容器输入
编辑容器输入
编辑使用 container 输入读取容器日志文件。
此输入在给定路径下搜索容器日志,并将其解析为常见的消息行,同时提取时间戳。所有操作都在行过滤、多行和 JSON 解码之前进行,因此此输入可以与这些设置组合使用。
配置示例
/var/log/containers/.log 通常是 /var/log/pods//*/.log 的符号链接,因此可以相应地编辑上述路径
配置选项
编辑container 输入支持以下配置选项以及稍后描述的 通用选项。
stream
编辑仅从指定的流读取:all、stdout 或 stderr。默认值为 all。
format
编辑读取日志文件时使用给定的格式:auto、docker 或 cri。默认值为 auto,它会自动检测格式。要禁用自动检测,请设置其他任何选项。
以下输入配置 Filebeat 从默认 Kubernetes 日志路径下的所有容器读取 stdout 流
- type: container
stream: stdout
paths:
- "/var/log/containers/*.log"
encoding
编辑用于读取包含国际字符的数据的文件编码。请参阅 W3C 推荐在 HTML5 中使用的编码名称。
有效编码
-
plain:纯 ASCII 编码 -
utf-8或utf8:UTF-8 编码 -
gbk:简体中文字符 -
iso8859-6e:ISO8859-6E,拉丁/阿拉伯语 -
iso8859-6i:ISO8859-6I,拉丁/阿拉伯语 -
iso8859-8e:ISO8859-8E,拉丁/希伯来语 -
iso8859-8i:ISO8859-8I,拉丁/希伯来语 -
iso8859-1:ISO8859-1,拉丁-1 -
iso8859-2:ISO8859-2,拉丁-2 -
iso8859-3:ISO8859-3,拉丁-3 -
iso8859-4:ISO8859-4,拉丁-4 -
iso8859-5:ISO8859-5,拉丁/西里尔语 -
iso8859-6:ISO8859-6,拉丁/阿拉伯语 -
iso8859-7:ISO8859-7,拉丁/希腊语 -
iso8859-8:ISO8859-8,拉丁/希伯来语 -
iso8859-9:ISO8859-9,拉丁-5 -
iso8859-10:ISO8859-10,拉丁-6 -
iso8859-13:ISO8859-13,拉丁-7 -
iso8859-14:ISO8859-14,拉丁-8 -
iso8859-15:ISO8859-15,拉丁-9 -
iso8859-16:ISO8859-16,拉丁-10 -
cp437:IBM 代码页 437 -
cp850:IBM 代码页 850 -
cp852:IBM 代码页 852 -
cp855:IBM 代码页 855 -
cp858:IBM 代码页 858 -
cp860:IBM 代码页 860 -
cp862:IBM 代码页 862 -
cp863:IBM 代码页 863 -
cp865:IBM 代码页 865 -
cp866:IBM 代码页 866 -
ebcdic-037:IBM 代码页 037 -
ebcdic-1040:IBM 代码页 1140 -
ebcdic-1047:IBM 代码页 1047 -
koi8r:KOI8-R,俄语(西里尔语) -
koi8u:KOI8-U,乌克兰语(西里尔语) -
macintosh:Macintosh 编码 -
macintosh-cyrillic:Macintosh 西里尔编码 -
windows1250:Windows1250,中欧和东欧 -
windows1251:Windows1251,俄语、塞尔维亚语(西里尔语) -
windows1252:Windows1252,旧版 -
windows1253:Windows1253,现代希腊语 -
windows1254:Windows1254,土耳其语 -
windows1255:Windows1255,希伯来语 -
windows1256:Windows1256,阿拉伯语 -
windows1257:Windows1257,爱沙尼亚语、拉脱维亚语、立陶宛语 -
windows1258:Windows1258,越南语 -
windows874:Windows874,ISO/IEC 8859-11,拉丁/泰语 -
utf-16-bom:带有必需 BOM 的 UTF-16 -
utf-16be-bom:带有必需 BOM 的大端 UTF-16 -
utf-16le-bom:带有必需 BOM 的小端 UTF-16
plain 编码是特殊的,因为它不验证或转换任何输入。
exclude_lines
编辑要排除的行的正则表达式列表。Filebeat 会丢弃列表中与正则表达式匹配的任何行。默认情况下,不丢弃任何行。空行将被忽略。
如果还指定了 多行设置,则每个多行消息会合并为一行,然后由 exclude_lines 过滤这些行。
以下示例配置 Filebeat 丢弃任何以 DBG 开头的行。
filebeat.inputs: - type: container ... exclude_lines: ['^DBG']
有关支持的 regexp 模式列表,请参阅 正则表达式支持。
include_lines
编辑要包含的行的正则表达式列表。Filebeat 仅导出列表中与正则表达式匹配的行。默认情况下,会导出所有行。空行将被忽略。
如果还指定了 多行设置,则每个多行消息会合并为一行,然后由 include_lines 过滤这些行。
以下示例配置 Filebeat 导出任何以 ERR 或 WARN 开头的行
filebeat.inputs: - type: container ... include_lines: ['^ERR', '^WARN']
如果同时定义了 include_lines 和 exclude_lines,则 Filebeat 会先执行 include_lines,然后再执行 exclude_lines。这两个选项的定义顺序无关紧要。include_lines 选项始终会在 exclude_lines 选项之前执行,即使 exclude_lines 出现在配置文件中 include_lines 之前也是如此。
以下示例导出包含 sometext 的所有日志行,但以 DBG 开头的行(调试消息)除外
filebeat.inputs: - type: container ... include_lines: ['sometext'] exclude_lines: ['^DBG']
有关支持的 regexp 模式列表,请参阅 正则表达式支持。
harvester_buffer_size
编辑每个 harvester 在获取文件时使用的缓冲区大小(以字节为单位)。默认值为 16384。
max_bytes
编辑单个日志消息可以包含的最大字节数。超过 max_bytes 的所有字节都将被丢弃,并且不会发送。此设置对于可能会变得很大的多行日志消息尤其有用。默认值为 10MB (10485760)。
json
编辑这些选项使 Filebeat 可以解码结构为 JSON 消息的日志。Filebeat 逐行处理日志,因此只有每行有一个 JSON 对象时,JSON 解码才有效。
解码发生在行过滤和多行之前。如果设置了 message_key 选项,则可以将 JSON 解码与过滤和多行组合使用。这在应用程序日志包装在 JSON 对象中时(例如 Docker 的情况)很有帮助。
配置示例
json.keys_under_root: true json.add_error_key: true json.message_key: log
您必须指定以下至少一个设置才能启用 JSON 解析模式
-
keys_under_root - 默认情况下,解码后的 JSON 放在输出文档的 “json” 键下。如果启用此设置,则键会复制到输出文档的顶层。默认值为 false。
-
overwrite_keys - 如果启用
keys_under_root和此设置,则如果发生冲突,解码后的 JSON 对象中的值将覆盖 Filebeat 通常添加的字段(类型、源、偏移量等)。 -
expand_keys - 如果启用此设置,Filebeat 将以递归方式取消解码后的 JSON 中的点分隔键,并将其展开为分层对象结构。例如,
{"a.b.c": 123}将展开为{"a":{"b":{"c":123}}}。当输入由 ECS 记录器 生成时,应启用此设置。 -
add_error_key - 如果启用此设置,则在 JSON 取消编组错误时或在配置中定义了
message_key但无法使用时,Filebeat 会添加 “error.message” 和 “error.type: json” 键。 -
message_key - 一个可选的配置设置,用于指定要对其应用行过滤和多行设置的 JSON 键。如果指定,则键必须位于 JSON 对象的顶层,并且与该键关联的值必须为字符串,否则不会发生任何过滤或多行聚合。
-
document_id - 可选的配置设置,用于指定用于设置文档 ID 的 JSON 键。如果配置,该字段将从原始 JSON 文档中删除并存储在
@metadata._id中 -
ignore_decoding_error - 一个可选的配置设置,用于指定是否应记录 JSON 解码错误。如果设置为 true,则不会记录错误。默认值为 false。
multiline
编辑用于控制 Filebeat 如何处理跨越多行的日志消息的选项。有关配置多行选项的更多信息,请参阅多行消息。
exclude_files
编辑要使 Filebeat 忽略的文件的正则表达式列表。默认情况下,不排除任何文件。
以下示例将 Filebeat 配置为忽略所有具有 gz 扩展名的文件。
filebeat.inputs: - type: container ... exclude_files: ['\.gz$']
有关支持的 regexp 模式列表,请参阅 正则表达式支持。
ignore_older
编辑如果启用此选项,Filebeat 将忽略在指定时间跨度之前修改的任何文件。如果长时间保留日志文件,配置 ignore_older 尤其有用。例如,如果要启动 Filebeat,但只想发送最新的文件和上周的文件,可以配置此选项。
可以使用诸如 2h(2 小时)和 5m(5 分钟)之类的时间字符串。默认值为 0,这将禁用此设置。注释掉配置与将其设置为 0 的效果相同。
必须将 ignore_older 设置为大于 close_inactive。
受此设置影响的文件分为两类:
- 从未采集过的文件
- 已采集但更新时间超过
ignore_older的文件
对于从未见过的文件,偏移状态设置为文件末尾。如果状态已存在,则不会更改偏移量。如果稍后再次更新文件,则读取将从设置的偏移位置继续。
ignore_older 设置依赖于文件的修改时间来确定是否忽略文件。如果写入文件时文件的修改时间未更新(这可能在 Windows 上发生),则 ignore_older 设置可能会导致 Filebeat 忽略文件,即使稍后添加了内容。
要从注册表文件中删除以前采集的文件的状态,请使用 clean_inactive 配置选项。
在 Filebeat 可以忽略文件之前,必须关闭该文件。为确保在忽略文件时不再采集该文件,必须将 ignore_older 设置为比 close_inactive 更长的持续时间。
如果当前正在采集的文件属于 ignore_older,则采集器将首先完成读取文件,并在达到 close_inactive 后关闭该文件。然后,此后,将忽略该文件。
close_*
编辑close_* 配置选项用于在满足特定条件或时间后关闭采集器。关闭采集器意味着关闭文件句柄。如果在采集器关闭后更新文件,则将在 scan_frequency 经过后再次拾取该文件。但是,如果在采集器关闭时移动或删除该文件,则 Filebeat 将无法再次拾取该文件,并且采集器尚未读取的任何数据都将丢失。close_* 设置在 Filebeat 尝试从文件读取时同步应用,这意味着如果 Filebeat 由于输出阻塞、队列已满或其他问题而处于阻塞状态,则本来会被关闭的文件将保持打开状态,直到 Filebeat 再次尝试从该文件读取。
close_inactive
编辑启用此选项后,如果文件在指定持续时间内未被采集,Filebeat 将关闭文件句柄。定义的周期的计数器在采集器读取最后一个日志行时开始。它不是基于文件的修改时间。如果关闭的文件再次更改,则会启动一个新的采集器,并且将在 scan_frequency 经过后拾取最新的更改。
我们建议将 close_inactive 设置为大于日志文件最不频繁的更新的值。例如,如果您的日志文件每隔几秒钟更新一次,则可以将 close_inactive 安全地设置为 1m。如果日志文件的更新速率非常不同,则可以使用具有不同值的多个配置。
将 close_inactive 设置为较低的值意味着文件句柄会更快地关闭。但是,这会产生一个副作用,即如果采集器关闭,则不会以近乎实时的方式发送新的日志行。
关闭文件的时间戳不依赖于文件的修改时间。相反,Filebeat 使用内部时间戳,该时间戳反映了上次采集文件的时间。例如,如果 close_inactive 设置为 5 分钟,则 5 分钟的倒计时在采集器读取文件的最后一行后开始。
可以使用诸如 2h(2 小时)和 5m(5 分钟)之类的时间字符串。默认值为 5m。
close_renamed
编辑仅当您了解数据丢失是潜在的副作用时,才使用此选项。
启用此选项后,当文件重命名时,Filebeat 将关闭文件句柄。例如,在轮换文件时会发生这种情况。默认情况下,采集器保持打开状态并继续读取文件,因为文件句柄不依赖于文件名。如果启用了 close_renamed 选项,并且以不再与为路径指定的模式匹配的方式重命名或移动了文件,则不会再次拾取该文件。Filebeat 将不会完成读取文件。
配置基于 path 的 file_identity 时,请勿使用此选项。启用该选项没有意义,因为 Filebeat 无法使用路径名作为唯一标识符来检测重命名。
WINDOWS:如果您的 Windows 日志轮换系统因无法轮换文件而显示错误,则应启用此选项。
close_removed
编辑启用此选项后,当删除文件时,Filebeat 将关闭采集器。通常,只有在文件处于非活动状态的时间达到 close_inactive 指定的时间后,才应删除文件。但是,如果文件过早删除,并且您不启用 close_removed,则 Filebeat 会保持文件打开状态以确保采集器已完成。如果此设置导致文件因过早地从磁盘中删除而未完全读取,请禁用此选项。
默认情况下启用此选项。如果禁用此选项,还必须禁用 clean_removed。
WINDOWS:如果您的 Windows 日志轮换系统因无法轮换文件而显示错误,请确保已启用此选项。
close_eof
编辑仅当您了解数据丢失是潜在的副作用时,才使用此选项。
启用此选项后,Filebeat 将在到达文件末尾后立即关闭文件。当您的文件仅写入一次且不会不时更新时,此选项很有用。例如,当您将每个日志事件写入新文件时,会发生这种情况。默认情况下禁用此选项。
close_timeout
编辑仅当您了解数据丢失是潜在的副作用时,才使用此选项。另一个副作用是,在超时到期之前,可能无法完全发送多行事件。
启用此选项后,Filebeat 会为每个采集器提供一个预定义的生命周期。无论读取器在文件中的哪个位置,读取都将在 close_timeout 期间经过后停止。当您只想在文件上花费预定义的时间量时,此选项对于较旧的日志文件很有用。虽然 close_timeout 将在预定义的超时后关闭文件,但如果文件仍在更新,Filebeat 将根据定义的 scan_frequency 再次启动新的采集器。并且此采集器的 close_timeout 将再次开始超时倒计时。
如果输出被阻止,此选项尤其有用,这使得 Filebeat 即使对于已从磁盘删除的文件也保持打开文件句柄。将 close_timeout 设置为 5m 可确保定期关闭文件,以便操作系统可以释放它们。
如果将 close_timeout 设置为等于 ignore_older,则如果文件在采集器关闭时被修改,则不会拾取该文件。这种设置组合通常会导致数据丢失,并且不会发送完整的文件。
当您对包含多行事件的日志使用 close_timeout 时,采集器可能会在多行事件的中间停止,这意味着只会发送部分事件。如果再次启动采集器并且文件仍然存在,则只会发送事件的第二部分。
此选项的默认值为 0,这意味着已禁用。
clean_*
编辑clean_* 选项用于清理注册表文件中的状态条目。这些设置有助于减小注册表文件的大小,并可以防止潜在的 inode 重用问题。
clean_inactive
编辑仅当您了解数据丢失是潜在的副作用时,才使用此选项。
启用此选项后,Filebeat 将在指定的非活动时间段过后删除文件的状态。只有当文件已被 Filebeat 忽略(文件早于 ignore_older)时,才能删除状态。clean_inactive 设置必须大于 ignore_older + scan_frequency,以确保在仍在采集文件时不会删除任何状态。否则,该设置可能会导致 Filebeat 不断重新发送全部内容,因为 clean_inactive 会删除 Filebeat 仍在检测到的文件的状态。如果文件更新或再次出现,则会从头开始读取该文件。
clean_inactive 配置选项对于减小注册表文件的大小很有用,尤其是在每天生成大量新文件的情况下。
此配置选项还可用于防止因 Linux 上 inode 重用而导致 Filebeat 出现问题。有关更多信息,请参阅Inode 重用导致 Filebeat 跳过行。
每次重命名文件时,都会更新文件状态,并且 clean_inactive 的计数器会再次从 0 开始。
在测试期间,您可能会注意到注册表包含应根据 clean_inactive 设置删除的状态条目。发生这种情况是因为 Filebeat 在再次打开注册表以读取另一个文件之前不会删除这些条目。如果您正在测试 clean_inactive 设置,请确保 Filebeat 配置为从多个文件读取,否则文件状态将永远不会从注册表中删除。
clean_removed
编辑启用此选项后,如果 Filebeat 在磁盘上找不到具有上次已知名称的文件,则会从注册表中清除这些文件。这也意味着在收割器完成后重命名的文件将被删除。默认情况下启用此选项。
如果共享驱动器短时间消失后又重新出现,则所有文件将从头开始重新读取,因为状态已从注册表文件中删除。在这种情况下,我们建议您禁用 clean_removed 选项。
如果还禁用了 close_removed,则必须禁用此选项。
scan_frequency
编辑Filebeat 检查要收割的路径中是否有新文件的频率。例如,如果您指定类似 /var/log/* 的 glob,则会使用 scan_frequency 指定的频率扫描目录中的文件。指定 1 秒以尽可能频繁地扫描目录,而不会导致 Filebeat 扫描过于频繁。我们不建议将此值设置为 <1 秒。
如果您要求以近乎实时的方式发送日志行,请不要使用非常低的 scan_frequency,而是调整 close_inactive,以便文件句柄保持打开状态并不断轮询您的文件。
默认设置为 10 秒。
scan.sort
编辑此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 约束。
如果为此设置指定空字符串以外的值,则可以使用 scan.order 确定是使用升序还是降序。可能的值为 modtime 和 filename。要按文件修改时间排序,请使用 modtime,否则请使用 filename。将此选项保留为空以禁用它。
如果为此设置指定一个值,则可以使用 scan.order 配置是否按升序或降序扫描文件。
默认设置已禁用。
scan.order
编辑此功能处于技术预览阶段,可能会在将来的版本中更改或删除。Elastic 将努力解决任何问题,但技术预览中的功能不受官方 GA 功能的支持 SLA 约束。
指定当 scan.sort 设置为 none 以外的值时,是使用升序还是降序。可能的值为 asc 或 desc。
默认设置为 asc。
tail_files
编辑如果此选项设置为 true,则 Filebeat 将从每个文件的末尾而不是开头开始读取新文件。当此选项与日志轮换结合使用时,可能会跳过新文件中的第一个日志条目。默认设置为 false。
此选项适用于 Filebeat 尚未处理的文件。如果您之前运行过 Filebeat 并且文件的状态已持久化,则 tail_files 将不适用。收割将在之前的偏移量处继续。要将 tail_files 应用于所有文件,您必须停止 Filebeat 并删除注册表文件。请注意,这样做会删除所有以前的状态。
您可以使用此设置来避免在首次在一组日志文件上运行 Filebeat 时索引旧日志行。第一次运行后,我们建议禁用此选项,否则您可能会在文件轮换期间丢失行。
symlinks
编辑symlinks 选项允许 Filebeat 除了常规文件之外还收割符号链接。收割符号链接时,Filebeat 会打开并读取原始文件,即使它报告符号链接的路径也是如此。
当您配置要收割的符号链接时,请确保原始路径已排除。如果配置单个输入以同时收割符号链接和原始文件,Filebeat 将检测到问题,并且仅处理它找到的第一个文件。但是,如果配置了两个不同的输入(一个读取符号链接,另一个读取原始路径),则将收割这两个路径,从而导致 Filebeat 发送重复数据,并且输入会覆盖彼此的状态。
如果指向日志文件的符号链接的文件名中包含其他元数据,并且您希望在 Logstash 中处理该元数据,则 symlinks 选项非常有用。例如,Kubernetes 日志文件就是这种情况。
由于此选项可能会导致数据丢失,因此默认情况下禁用此选项。
backoff
编辑退避选项指定 Filebeat 检查打开的文件以进行更新的积极程度。在大多数情况下,您可以使用默认值。
backoff 选项定义 Filebeat 在达到 EOF 后再次检查文件之前等待的时间。默认值为 1 秒,这意味着如果添加了新行,则每秒检查一次该文件。这支持近乎实时的爬网。每次文件中出现新行时,backoff 值都会重置为初始值。默认值为 1 秒。
max_backoff
编辑Filebeat 在达到 EOF 后再次检查文件之前等待的最长时间。多次退避检查文件后,无论为 backoff_factor 指定什么,等待时间都不会超过 max_backoff。由于读取新行最多需要 10 秒,因此为 max_backoff 指定 10 秒意味着,最坏的情况是,如果 Filebeat 已多次退避,则可以在日志文件中添加新行。默认值为 10 秒。
要求:将 max_backoff 设置为大于或等于 backoff 且小于或等于 scan_frequency (backoff <= max_backoff <= scan_frequency)。如果 max_backoff 需要更高,则建议关闭文件句柄,让 Filebeat 再次拾取该文件。
backoff_factor
编辑此选项指定等待时间增加的速度。退避因子越大,达到 max_backoff 值的速度就越快。退避因子呈指数增长。允许的最小值是 1。如果此值设置为 1,则禁用退避算法,并且使用 backoff 值等待新行。backoff 值每次都会与 backoff_factor 相乘,直到达到 max_backoff。默认值为 2。
harvester_limit
编辑harvester_limit 选项限制为一个输入并行启动的收割器的数量。这直接关系到打开的最大文件句柄数。harvester_limit 的默认值为 0,这意味着没有限制。如果要收割的文件数量超过操作系统的打开文件句柄限制,则此配置非常有用。
限制收割器的数量意味着并非所有文件都可能并行打开。因此,我们建议您将此选项与 close_* 选项结合使用,以确保更频繁地停止收割器,以便可以拾取新文件。
当前,如果可以再次启动新的收割器,则会随机选取收割器。这意味着,刚刚关闭然后再次更新的文件的收割器可能会启动,而不是长时间未收割的文件的收割器。
此配置选项适用于每个输入。您可以使用此选项通过分配更高的收割器限制来间接设置某些输入的更高优先级。
file_identity
编辑可以配置不同的 file_identity 方法,以适应您正在收集日志消息的环境。
-
native - Filebeat 的默认行为是使用其 inode 和设备 ID 来区分文件。
file_identity.native: ~
-
path - 要根据文件的路径来标识文件,请使用此策略。
仅当您的日志文件轮换到输入范围之外的文件夹或者根本不轮换时,才使用此策略。否则,您最终会得到重复的事件。
此策略不支持重命名文件。如果重命名了输入文件,则如果新路径与输入的设置匹配,Filebeat 将再次读取该文件。
file_identity.path: ~
-
inode_marker - 如果设备 ID 不时发生变化,则必须使用此方法来区分文件。Windows 不支持此选项。
按以下方式设置标记文件的位置
file_identity.inode_marker.path: /logs/.filebeat-marker
常用选项
编辑所有输入都支持以下配置选项。
enabled
编辑使用 enabled 选项启用和禁用输入。默认情况下,enabled 设置为 true。
tags
编辑Filebeat 在每个已发布事件的 tags 字段中包含的标签列表。标签使在 Kibana 中选择特定事件或在 Logstash 中应用条件过滤变得容易。这些标签将附加到常规配置中指定的标签列表中。
示例
filebeat.inputs: - type: container . . . tags: ["json"]
fields
编辑您可以指定的可选字段,用于将其他信息添加到输出中。例如,您可以添加可用于过滤日志数据的字段。字段可以是标量值、数组、字典或这些的任何嵌套组合。默认情况下,您在此处指定的字段将分组在输出文档的 fields 子字典下。要将自定义字段存储为顶级字段,请将 fields_under_root 选项设置为 true。如果在常规配置中声明了重复字段,则其值将被此处声明的值覆盖。
filebeat.inputs:
- type: container
. . .
fields:
app_id: query_engine_12
fields_under_root
编辑如果此选项设置为 true,则自定义字段将存储为输出文档中的顶级字段,而不是分组在 fields 子字典下。如果自定义字段名称与 Filebeat 添加的其他字段名称冲突,则自定义字段将覆盖其他字段。
processors
编辑要应用于输入数据的处理器列表。
有关在配置中指定处理器的信息,请参阅处理器。
pipeline
编辑为该输入生成的事件设置的摄取管道 ID。
管道 ID 也可以在 Elasticsearch 输出中配置,但此选项通常会生成更简单的配置文件。如果管道在输入和输出中都进行了配置,则使用输入中的选项。
keep_null
编辑如果此选项设置为 true,则具有 null 值的字段将发布在输出文档中。默认情况下,keep_null 设置为 false。
index
编辑如果存在,此格式化字符串将覆盖来自此输入的事件的索引(对于 Elasticsearch 输出),或者设置事件元数据的 raw_index 字段(对于其他输出)。此字符串只能引用代理名称和版本以及事件时间戳;要访问动态字段,请使用 output.elasticsearch.index 或处理器。
示例值:"%{[agent.name]}-myindex-%{+yyyy.MM.dd}" 可能会扩展为 "filebeat-myindex-2019.11.01"。
publisher_pipeline.disable_host
编辑默认情况下,所有事件都包含 host.name。此选项可以设置为 true 以禁用向所有事件添加此字段。默认值为 false。