« 使用 GeoIP 信息充实事件 在配置中使用环境变量 »
Elastic 文档 Auditbeat 参考 [8.14] 操作指南

使用提取管道解析数据

编辑

使用提取管道解析数据编辑

当您使用 Elasticsearch 进行输出时,可以将 Auditbeat 配置为使用提取管道在 Elasticsearch 中实际索引之前对文档进行预处理。 当您想对数据进行一些额外的处理,但不需要 Logstash 的全部功能时,提取管道是一种方便的处理选项。 例如,您可以在 Elasticsearch 中创建一个提取管道,该管道由一个删除文档中字段的处理器和另一个重命名字段的处理器组成。

在 Elasticsearch 中定义管道后,您只需将 Auditbeat 配置为使用该管道即可。 要配置 Auditbeat,请在 auditbeat.yml 文件中 elasticsearch 下的 parameters 选项中指定管道 ID

output.elasticsearch:
  hosts: ["localhost:9200"]
  pipeline: my_pipeline_id

例如,假设您在名为 pipeline.json 的文件中定义了以下管道

{
    "description": "Test pipeline",
    "processors": [
        {
            "lowercase": {
                "field": "agent.name"
            }
        }
    ]
}

要在 Elasticsearch 中添加管道,您需要运行

curl -H 'Content-Type: application/json' -XPUT 'https://127.0.0.1:9200/_ingest/pipeline/test-pipeline' [email protected]

然后在 auditbeat.yml 文件中,您需要指定

output.elasticsearch:
  hosts: ["localhost:9200"]
  pipeline: "test-pipeline"

当您运行 Auditbeat 时,agent.name 的值在索引之前会转换为小写。

有关定义预处理管道的更多信息,请参阅提取管道文档。

« 使用 GeoIP 信息充实事件 在配置中使用环境变量 »