使用处理器过滤和增强数据
编辑使用处理器过滤和增强数据编辑
您可以在您的配置中定义处理器,以便在事件发送到配置的输出之前处理它们。 libbeat 库提供用于以下方面的处理器:
- 减少导出字段的数量
- 使用附加元数据增强事件
- 执行额外的处理和解码
每个处理器接收一个事件,对事件应用定义的操作,然后返回事件。如果您定义了一个处理器列表,它们将按在 Heartbeat 配置文件中定义的顺序执行。
event -> processor 1 -> event1 -> processor 2 -> event2 ...
建议将所有删除和重命名现有字段的操作作为处理器配置的最后一步执行。这是因为删除或重命名字段可能会删除下一个处理器链中需要的必要数据,例如,删除 source.ip 字段将删除 community_id 处理器工作所需的字段之一。如果需要删除、重命名或覆盖现有事件字段,请确保通过放置在输入配置中定义的处理器列表末端的相应处理器 (drop_fields、rename 或 add_fields) 来完成此操作。