使用处理器过滤和增强数据
编辑使用处理器过滤和增强数据编辑
您可以在配置中定义处理器,以便在将事件发送到配置的输出之前处理事件。libbeat 库提供用于以下方面的处理器:
- 减少导出的字段数量
- 使用其他元数据增强事件
- 执行其他处理和解码
每个处理器都会接收一个事件,对事件应用定义的操作,然后返回事件。如果定义了一系列处理器,则它们按在 Winlogbeat 配置文件中定义的顺序执行。
event -> processor 1 -> event1 -> processor 2 -> event2 ...
建议将所有删除和现有字段重命名操作作为处理器配置的最后一步。这是因为删除或重命名字段可能会移除下一处理器链中所需的数据,例如删除 source.ip 字段将删除 community_id 处理器运行所需的字段之一。如果必须删除、重命名或覆盖现有事件字段,请确保通过相应的处理器(drop_fields、rename 或 add_fields)来执行,这些处理器应放在输入配置中定义的处理器列表的末尾。
例如,以下过滤器配置删除了很少使用的几个字段(provider_guid、process_id、thread_id 和 version)和一个嵌套字段 event_data.ErrorSourceTable
processors:
- drop_fields:
fields: [winlog.provider_guid, winlog.process.pid, winlog.process.thread.id, winlog.version, winlog.event_data.ErrorSourceTable]