配置 File 输出

编辑

File 输出将事务以 JSON 格式转储到文件中。目前,此输出用于测试,但它可以用作 Logstash 的输入。

要使用此输出,请编辑 Auditbeat 配置文件,通过注释掉来禁用 Elasticsearch 输出,并通过添加 output.file 来启用文件输出。

配置示例

output.file:
  path: "/tmp/auditbeat"
  filename: auditbeat
  #rotate_every_kb: 10000
  #number_of_files: 7
  #permissions: 0600
  #rotate_on_startup: true

配置选项

编辑

您可以在 auditbeat.yml 配置文件中指定以下 output.file 选项

enabled

编辑

enabled 配置是一个布尔值设置,用于启用或禁用输出。如果设置为 false,则禁用输出。

默认值为 true

path

编辑

生成的文件将被保存到的目录的路径。此选项是强制性的。

路径可以包含文件输出初始化时的 时间戳,使用 +FORMAT 语法,其中 FORMAT 是有效的 时间格式,并用扩展大括号括起来: %{+FORMAT}。 例如

path: 'fileoutput-%{+yyyy.MM.dd}'

filename

编辑

生成文件的名称。默认设置为 Beat 名称。例如,默认情况下为 Auditbeat 生成的文件将是 "auditbeat-{{datetime}}.ndjson"、"auditbeat-{{datetime}}-1.ndjson"、"auditbeat-{{datetime}}-2.ndjson" 等。

rotate_every_kb

编辑

每个文件的最大大小,以千字节为单位。当达到此大小时,文件将被轮换。默认值为 10240 KB。

number_of_files

编辑

path 下保存的最大文件数。当达到此文件数时,最旧的文件将被删除,其余文件将从后到前移动。文件数必须在 2 到 1024 之间。默认值为 7。

permissions

编辑

用于文件创建的权限。默认值为 0600。

rotate_on_startup

编辑

如果输出文件在启动时已存在,则立即轮换它并开始写入新文件,而不是附加到现有文件。默认为 true。

codec

编辑

输出编解码器配置。如果缺少 codec 部分,则事件将以 JSON 编码。

有关更多信息,请参阅 更改输出编解码器