常用协议选项
编辑常用协议选项
编辑以下选项适用于所有协议
enabled
编辑enabled 设置是一个布尔值设置,用于启用或禁用协议,而无需注释掉配置部分。如果设置为 false,则禁用该协议。
默认值为 true。
ports
编辑例外:对于 ICMP,必须使用 enabled 选项。
Packetbeat 将在此端口上查找以捕获特定协议的流量。Packetbeat 基于此部分中指定的端口安装一个 BPF 过滤器。如果数据包与过滤器不匹配,则丢弃数据包所需的 CPU 资源非常少。Packetbeat 还使用此处指定的端口来确定每个数据包要使用的解析器。
send_request
编辑如果启用此选项,则请求的原始消息(request 字段)将发送到 Elasticsearch。默认值为 false。当您想要索引整个请求时,此选项很有用。请注意,对于 HTTP,默认情况下不包括正文,只包括 HTTP 标头。
send_response
编辑如果启用此选项,则响应的原始消息(response 字段)将发送到 Elasticsearch。默认值为 false。当您想要索引整个响应时,此选项很有用。请注意,对于 HTTP,默认情况下不包括正文,只包括 HTTP 标头。
transaction_timeout
编辑每个协议的事务超时时间。超时的事务将不再与传入的响应相关联,而是立即发送到 Elasticsearch。
fields
编辑可选字段,您可以指定这些字段以向输出添加附加信息。例如,您可以添加可用于过滤日志数据的字段。字段可以是标量值、数组、字典或这些的任何嵌套组合。默认情况下,您在此处指定的字段将分组在输出文档中的 fields 子字典下。要将自定义字段存储为顶级字段,请将 fields_under_root 选项设置为 true。如果在常规配置中声明了重复的字段,则其值将被此处声明的值覆盖。
index
编辑覆盖将给定协议的事件发布到的索引。
packetbeat.protocols:
- type: http
ports: [80]
fields:
service_id: nginx
fields_under_root
编辑如果此选项设置为 true,则自定义 字段将作为输出文档中的顶级字段存储,而不是分组在 fields 子字典下。如果自定义字段名称与 Packetbeat 添加的其他字段名称冲突,则自定义字段将覆盖其他字段。
tags
编辑将随事务事件一起发送的标签列表。此设置是可选的。
processors
编辑要应用于协议生成的数据的处理器列表。
有关在配置中指定处理器的信息,请参阅 处理器。
keep_null
编辑如果此选项设置为 true,则具有 null 值的字段将在输出文档中发布。默认情况下,keep_null 设置为 false。