使用 Ingest Pipeline 解析数据

当您使用 Elasticsearch 作为输出时，您可以配置 Auditbeat 使用 Ingest Pipeline 在 Elasticsearch 中实际索引发生之前预处理文档。当您想对数据进行一些额外的处理，但不需要 Logstash 的全部功能时，Ingest Pipeline 是一种方便的处理选项。例如，您可以在 Elasticsearch 中创建一个 Ingest Pipeline，该管道由一个删除文档中字段的处理器和另一个重命名字段的处理器组成。

在 Elasticsearch 中定义管道后，您只需配置 Auditbeat 使用该管道。要配置 Auditbeat，您需要在 auditbeat.yml 文件中的 elasticsearch 下的 parameters 选项中指定管道 ID。

output.elasticsearch:
  hosts: ["localhost:9200"]
  pipeline: my_pipeline_id

例如，假设您在名为 pipeline.json 的文件中定义了以下管道

{
    "description": "Test pipeline",
    "processors": [
        {
            "lowercase": {
                "field": "agent.name"
            }
        }
    ]
}

要在 Elasticsearch 中添加管道，您需要运行

curl -H 'Content-Type: application/json' -XPUT 'https://127.0.0.1:9200/_ingest/pipeline/test-pipeline' -d@pipeline.json

然后在 auditbeat.yml 文件中，您将指定

output.elasticsearch:
  hosts: ["localhost:9200"]
  pipeline: "test-pipeline"

当您运行 Auditbeat 时，agent.name 的值会在索引之前转换为小写。

有关定义预处理管道的更多信息，请参阅 Ingest Pipeline 文档。