脚本处理器
编辑脚本处理器编辑
script 处理器执行 Javascript 代码来处理事件。该处理器使用 ECMAScript 5.1 的纯 Go 实现,没有外部依赖项。这在其他处理器无法提供您需要的事件过滤功能的情况下非常有用。
可以通过在配置文件中嵌入 Javascript 或将处理器指向外部文件来配置处理器。
示例编辑
- script:
lang: javascript
source: >
function process(event) {
event.Tag("js");
}
此示例从磁盘加载 filter.js
- script:
lang: javascript
file: ${path.config}/filter.js
可以通过在配置中添加 params 将参数传递给脚本。这允许脚本可重复使用。使用 params 时,代码必须定义一个 register(params) 函数来接收参数。
- script:
lang: javascript
tag: my_filter
params:
threshold: 15
source: >
var params = {threshold: 42};
function register(scriptParams) {
params = scriptParams;
}
function process(event) {
if (event.Get("severity") < params.threshold) {
event.Cancel();
}
}
如果脚本定义了 test() 函数,则在加载处理器时会调用该函数。任何抛出的异常都会导致处理器无法加载。这可以用来对脚本的行为进行断言。
function process(event) {
if (event.Get("event.code") === 1102) {
event.Put("event.action", "cleared");
}
return event;
}
function test() {
var event = process(new Event({event: {code: 1102}}));
if (event.Get("event.action") !== "cleared") {
throw "expected event.action === cleared";
}
}
配置设置编辑
Elastic Agent 处理器在摄取管道 *之前* 执行,这意味着它们处理原始事件数据而不是发送到 Elasticsearch 的最终事件。有关相关限制,请参阅 使用处理器的局限性是什么?
| 名称 | 必需 | 默认值 | 描述 |
|---|---|---|---|
|
是 |
此字段的值必须为 |
|
|
否 |
添加到日志消息的可选标识符。如果定义,此标签将为处理器的此实例启用指标日志记录。指标包括异常数量和 |
|
|
内联 Javascript 源代码。 |
||
|
要加载的脚本文件的路径。相对路径被解释为相对于 |
||
|
要加载的脚本文件列表。这些脚本将被连接在一起。相对路径被解释为相对于 |
||
|
传递给脚本 |
||
|
|
在 Javascript 代码在处理事件时导致异常的情况下添加到事件的标签。 |
|
|
无超时 |
|
|
|
|
将缓存的 Javascript VM 会话的最大数量,以避免重新分配。 |
事件 API编辑
传递给 process 方法的 Event 对象具有以下 API。
| 方法 | 描述 |
|---|---|
|
从事件中获取一个值(标量或对象)。如果键不存在,则返回 示例: |
|
将一个值放入事件中。如果键已经设置,则返回先前的值。如果键无法设置(因为其中一个中间值不是对象),则抛出异常。 示例: |
|
重命名事件中的键。目标键必须不存在。如果源键成功重命名为目标键,则返回 true。 示例: |
|
从事件中删除一个字段。成功时返回 true。 示例: |
|
将事件标记为已取消,这会导致处理器丢弃事件。 示例: |
|
如果标签不存在,则将标签附加到 示例: |
|
示例: |