过滤器插件对事件执行中间处理。过滤器通常根据事件的特性有条件地应用。
以下是可用的过滤器插件。有关 Elastic 支持的插件列表,请参阅 支持矩阵。
插件 |
描述 |
Github 代码库 |
通过从当前时间戳减去事件时间戳来计算事件的年龄 |
||
聚合来自单个任务的多个事件的信息 |
||
|
||
将计算机存储大小的字符串表示形式(例如“123 MB”或“5.6gb”)解析为其以字节为单位的数值 |
||
根据网络块列表检查 IP 地址 |
||
将密码应用于事件或从事件中删除密码 |
||
复制事件 |
||
将逗号分隔的值数据解析为各个字段 |
||
解析字段中的日期,用作事件的 Logstash 时间戳 |
||
计算成本高的过滤器,用于从字段名称中删除点 |
||
使用分隔符将非结构化事件数据提取到字段中 |
||
执行标准或反向 DNS 查询 |
||
丢弃所有事件 |
||
计算一对事件之间经过的时间 |
||
对来自 Elastic 集成的數據进行额外的 Logstash 处理 |
||
将 Elasticsearch 中先前日志事件的字段复制到当前事件 |
||
将环境变量存储为元数据子字段 |
||
从字符串中提取数字 |
||
通过使用一致的哈希替换值来对字段进行指纹识别 |
||
添加有关 IP 地址的地理信息 |
||
将非结构化事件数据解析为字段 |
||
提供与外部 Web 服务/REST API 的集成 |
||
从字段中删除特殊字符 |
||
生成 UUID 并将其添加到每个处理的事件中 |
||
使用从远程数据库预加载的数据来丰富事件 |
||
使用您的数据库数据丰富事件 |
||
解析 JSON 事件 |
||
将字段序列化为 JSON |
||
解析键值对 |
||
提供与 Memcached 中的外部数据的集成 |
||
获取包含许多指标的复杂事件,并将这些事件拆分为多个事件,每个事件包含单个指标 |
||
聚合指标 |
||
对字段执行变异 |
||
根据要列入黑名单或白名单的字段列表来修剪事件数据 |
||
检查指定的字段是否保持在给定的大小或长度限制内 |
||
执行任意的 Ruby 代码 |
||
休眠指定的时间段 |
||
将多行消息、字符串或数组拆分为不同的事件 |
||
解析 |
||
使用有关攻击者意图的信息来丰富安全日志 |
||
限制事件数量 |
||
使用您在配置中指定的任何内容替换默认消息字段的内容 |
||
根据哈希或 YAML 文件替换字段内容 |
||
截断长于给定长度的字段 |
||
解码 URL 编码的字段 |
||
将用户代理字符串解析为字段 |
||
向事件添加 UUID |
||
使用设备信息(例如品牌、型号、操作系统)丰富日志 |
||
将 XML 解析为字段 |