Elastic Beats 9.x 版本发布说明与技术解析-优快云博客

Elastic Beats 9.x 版本发布说明与技术解析

Elastic Beats 是一组轻量级数据收集器，用于将各种类型的数据发送到 Elasticsearch 或 Logstash 进行处理。本文详细解析 Beats 9.0.0 和 9.0.1 版本的重要更新内容，帮助用户了解新特性和改进。

云元数据处理改进
- 所有 Beats 现在可以在 Azure 环境中通过 add_cloud_metadata 处理器发布 cloud.availability_zone 字段，提供更详细的云环境信息。
Filebeat 功能增强
- Entity Analytics 输入的 Okta 提供程序新增分页批量大小支持
- CEL mito 扩展更新至 v1.19.0 版本
- 新增 unifiedlogs 输入，专门用于 MacOS 系统日志收集
Heartbeat 升级
- Node.js 版本升级至最新的 LTS 版本 v18.20.7
Metricbeat 改进
- Azure monitor 新增 enable_batch_api 选项，支持使用 Azure 批处理 API 收集多个资源的指标

跨平台兼容性
- 修复 Windows 服务数据收集时的权限错误处理，现在会跳过受影响的服务而不是中断整个收集过程
Filebeat 稳定性
- 修复 WebSocket 输入在网络错误或服务器崩溃时的 panic 问题
- 优化 Filestream 的日志级别，减少"reader closed"消息的日志干扰
文档修正
- 修复 CEL mito 扩展函数在输入文档中的链接错误

Filebeat 重大改进
- 新增对 Amazon EventBridge 通过 SQS 到 S3 输入的原生支持
- 注册表现在包含在 Elastic-Agent 诊断包中
- 新增 MacOS unifiedlogs 输入
- 为 AWS S3 输入添加 ignore older 和开始时间戳过滤器
- Journald 输入现在可以报告状态给 Elastic-Agent
- Journald 输入正式成为 GA(Generally Available)功能
Heartbeat 增强
- HTTP 监视器新增对 RFC7231 方法的支持
Metricbeat 新功能
- Kubernetes 模块新增 use_kubeadm 配置选项
- 新增基准测试模块
- 优化 ES 节点/状态指标的字段收集
Winlogbeat 改进
- 实验性 API 正式发布并重命名为 winlogbeat-raw
- 移除 22 条限制
- 新增对可恢复的发布者禁用错误的处理
系统级更新
- Go 版本升级至 1.24.0
- 移除 Functionbeat 二进制文件

安全与隐私
- 在 HTTPJSON 调试日志中隐藏授权头信息
- 防止 ActiveDirectory Entity Analytics 提供程序返回计算机详细信息
稳定性改进
- 修复 Journald 处理 journalctl 重启的问题
- 修复全局速率限制处理器中的竞争条件
- 修复 Metricbeat 意外触发 Windows ASR 的问题
数据准确性
- 更新 S3 事件的 _id 生成过程以包含 LastModified 字段
- 修复 Packetbeat 中 ECS 字段的嵌套结构编组问题

9.x 版本显著增强了云环境下的元数据收集能力，特别是对 Azure 和 AWS 的支持。新增的 cloud.availability_zone 字段为云环境下的故障排查和性能分析提供了更精确的位置信息。

Filebeat 新增的 unifiedlogs 输入填补了 MacOS 系统日志收集的空白，而 Journald 输入的 GA 标志着 Linux 系统日志收集功能的成熟。这些改进使 Beats 能够覆盖更广泛的操作系统环境。

Metricbeat 的基准测试模块和 Azure 批处理 API 支持都是针对大规模环境设计的性能优化。通过减少 API 调用次数和提供性能基准，这些功能可以帮助用户更好地规划和优化监控系统。

版本中多处安全改进，包括敏感信息的日志过滤、权限错误处理等，都体现了 Elastic 对安全性的重视。特别是对 Windows ASR 的修复，解决了实际部署中可能遇到的兼容性问题。

对于计划升级到 9.x 版本的用户，建议：

9.x 版本带来了多项重要改进和新功能，特别是在云环境支持、输入源扩展和性能优化方面。这些更新使 Beats 能够更好地服务于现代分布式系统的监控需求。

创作声明：本文部分内容由AI辅助生成（AIGC），仅供参考