Определяется процессором
Перед передачей данных конфигурации вывода filebeat, процессор может быть использован для фильтрации и данные расширения. Чтобы определить процессор, потребность имени процессора, дополнительное состояние и набор параметров:
Процессоры: - <processor_name> : Определяет процессор ## выполняет определенные действия , когда: <для состояния условия> ## указать необязательное условие выполняется , если условие выполняется список параметров <параметры> ## передается в процессор - <processor_name > : Когда: <для условия Condition> <Параметры>
Затем процессор, где эффективна?
расположение процессора:
1) В верхней части конфигурации, процессор применяется ко всем данным, собранным filebeat
2) в конкретном входе, процессор, используемый в данных, собранных для ввода, например:
- тип: <input_type> Процессор: - <processor_name> : когда: <условие> <параметры>
Аналогично, для filebeat модуля, модуль процессора может быть определен ввод.
Поддерживаемые процессоры:
①add_cloud_metadata
②add_locale
③decode_json_fields
④drop_event
Удалить событие, если будут выполнены условия, связанные ниже процессор удаляет все события, когда обязательные условия:
Процессоры: - drop_event: когда: состояние
⑤drop_fields
Укажите, какие поля необязательно, если определенные условия выполнены условия падения. Если не хватает, всегда удалять заданные указания. @timestamp и поле типа не может быть падение, даже если они появляются в списке drop_fields.
Процессоры: - drop_fields: когда: состояние полей: [ " field1 " , " field2 " , ...]
⑥include_fields
Какие поля для экспорта, чтобы удовлетворить условия, указанных процессор. Необязательно условии, если не хватает, всегда экспорта для экспорта. @timestamp и типа всегда экспортируются.
Процессоры: - include_fields: когда: состояние полей: [ " field1 " , " field2 " , ...]
⑦rename
Процессор указанного списка имен поля, похожий на пары ключей, каждая пара ключей, содержащая старый ключ и новый ключ, образует имя источника, чтобы имя цели.
В случае имен полей приводит к конфликту, переименовать поле очень полезно, переименовать поле не может быть использован для покрытия поля, чтобы покрыть поле, переименуйте целевое поле, или использовать процессор drop_fields удалять поля, а затем переименовать поле:
Процессоры: - Переименовать: Поля: - от : « AG » в: « ED » ошибки не вошли под фальшивой ## (Необязательно) Если установлено значение истинно, отсутствие переименования ключа по умолчанию является ложным: ignore_missing , fail_on_error: истинный ## (Необязательно) Если установлено значение истинно, то останавливается , когда возникает ошибка переименования поля и вернуться к исходному событию. При возникновении ошибки во время набора к ложным, а затем переименовать, переименование будет продолжаться, по умолчанию верно.
⑧add_kubernetes_metadata
⑨add_docker_metadata
⑩dissect
Используя определенный шаблон входящего строковый тег.
Процессоры: - Проанализируйте: в Tokenizer: " % {%} {key1 Клавишу2} " Поле: " Message " ## (опция), чтобы отметить поле события, по умолчанию Сообщение TARGET_PREFIX: " рассекать " ## (Необязательно) Extract имя поля, процессор будет создан в корневом каталоге ключевых событий. По умолчанию рассекать
состояние
Каждое условие должно быть получение поля для сравнения, условия поддержки:
①equals
Использование равных условий, сравнить поле имеет определенное значение, принимая только условия строку или целое число.
Например, проверка HTTP-код ответа транзакции выполняется условие 200:
равна:
http.response.code: 200
②contains
Содержит проверку, чтобы увидеть, если условие является частью значения поля. Это поле может быть строка или строка представляет собой группу, при условии, принимает только строковые значения.
Например, при выполнении следующих условий проверки, является ли ошибка части состояния дел:
содержит: статус: « Специфическая ошибка »
③regexp
regxep с регулярными выражениями, чтобы проверить состояние, состояние может быть только строка.
Например, если выполняются следующие условия проверки имя процесса, начиная с Foo:
Регулярное выражение: system.process.name: " Foo *. "
④range
Проверьте диапазон полевых условиях представляет собой значение в диапазоне условий поддержки Л.Т., LTE, и GTE GT. Условия принимать только целые или с плавающей точкой.
Сравним, например, следующие проверки не удалось HTTP транзакции поле http.response.code и 400:
Диапазон: http.response.code: GTE: 400
## или может быть записана в виде:
Диапазон:
http.response.code.gte: 400
## следующие проверки состояния , если загрузка процессора в процентах имеет значение в диапазоне от 0,5 до 0,8.
Диапазон:
system.cpu.user.pct.gte: 0,5
system.cpu.user.pct.lt: 0,8
⑤has_fields
Has_fields проверить данные поля, присутствующие в случае, условия принятия указывает, что имя поля и список строк.
Например, чтобы проверить, существуют ли следующие условия в этом поле http.response.code события:
has_fields: [ ' http.response.code ' ]
⑥or
Прием оператора список условий:
или : - <condition1> - <condition2> - <condition3> ...
Например, чтобы настроить или условие http.response.code = 304 http.response.code = 404:
или : - равно: http.response.code: 304 - равно: http.response.code: 404
⑦and
Рабочее состояние список получен, или в том же формате. Он также может быть использован в сочетании с или:
пример:
или : - <condition1> - и : - <condition2> - <condition3>
⑧not
Получив отрицательный условия эксплуатации:
не : <условие>
Например, условие раскладки NOT состояние = нормально
не : равно: Статус: OK
Вы можете использовать, чтобы указать множество полей и при тех же условиях (например: field1 и поля)