使用处理器过滤和增强数据
编辑使用处理器过滤和增强数据
编辑您可以在配置中定义处理器,以便在将事件发送到配置的输出之前对其进行处理。libbeat 库提供用于以下方面的处理器:
- 减少导出字段的数量
- 使用其他元数据增强事件
- 执行其他处理和解码
每个处理器都会接收一个事件,对事件应用定义的操作,然后返回该事件。如果定义了一系列处理器,则会按照它们在 Metricbeat 配置文件中定义的顺序执行它们。
event -> processor 1 -> event1 -> processor 2 -> event2 ...
建议将所有现有字段的删除和重命名操作作为处理器配置的最后一步。这是因为删除或重命名字段可能会删除后续处理器链中必需的数据,例如,删除source.ip字段将删除community_id处理器正常运行所需的字段之一。如果需要删除、重命名或覆盖现有的事件字段,请确保通过位于输入配置中定义的处理器列表末尾的相应处理器 (drop_fields、rename 或 add_fields) 完成。
例如,以下配置通过删除所有文档中beat下的agent.name和agent.version字段来减少导出的字段。
processors:
- drop_fields:
fields: ['agent']