通用协议选项
编辑通用协议选项
编辑以下选项适用于所有协议
enabled
编辑enabled 设置是一个布尔值设置,用于启用或禁用协议,而无需注释掉配置部分。如果设置为 false,则协议将被禁用。
默认值为 true。
ports
编辑例外:对于 ICMP,必须使用 enabled 选项。
Packetbeat 将查找以捕获特定协议流量的端口。Packetbeat 基于此部分中指定的端口安装 BPF 过滤器。如果数据包与过滤器不匹配,则丢弃数据包所需的 CPU 非常少。Packetbeat 还使用此处指定的端口来确定每个数据包要使用哪个解析器。
send_request
编辑如果启用此选项,则请求的原始消息(request 字段)将发送到 Elasticsearch。默认值为 false。当您想要索引整个请求时,此选项很有用。请注意,对于 HTTP,默认情况下不包含正文,仅包含 HTTP 标头。
send_response
编辑如果启用此选项,则响应的原始消息(response 字段)将发送到 Elasticsearch。默认值为 false。当您想要索引整个响应时,此选项很有用。请注意,对于 HTTP,默认情况下不包含正文,仅包含 HTTP 标头。
transaction_timeout
编辑每个协议的事务超时。已过期的交易将不再与传入的响应相关联,而是立即发送到 Elasticsearch。
fields
编辑您可以指定的可选字段,以向输出添加其他信息。例如,您可以添加可用于过滤日志数据的字段。字段可以是标量值、数组、字典或这些字段的任何嵌套组合。默认情况下,您在此处指定的字段将在输出文档中的 fields 子字典下分组。要将自定义字段存储为顶级字段,请将 fields_under_root 选项设置为 true。如果在通用配置中声明了重复字段,则其值将被此处声明的值覆盖。
index
编辑覆盖发布给定协议事件的索引。
packetbeat.protocols:
- type: http
ports: [80]
fields:
service_id: nginx
fields_under_root
编辑如果将此选项设置为 true,则自定义 fields 将存储为输出文档中的顶级字段,而不是在 fields 子字典下分组。如果自定义字段名称与 Packetbeat 添加的其他字段名称冲突,则自定义字段将覆盖其他字段。
tags
编辑将与事务事件一起发送的标签列表。此设置是可选的。
processors
编辑要应用于协议生成的数据的处理器列表。
有关在配置中指定处理器的信息,请参阅 处理器。
keep_null
编辑如果将此选项设置为 true,则输出文档中将发布具有 null 值的字段。默认情况下,keep_null 设置为 false。