通用协议选项

以下选项适用于所有协议

enabled编辑

enabled 设置是一个布尔值设置，用于启用或禁用协议，而无需注释掉配置部分。如果设置为 false，则该协议将被禁用。

默认值为 true。

ports编辑

例外：对于 ICMP，必须使用 enabled 选项。

Packetbeat 将在其中捕获特定协议流量的端口。Packetbeat 根据本节中指定的端口安装 BPF 过滤器。如果数据包与过滤器不匹配，则几乎不需要 CPU 来丢弃数据包。Packetbeat 还使用此处指定的端口来确定对每个数据包使用哪个解析器。

send_request编辑

如果启用此选项，则请求的原始消息（request 字段）将发送到 Elasticsearch。默认值为 false。此选项在您想要索引整个请求时很有用。请注意，对于 HTTP，默认情况下不包括正文，仅包括 HTTP 标头。

send_response编辑

如果启用此选项，则响应的原始消息（response 字段）将发送到 Elasticsearch。默认值为 false。此选项在您想要索引整个响应时很有用。请注意，对于 HTTP，默认情况下不包括正文，仅包括 HTTP 标头。

transaction_timeout编辑

每个协议的交易超时时间。已过期的交易将不再与传入的响应相关联，而是立即发送到 Elasticsearch。

fields编辑

您可以指定以向输出添加更多信息的可选字段。例如，您可能添加了可用于过滤日志数据的字段。字段可以是标量值、数组、字典或这些的任何嵌套组合。默认情况下，您在此处指定的字段将被分组到输出文档中的 fields 子字典下。要将自定义字段存储为顶级字段，请将 fields_under_root 选项设置为 true。如果在一般配置中声明了重复的字段，则其值将被此处声明的值覆盖。

index编辑

覆盖为给定协议发布的事件的索引。

packetbeat.protocols:
- type: http
  ports: [80]
  fields:
    service_id: nginx

fields_under_root编辑

如果将此选项设置为 true，则自定义 fields 将存储为输出文档中的顶级字段，而不是被分组到 fields 子字典下。如果自定义字段名称与 Packetbeat 添加的其他字段名称冲突，则自定义字段将覆盖其他字段。

tags编辑

将与交易事件一起发送的标签列表。此设置是可选的。

processors编辑

要应用于协议生成的数据的处理器列表。

有关在配置中指定处理器的信息，请参阅 处理器。

keep_null编辑

如果将此选项设置为 true，则具有 null 值的字段将在输出文档中发布。默认情况下，keep_null 设置为 false。