« 流式输入 TCP 输入 »
Elastic 文档 Filebeat 参考 [8.16] 配置 Filebeat 配置输入

Syslog 输入

编辑

Syslog 输入

编辑

[8.14.0] 已在 8.14.0 中弃用。

Syslog 输入已弃用。请使用 syslog 处理器来处理 syslog 消息。

syslog 输入根据 RFC 3164 和 RFC 5424 指定的格式,通过 TCP、UDP 或 Unix 流套接字读取 Syslog 事件。

示例配置

filebeat.inputs:
- type: syslog
  format: rfc3164
  protocol.udp:
    host: "localhost:9000"
filebeat.inputs:
- type: syslog
  format: rfc5424
  protocol.tcp:
    host: "localhost:9000"
filebeat.inputs:
- type: syslog
  format: auto
  protocol.unix:
    path: "/path/to/syslog.sock"

配置选项

编辑

syslog 输入配置包括格式、协议特定选项以及稍后描述的 通用选项

format

编辑

要使用的 syslog 变体,rfc3164rfc5424。要自动从日志条目中检测格式,请将此选项设置为 auto。默认值为 rfc3164

timezone

编辑

IANA 时区名称(例如 America/New_York)或固定时间偏移量(例如 +0200),在解析不包含时区的 syslog 时间戳时使用。可以指定 Local 以使用机器的本地时区。默认为 Local

协议 udp

编辑

max_message_size

编辑

通过 UDP 接收的消息的最大大小。默认为 10KiB

host

编辑

侦听事件流的主机和 UDP 端口。

network

编辑

网络类型。可接受的值包括:"udp"(默认)、"udp4"、"udp6"

read_buffer

编辑

UDP 套接字上的读取缓冲区大小。如果未指定,则将使用操作系统中的默认值。

timeout

编辑

套接字操作的读取和写入超时时间。默认为 5m

协议 tcp

编辑

max_message_size

编辑

通过 TCP 接收的消息的最大大小。默认为 20MiB

host

编辑

侦听事件流的主机和 TCP 端口。

network

编辑

网络类型。可接受的值包括:"tcp"(默认)、"tcp4"、"tcp6"

framing

编辑

指定用于拆分传入事件的帧。可以是 delimiterrfc6587 之一。delimiter 使用 line_delimiter 中指定的字符来拆分传入事件。rfc6587 支持八位字节计数和非透明帧,如 RFC6587 中所述。line_delimiter 用于在非透明帧中拆分事件。默认为 delimiter

line_delimiter

编辑

指定用于拆分传入事件的字符。默认为 \n

max_connections

编辑

在任何给定时间点接受的最大连接数。

timeout

编辑

远程连接关闭之前的空闲秒数。默认为 300s

ssl
编辑

SSL 参数的配置选项,例如要使用的证书、密钥和证书颁发机构。

有关更多信息,请参见 SSL

协议 unix

编辑

max_message_size

编辑

通过套接字接收的消息的最大大小。默认为 20MiB

path

编辑

将接收事件的 Unix 套接字的路径。

socket_type

编辑

将接收事件的 Unix 套接字的类型。有效值为 streamdatagram。默认为 stream

group

编辑

Filebeat 将创建的 Unix 套接字的组所有权。默认为 Filebeat 运行的用户的主组名称。此选项在 Windows 上被忽略。

mode

编辑

Filebeat 将创建的 Unix 套接字的文件模式。这应为八进制字符串形式的文件模式。默认值为系统默认值(通常为 0755)。

framing

编辑

指定用于拆分传入事件的帧。可以是 delimiterrfc6587 之一。delimiter 使用 line_delimiter 中指定的字符来拆分传入事件。rfc6587 支持八位字节计数和非透明帧,如 RFC6587 中所述。line_delimiter 用于在非透明帧中拆分事件。默认为 delimiter

line_delimiter

编辑

指定用于拆分传入事件的字符。默认为 \n

max_connections

编辑

在任何给定时间点接受的最大连接数。

timeout

编辑

连接关闭之前的空闲秒数。默认为 300s

有关更多信息,请参见 SSL

通用选项

编辑

所有输入都支持以下配置选项。

enabled
编辑

使用 enabled 选项启用和禁用输入。默认情况下,enabled 设置为 true。

tags
编辑

Filebeat 在每个发布事件的 tags 字段中包含的一系列标签。标签使您能够轻松地在 Kibana 中选择特定事件或在 Logstash 中应用条件过滤。这些标签将附加到在常规配置中指定的标签列表中。

示例

filebeat.inputs:
- type: syslog
  . . .
  tags: ["json"]
fields
编辑

您可以指定的可选字段,以向输出添加其他信息。例如,您可能会添加可用于过滤日志数据的字段。字段可以是标量值、数组、字典或这些值的任何嵌套组合。默认情况下,您在此处指定的字段将分组在输出文档中的 fields 子字典下。要将自定义字段存储为顶级字段,请将 fields_under_root 选项设置为 true。如果在常规配置中声明了重复字段,则其值将被此处声明的值覆盖。

filebeat.inputs:
- type: syslog
  . . .
  fields:
    app_id: query_engine_12
fields_under_root
编辑

如果将此选项设置为 true,则自定义 fields 将存储为输出文档中的顶级字段,而不是分组在 fields 子字典下。如果自定义字段名称与 Filebeat 添加的其他字段名称冲突,则自定义字段将覆盖其他字段。

processors
编辑

要应用于输入数据的一系列处理器。

有关在配置中指定处理器的信息,请参见 处理器

pipeline
编辑

为此输入生成的事件设置的摄取管道 ID。

管道 ID 也可以在 Elasticsearch 输出中配置,但此选项通常会生成更简单的配置文件。如果在输入和输出中都配置了管道,则使用输入中的选项。

keep_null
编辑

如果将此选项设置为 true,则输出文档中将发布具有 null 值的字段。默认情况下,keep_null 设置为 false

index
编辑

如果存在,此格式化字符串将覆盖此输入的事件的索引(对于 elasticsearch 输出),或设置事件元数据的 raw_index 字段(对于其他输出)。此字符串只能引用代理名称和版本以及事件时间戳;要访问动态字段,请使用 output.elasticsearch.index 或处理器。

示例值:"%{[agent.name]}-myindex-%{+yyyy.MM.dd}" 可能会扩展为 "filebeat-myindex-2019.11.01"

publisher_pipeline.disable_host
编辑

默认情况下,所有事件都包含 host.name。可以将此选项设置为 true 以禁用将此字段添加到所有事件中。默认值为 false

« 流式输入 TCP 输入 »