使用处理器过滤和增强数据

编辑

使用处理器过滤和增强数据

编辑

您可以在配置中定义处理器,以便在事件发送到配置的输出之前对其进行处理。 libbeat 库提供了以下处理器:

  • 减少导出的字段数量
  • 使用额外的元数据增强事件
  • 执行额外的处理和解码

每个处理器接收一个事件,对该事件应用定义的操作,然后返回该事件。 如果您定义了一个处理器列表,它们将按照在 Winlogbeat 配置文件中定义的顺序执行。

event -> processor 1 -> event1 -> processor 2 -> event2 ...

建议在处理器配置的最后一步执行所有删除和重命名现有字段的操作。 这是因为删除或重命名字段可能会删除链中下一个处理器所需的数据,例如,删除 source.ip 字段会删除 community_id 处理器正常运行所需的字段之一。 如果必须删除、重命名或覆盖现有的事件字段,请确保由输入配置中定义的处理器列表末尾的相应处理器(drop_fieldsrenameadd_fields)来完成。

例如,以下过滤器配置删除了一些很少使用的字段(provider_guidprocess_idthread_idversion)以及一个嵌套字段 event_data.ErrorSourceTable

processors:
  - drop_fields:
      fields: [winlog.provider_guid, winlog.process.pid, winlog.process.thread.id, winlog.version, winlog.event_data.ErrorSourceTable]