日志记录字段

日志记录导出的日志记录中可能存在以下字段。尽管日志记录通常格式化为JSON对象，但相同的数据模型也可以应用于其他编码。

要从Elasticsearch和Kibana搜索这些字段，请在搜索时使用完整的点分字段名称。例如，使用Elasticsearch的**`/_search URL`**搜索Kubernetes pod名称时，请使用`/_search/q=kubernetes.pod_name:name-of-my-pod`。

顶级字段可能存在于每个记录中。

原始日志条目文本，UTF-8编码。如果存在非空的`structured`字段，则此字段可能缺失或为空。有关更多信息，请参见`structured`的说明。

原始日志条目作为结构化对象。如果转发器配置为解析结构化JSON日志，则此字段可能存在。如果原始日志条目是有效的结构化日志，则此字段将包含等效的JSON结构。否则，此字段将为空或缺失，而`message`字段将包含原始日志消息。`structured`字段可以包含日志消息中包含的任何子字段，此处未定义任何限制。

UTC值，用于标记日志有效负载创建的时间，如果不知道创建时间，则标记日志有效负载首次收集的时间。“@”前缀表示为特定用途保留的字段。默认情况下，大多数工具都使用ElasticSearch查找“@timestamp”。

此日志消息来源的主机名称。在Kubernetes集群中，这与`kubernetes.host`相同。

源服务器的IPv4地址。可以是数组。

源服务器的IPv6地址（如果可用）。可以是数组。

来自各种来源的日志记录级别，包括`rsyslog(severitytext属性)`、Python日志记录模块以及其他。

以下值来自syslog.h，并在其数字等效项之前。

以下两个值不是syslog.h的一部分，但被广泛使用

将其他日志系统的日志级别或优先级映射到上述列表中最接近的匹配项。例如，来自python logging，您可以将`CRITICAL`与`crit`匹配，将`ERROR`与`err`匹配，依此类推。

如果可用，则为日志记录实体的进程ID。

如果可用，则与日志记录实体关联的服务的名称。例如，syslog的`APP-NAME`和rsyslog的`programname`属性映射到service字段。