
"content-length": 104240,
"content-type": "application/json;charset=UTF-8"
},
"code": 200,
"phrase": ""
}
},
"method": "POST", //事务的命令/动词/方法。对于HTTP,这是方法名(GET、POST、PUT等),
//对于SQL,这是动词(SELECT、UPDATE、DELETE等)
"port": 8080,
"client_port": 56627, //客户端端口号
"client_ip": "192.168.8.2", //客户端ip地址
"server": "",
"direction": "in", //网络流量的方向
//*inbound 入站 *outbound 出站 *internal 内置 * external 外部 * unknown 未知
"beat": {
"version": "6.7.2",
"name": "smiles",
"hostname": "smiles"
},
"bytes_in": 905, //请求的字节数。注意,这个大小是应用层消息长度,不包括IP或TCP报头的长度
//别名:source.bytes
"client_proc": "",
"responsetime": 239,
"query": "POST /school-evaluation/paper/check/findPaperList",//以人类可读格式的查询。
//对于HTTP,通常这样:GET /users/_search?name=test
//对于MySQL,像这样: SELECT id from users where name=test.
"status": "OK", //事务的高级状态。计算这个值的方法取决于协议,但是结果的意义与协议无关。
"client_server": "",
"bytes_out": 104730, //响应的字节数。注意,这个大小是应用层消息长度,不包括IP或TCP报头的长度。
//别名:destination.bytes
"proc": ""
}
//其他字段:
"notes" : //来自Packetbeat自身的消息。该字段通常包含解释原始数据的错误消息。
//别名:error.message //这些信息对故障排除很有帮助。
类似资料: