加载 Ingest Pipeline

编辑

Packetbeat 模块使用 Elasticsearch Ingest 节点 Pipeline 实现。事件在 Elasticsearch 中接收转换。必须将 Ingest 节点 Pipeline 加载到 Elasticsearch 中。这可以通过几种方式完成。

连接到 Elasticsearch 时

编辑

如果启用了 Elasticsearch 输出,Packetbeat 将自动将 Ingest Pipeline 发送到 Elasticsearch。

确保在 packetbeat.yml 中指定的用户已获得授权来设置 Packetbeat

如果 Packetbeat 将事件发送到 Logstash 或其他输出,则需要使用 setup 命令或手动加载 Ingest Pipeline。

手动安装 Pipeline

编辑

可以使用 _ingest/pipeline REST API 调用将 Pipeline 加载到 Elasticsearch 中。进行 REST API 调用的用户需要分配 ingest_admin 角色。