Syslog 输入
编辑Syslog 输入
编辑[8.14.0] 在 8.14.0 中已弃用。
Syslog 输入已弃用。请使用 syslog 处理器来处理 syslog 消息。
syslog 输入通过 TCP、UDP 或 Unix 流套接字读取 RFC 3164 和 RFC 5424 指定的 Syslog 事件。
配置示例
filebeat.inputs:
- type: syslog
format: rfc3164
protocol.udp:
host: "localhost:9000"
filebeat.inputs:
- type: syslog
format: rfc5424
protocol.tcp:
host: "localhost:9000"
filebeat.inputs:
- type: syslog
format: auto
protocol.unix:
path: "/path/to/syslog.sock"
配置选项
编辑syslog 输入配置包括格式、协议特定选项以及稍后描述的通用选项。
format
编辑要使用的 syslog 变体,rfc3164 或 rfc5424。要从日志条目自动检测格式,请将此选项设置为 auto。默认值为 rfc3164。
timezone
编辑IANA 时区名称(例如 America/New_York)或固定时间偏移量(例如 +0200),用于解析不包含时区的 syslog 时间戳。Local 可指定为使用机器的本地时区。默认为 Local。
协议 udp
编辑max_message_size
编辑通过 UDP 接收的消息的最大大小。默认值为 10KiB。
host
编辑要侦听事件流的主机和 UDP 端口。
network
编辑网络类型。可接受的值为:“udp”(默认)、“udp4”、“udp6”
read_buffer
编辑UDP 套接字上的读取缓冲区大小。如果未指定,将使用操作系统的默认值。
timeout
编辑套接字操作的读取和写入超时。默认值为 5m。
协议 tcp
编辑max_message_size
编辑通过 TCP 接收的消息的最大大小。默认值为 20MiB。
host
编辑要侦听事件流的主机和 TCP 端口。
network
编辑网络类型。可接受的值为:“tcp”(默认)、“tcp4”、“tcp6”
framing
编辑指定用于拆分传入事件的成帧方式。可以是 delimiter 或 rfc6587。delimiter 使用 line_delimiter 中指定的字符来拆分传入事件。rfc6587 支持 RFC6587 中描述的八位字节计数和非透明成帧。line_delimiter 用于拆分非透明成帧中的事件。默认值为 delimiter。
line_delimiter
编辑指定用于拆分传入事件的字符。默认值为 *\n*。
max_connections
编辑在任何给定时间接受的最大连接数。
timeout
编辑远程连接关闭前的非活动秒数。默认值为 300s。
ssl
编辑SSL 参数的配置选项,例如要使用的证书、密钥和证书颁发机构。
有关更多信息,请参阅SSL。
协议 unix
编辑max_message_size
编辑通过套接字接收的消息的最大大小。默认值为 20MiB。
path
编辑将接收事件的 Unix 套接字的路径。
socket_type
编辑将接收事件的 Unix 套接字的类型。有效值为 stream 和 datagram。默认值为 stream。
group
编辑将由 Filebeat 创建的 Unix 套接字的所有权组。默认值为 Filebeat 运行的用户的主要组名。此选项在 Windows 上被忽略。
mode
编辑将由 Filebeat 创建的 Unix 套接字的文件模式。这应该是八进制字符串的文件模式。默认值为系统默认值(通常为 0755)。
framing
编辑指定用于拆分传入事件的成帧方式。可以是 delimiter 或 rfc6587。delimiter 使用 line_delimiter 中指定的字符来拆分传入事件。rfc6587 支持 RFC6587 中描述的八位字节计数和非透明成帧。line_delimiter 用于拆分非透明成帧中的事件。默认值为 delimiter。
line_delimiter
编辑指定用于拆分传入事件的字符。默认值为 *\n*。
max_connections
编辑在任何给定时间接受的最大连接数。
timeout
编辑连接关闭前的非活动秒数。默认值为 300s。
有关更多信息,请参阅SSL。
通用选项
编辑所有输入都支持以下配置选项。
enabled
编辑使用 enabled 选项启用和禁用输入。默认情况下,启用设置为 true。
tags
编辑Filebeat 在每个已发布事件的 tags 字段中包含的标记列表。标记使您可以轻松地在 Kibana 中选择特定事件或在 Logstash 中应用条件过滤。这些标记将附加到常规配置中指定的标记列表。
示例
filebeat.inputs: - type: syslog . . . tags: ["json"]
fields
编辑您可以指定的可选字段,用于向输出添加其他信息。例如,您可以添加可用于过滤日志数据的字段。字段可以是标量值、数组、字典或这些值的任何嵌套组合。默认情况下,您在此处指定的字段将分组在输出文档中的 fields 子字典下。要将自定义字段存储为顶级字段,请将 fields_under_root 选项设置为 true。如果在常规配置中声明了重复字段,则其值将被此处声明的值覆盖。
filebeat.inputs:
- type: syslog
. . .
fields:
app_id: query_engine_12
fields_under_root
编辑如果此选项设置为 true,则自定义字段将作为输出文档中的顶级字段存储,而不是分组在 fields 子字典下。如果自定义字段名称与 Filebeat 添加的其他字段名称冲突,则自定义字段将覆盖其他字段。
processors
编辑要应用于输入数据的处理器列表。
有关在配置中指定处理器的信息,请参阅处理器。
pipeline
编辑为此输入生成的事件设置的摄取管道 ID。
管道 ID 也可以在 Elasticsearch 输出中配置,但此选项通常会导致更简单的配置文件。如果管道在输入和输出中都配置,则使用来自输入的选项。
keep_null
编辑如果此选项设置为 true,则具有 null 值的字段将发布在输出文档中。默认情况下,keep_null 设置为 false。
index
编辑如果存在,此格式化字符串将覆盖来自此输入的事件的索引(对于 Elasticsearch 输出),或者设置事件元数据的 raw_index 字段(对于其他输出)。此字符串只能引用代理名称和版本以及事件时间戳;要访问动态字段,请使用 output.elasticsearch.index 或处理器。
示例值:"%{[agent.name]}-myindex-%{+yyyy.MM.dd}" 可能会展开为 "filebeat-myindex-2019.11.01"。
publisher_pipeline.disable_host
编辑默认情况下,所有事件都包含 host.name。此选项可以设置为 true 以禁用向所有事件添加此字段。默认值为 false。