Unix 输入

unix 输入支持以下配置选项以及稍后描述的 通用选项。

通过套接字接收的消息的最大大小。默认值为 20MiB。

将接收事件的 Unix 套接字的路径。

将接收事件的 Unix 套接字的类型。有效值为 stream 和 datagram。默认值为 stream。

将由 Filebeat 创建的 Unix 套接字的所有者组。默认值是 Filebeat 运行的用户的主组名。此选项在 Windows 上被忽略。

将由 Filebeat 创建的 Unix 套接字的文件模式。这应该是一个八进制字符串形式的文件模式。默认值是系统默认值（通常为 0755）。

指定用于拆分传入事件的成帧方式。可以是 delimiter 或 rfc6587。delimiter 使用 line_delimiter 中指定的字符来拆分传入事件。rfc6587 支持八位字节计数和非透明成帧，如 RFC6587 中所述。line_delimiter 用于拆分非透明成帧中的事件。默认值为 delimiter。

指定用于拆分传入事件的字符。默认值为 *\n*。

在任何给定时间要接受的最大连接数。

在连接关闭之前的不活动秒数。默认值为 300s。

有关更多信息，请参阅 SSL。

此输入在 HTTP 监控端点下公开指标。这些指标在 /inputs 路径下公开。它们可用于观察输入的活动。

所有输入都支持以下配置选项。

使用 enabled 选项启用和禁用输入。默认情况下，enabled 设置为 true。

Filebeat 在每个已发布事件的 tags 字段中包含的标签列表。标签使您可以在 Kibana 中轻松选择特定事件，或者在 Logstash 中应用条件筛选。这些标签将附加到通用配置中指定的标签列表。

示例

filebeat.inputs:
- type: unix
  . . .
  tags: ["json"]

您可以指定的可选字段，用于向输出添加其他信息。例如，您可以添加可用于筛选日志数据的字段。字段可以是标量值、数组、字典或这些值的任何嵌套组合。默认情况下，您在此处指定的字段将分组在输出文档中的 fields 子字典下。要将自定义字段存储为顶级字段，请将 fields_under_root 选项设置为 true。如果通用配置中声明了重复字段，则其值将被此处声明的值覆盖。

filebeat.inputs:
- type: unix
  . . .
  fields:
    app_id: query_engine_12

如果将此选项设置为 true，则自定义 字段将作为输出文档中的顶级字段存储，而不是分组在 fields 子字典下。如果自定义字段名称与 Filebeat 添加的其他字段名称冲突，则自定义字段将覆盖其他字段。

要应用于输入数据的处理器列表。

有关在配置中指定处理器的信息，请参阅 处理器。

为此输入生成的事件设置的 Ingest Pipeline ID。

如果将此选项设置为 true，则具有 null 值的字段将发布在输出文档中。默认情况下，keep_null 设置为 false。

如果存在，此格式化字符串会覆盖此输入（对于 Elasticsearch 输出）的事件索引，或者设置事件元数据的 raw_index 字段（对于其他输出）。此字符串只能引用代理名称和版本以及事件时间戳；要访问动态字段，请使用 output.elasticsearch.index 或处理器。

示例值："%{[agent.name]}-myindex-%{+yyyy.MM.dd}" 可能会扩展为 "filebeat-myindex-2019.11.01"。

默认情况下，所有事件都包含 host.name。可以将此选项设置为 true 以禁用向所有事件添加此字段。默认值为 false。