加载 Ingest Pipeline
编辑加载 Ingest Pipeline
编辑Packetbeat 模块使用 Elasticsearch Ingest 节点 Pipeline 实现。事件在 Elasticsearch 中接收转换。必须将 Ingest 节点 Pipeline 加载到 Elasticsearch 中。这可以通过几种方式完成。
连接到 Elasticsearch 时
编辑如果启用了 Elasticsearch 输出,Packetbeat 将自动将 Ingest Pipeline 发送到 Elasticsearch。
确保在 packetbeat.yml
中指定的用户已获得授权来设置 Packetbeat。
如果 Packetbeat 将事件发送到 Logstash 或其他输出,则需要使用 setup
命令或手动加载 Ingest Pipeline。
手动安装 Pipeline
编辑可以使用 _ingest/pipeline
REST API 调用将 Pipeline 加载到 Elasticsearch 中。进行 REST API 调用的用户需要分配 ingest_admin
角色。