Unix 输入

unix 输入支持以下配置选项以及稍后描述的常见选项。

通过套接字接收的消息的最大大小。默认值为 20MiB。

接收事件的 Unix 套接字的路径。

接收事件的 Unix 套接字的类型。有效值为 stream 和 datagram。默认值为 stream。

Filebeat 将创建的 Unix 套接字的所有者组。默认值为 Filebeat 运行用户的初始组名称。此选项在 Windows 上被忽略。

Filebeat 将创建的 Unix 套接字的文件模式。这应该是一个八进制字符串形式的文件模式。默认值为系统默认值（通常为 0755）。

指定用于拆分传入事件的帧。可以是 delimiter 或 rfc6587 之一。delimiter 使用 line_delimiter 中指定的字符来拆分传入事件。rfc6587 支持八位字节计数和 RFC6587 中描述的非透明帧。 RFC6587。 line_delimiter 用于拆分非透明帧中的事件。默认值为 delimiter。

指定用于拆分传入事件的字符。默认值为 \n。

在任何给定时间最多接受的连接数。

连接关闭之前的空闲秒数。默认值为 300s。

有关更多信息，请参见SSL。

此输入在HTTP 监控端点下公开指标。这些指标在 /inputs 路径下公开。它们可用于观察输入的活动。

所有输入都支持以下配置选项。

使用 enabled 选项启用和禁用输入。默认情况下，enabled 设置为 true。

Filebeat 在每个发布事件的 tags 字段中包含的一组标签。标签可以轻松地在 Kibana 中选择特定事件或在 Logstash 中应用条件过滤。这些标签将附加到在常规配置中指定的标签列表中。

示例

filebeat.inputs:
- type: unix
  . . .
  tags: ["json"]

您可以指定的一些可选字段，以向输出添加其他信息。例如，您可以添加一些可用于过滤日志数据的字段。字段可以是标量值、数组、字典或这些值的任何嵌套组合。默认情况下，您在此处指定的字段将在输出文档中的 fields 子字典下分组。要将自定义字段存储为顶级字段，请将 fields_under_root 选项设置为 true。如果在常规配置中声明了重复的字段，则其值将被此处声明的值覆盖。

filebeat.inputs:
- type: unix
  . . .
  fields:
    app_id: query_engine_12

如果将此选项设置为 true，则自定义fields 将存储为输出文档中的顶级字段，而不是在 fields 子字典下分组。如果自定义字段名称与 Filebeat 添加的其他字段名称冲突，则自定义字段将覆盖其他字段。

应用于输入数据的处理器列表。

有关在配置中指定处理器的信息，请参见处理器。

为此输入生成的事件设置的摄取管道 ID。

如果将此选项设置为 true，则输出文档中将发布值为 null 的字段。默认情况下，keep_null 设置为 false。

如果存在，此格式化字符串将覆盖此输入事件的索引（对于 elasticsearch 输出），或设置事件元数据的 raw_index 字段（对于其他输出）。此字符串只能引用代理名称和版本以及事件时间戳；要访问动态字段，请使用 output.elasticsearch.index 或处理器。

示例值："%{[agent.name]}-myindex-%{+yyyy.MM.dd}" 可能扩展为 "filebeat-myindex-2019.11.01"。

默认情况下，所有事件都包含 host.name。此选项可以设置为 true 以禁用将此字段添加到所有事件中。默认值为 false。