Elasticsearch 过滤器插件
编辑Elasticsearch 过滤器插件
编辑- 插件版本:v3.16.1
- 发布日期:2023-09-29
- 变更日志
其他版本请参考 版本化插件文档。
获取帮助
编辑如有任何关于插件的问题,请在 Discuss 论坛中发帖提问。如发现错误或有功能需求,请在 Github 上提交 issue。如需查看 Elastic 支持的插件列表,请查阅 Elastic 支持矩阵。
描述
编辑搜索 Elasticsearch 中之前的日志事件,并将其中一些字段复制到当前事件中。以下是此过滤器使用方法的两个完整示例。
第一个示例使用旧的 query 参数,用户仅限于 Elasticsearch query_string。每当 Logstash 接收到“end”事件时,它都会使用此 elasticsearch 过滤器根据某些操作标识符查找匹配的“start”事件。然后,它将“start”事件中的 @timestamp 字段复制到“end”事件上的新字段中。最后,结合使用“date”过滤器和“ruby”过滤器,我们计算两个事件之间的时间差(以小时为单位)。
if [type] == "end" {
elasticsearch {
hosts => ["es-server"]
query => "type:start AND operation:%{[opid]}"
fields => { "@timestamp" => "started" }
}
date {
match => ["[started]", "ISO8601"]
target => "[started]"
}
ruby {
code => "event.set('duration_hrs', (event.get('@timestamp') - event.get('started')) / 3600)"
}
}
下面的示例重现了上面的示例,但使用了 query_template。此 query_template 表示完整的 Elasticsearch 查询 DSL,并支持标准的 Logstash 字段替换语法。下面的示例发出与第一个示例相同的查询,但使用显示的模板。
if [type] == "end" {
elasticsearch {
hosts => ["es-server"]
query_template => "template.json"
fields => { "@timestamp" => "started" }
}
date {
match => ["[started]", "ISO8601"]
target => "[started]"
}
ruby {
code => "event.set('duration_hrs', (event.get('@timestamp') - event.get('started')) / 3600)"
}
}
template.json
{
"size": 1,
"sort" : [ { "@timestamp" : "desc" } ],
"query": {
"query_string": {
"query": "type:start AND operation:%{[opid]}"
}
},
"_source": ["@timestamp"]
}
如上所示,通过使用 opid,可以引用 Logstash 事件中的字段在模板中。模板将在用于查询 Elasticsearch 之前针对每个事件进行填充。
还要注意,当使用 query_template 时,Logstash 属性 result_size 和 sort 将被忽略。应如上例所示直接在 JSON 模板中指定它们。
身份验证
编辑可以使用以下选项中的一种对安全的 Elasticsearch 集群进行身份验证
授权
编辑对安全的 Elasticsearch 集群进行授权需要在索引级别具有 read 权限,在集群级别具有 monitoring 权限。monitoring 集群级权限对于执行定期连接检查是必要的。
Elasticsearch 过滤器配置选项
编辑此插件支持以下配置选项以及稍后描述的 通用选项 和 Elasticsearch 过滤器已弃用的配置选项。
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
已弃用 |
||
否 |
||
路径 列表 |
否 |
|
字符串 列表 |
否 |
|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
字符串, |
否 |
|
否 |
||
否 |
另请参见 通用选项,了解所有过滤器插件支持的选项列表。
aggregation_fields
编辑- 值类型为 哈希
- 默认值为
{}
聚合名称到将从 elasticsearch 响应复制到 Logstash 事件字段的哈希
示例
filter {
elasticsearch {
aggregation_fields => {
"my_agg_name" => "my_ls_field"
}
}
}
api_key
编辑- 值类型为 密码
- 此设置没有默认值。
使用 Elasticsearch API 密钥进行身份验证。请注意,此选项还需要启用 ssl_enabled 选项。
格式为 id:api_key,其中 id 和 api_key 与 Elasticsearch 创建 API 密钥 API 返回的值相同。
ca_trusted_fingerprint
编辑- 值类型为 字符串,并且必须包含正好 64 个十六进制字符。
- 此设置没有默认值。
- 使用此选项 *需要* Logstash 8.3+
要信任的 SSL 证书颁发机构的 SHA-256 指纹,例如 Elasticsearch 集群的自动生成的自签名 CA。
cloud_auth
编辑- 值类型为 密码
- 此设置没有默认值。
云身份验证字符串(“<username>:<password>” 格式)是 user/password 对的替代方案。
更多信息,请查看 Logstash 到云文档。
cloud_id
编辑- 值类型为 字符串
- 此设置没有默认值。
来自 Elastic Cloud Web 控制台的云 ID。如果设置了 hosts,则不应使用。
更多信息,请查看 Logstash 到云文档。
docinfo_fields
编辑- 值类型为 哈希
- 默认值为
{}
要从旧事件(通过 elasticsearch 找到)复制到新事件的 docinfo 字段的哈希
示例
filter {
elasticsearch {
docinfo_fields => {
"_id" => "document_id"
"_index" => "document_index"
}
}
}
fields
编辑- 值类型为 数组
- 默认值为
{}
要从旧事件(通过 elasticsearch 找到)复制到当前正在处理的新事件的字段数组。
在以下示例中,通过 elasticsearch 找到的事件上的 @timestamp 和 event_id 的值分别复制到当前事件的 started 和 start_id 字段
fields => {
"@timestamp" => "started"
"event_id" => "start_id"
}
query
编辑- 值类型为 字符串
- 此设置没有默认值。
Elasticsearch 查询字符串。更多信息可在 Elasticsearch 查询字符串文档 中找到。使用 query 或 query_template。
query_template
编辑- 值类型为 字符串
- 此设置没有默认值。
以 DSL 格式的 elasticsearch 查询的文件路径。更多信息可在 Elasticsearch 查询文档 中找到。使用 query 或 query_template。
retry_on_failure
编辑- 值类型为 数字
- 默认值为
0(禁用重试)
重试单个失败请求的次数。
启用后,重试导致连接错误或 retry_on_status 中包含的 HTTP 状态代码的请求
ssl_certificate
编辑- 值类型为 路径
- 此设置没有默认值。
用于对客户端进行身份验证的 SSL 证书。此证书应该是 OpenSSL 风格的 X.509 证书文件。
仅当设置了 ssl_key 时才能使用此设置。
ssl_certificate_authorities
编辑- 值类型为 路径 列表
- 此设置没有默认值
.cer 或 .pem 文件用于验证服务器的证书。
不能同时使用此设置和 ssl_truststore_path。
ssl_enabled
编辑- 值类型为 布尔值
- 此设置没有默认值。
启用与 Elasticsearch 集群的 SSL/TLS 安全通信。如果不指定此项,将使用在hosts中列出的 URL 中指定的方案,或者从cloud_id中提取的方案。如果未指定显式协议,则将使用普通 HTTP。
ssl_keystore_path
编辑- 值类型为 路径
- 此设置没有默认值。
用于向服务器呈现证书的密钥库。它可以是 .jks 或 .p12 文件。
不能同时使用此设置和ssl_certificate。
ssl_supported_protocols
编辑- 值类型为 字符串
- 允许的值为:
'TLSv1.1','TLSv1.2','TLSv1.3' - 默认值取决于使用的 JDK。对于最新的 Logstash,默认值为
['TLSv1.2', 'TLSv1.3']。'TLSv1.1'不被认为是安全的,仅为旧版应用程序提供。
建立与 Elasticsearch 集群的连接时允许使用的 SSL/TLS 版本列表。
对于 Java 8,'TLSv1.3' 仅从 8u262(AdoptOpenJDK)开始受支持,但这需要您在 Logstash 中设置 LS_JAVA_OPTS="-Djdk.tls.client.protocols=TLSv1.3" 系统属性。
如果您将插件配置为在任何较新的 JVM(例如 Logstash 附带的 JVM)上使用 'TLSv1.1',则默认情况下会禁用该协议,需要通过更改 $JDK_HOME/conf/security/java.security 配置文件中的 jdk.tls.disabledAlgorithms 来手动启用它。也就是说,需要从列表中删除 TLSv1.1。
ssl_truststore_path
编辑- 值类型为 路径
- 此设置没有默认值。
用于验证服务器证书的信任库。它可以是 .jks 或 .p12 文件。
不能同时使用此设置和ssl_certificate_authorities。
ssl_verification_mode
编辑- 值可以是:
full,none - 默认值为
full
定义如何在 TLS 连接中验证另一方提供的证书。
full 验证服务器证书的发行日期是否在 not_before 和 not_after 日期范围内;链到受信任的证书颁发机构 (CA),并且主机名或 IP 地址与证书中的名称匹配。
none 不执行证书验证。
将证书验证设置为 none 会禁用 SSL/TLS 的许多安全优势,这是非常危险的。有关禁用证书验证的更多信息,请阅读 https://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf
Elasticsearch 过滤器已弃用的配置选项
编辑此插件支持以下已弃用的配置。
已弃用的选项可能会在将来的版本中删除。
| 设置 | 输入类型 | 替换为 |
|---|---|---|
有效的系统文件路径 |
||
有效的系统文件路径 |
||
常用选项
编辑所有过滤器插件都支持这些配置选项。
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
add_field
编辑- 值类型为 哈希
- 默认值为
{}
如果此过滤器成功,则向此事件添加任意字段。字段名称可以是动态的,并使用 %{field} 包含事件的部分内容。
示例
filter {
elasticsearch {
add_field => { "foo_%{somefield}" => "Hello world, from %{host}" }
}
}
# You can also add multiple fields at once:
filter {
elasticsearch {
add_field => {
"foo_%{somefield}" => "Hello world, from %{host}"
"new_field" => "new_static_value"
}
}
}
如果事件具有字段 "somefield" == "hello",则此过滤器在成功时将添加字段 foo_hello(如果存在),其值为上述值,并且 %{host} 部分将替换为事件中的该值。第二个示例还将添加一个硬编码字段。
add_tag
编辑- 值类型为 数组
- 默认值为
[]
如果此过滤器成功,则向事件添加任意标签。标签可以是动态的,并使用 %{field} 语法包含事件的部分内容。
示例
filter {
elasticsearch {
add_tag => [ "foo_%{somefield}" ]
}
}
# You can also add multiple tags at once:
filter {
elasticsearch {
add_tag => [ "foo_%{somefield}", "taggedy_tag"]
}
}
如果事件具有字段 "somefield" == "hello",则此过滤器在成功时将添加标签 foo_hello(当然,第二个示例将添加 taggedy_tag 标签)。
id
编辑- 值类型为 字符串
- 此设置没有默认值。
向插件配置添加唯一的 ID。如果未指定 ID,Logstash 将生成一个。强烈建议您在配置中设置此 ID。当您拥有两种或多种相同类型的插件时,这尤其有用,例如,如果您有两个 elasticsearch 过滤器。在这种情况下,添加命名 ID 将有助于在使用监控 API 时监控 Logstash。
filter {
elasticsearch {
id => "ABC"
}
}
id 字段中的变量替换仅支持环境变量,不支持使用密钥存储中的值。
remove_field
编辑- 值类型为 数组
- 默认值为
[]
如果此过滤器成功,则从此事件中删除任意字段。字段名称可以是动态的,并包含使用 %{field} 的事件部分。示例
filter {
elasticsearch {
remove_field => [ "foo_%{somefield}" ]
}
}
# You can also remove multiple fields at once:
filter {
elasticsearch {
remove_field => [ "foo_%{somefield}", "my_extraneous_field" ]
}
}
如果事件具有字段 "somefield" == "hello",则此过滤器在成功时将删除名为 foo_hello 的字段(如果存在)。第二个示例将删除另一个非动态字段。
remove_tag
编辑- 值类型为 数组
- 默认值为
[]
如果此过滤器成功,则从事件中删除任意标签。标签可以是动态的,并使用 %{field} 语法包含事件的部分内容。
示例
filter {
elasticsearch {
remove_tag => [ "foo_%{somefield}" ]
}
}
# You can also remove multiple tags at once:
filter {
elasticsearch {
remove_tag => [ "foo_%{somefield}", "sad_unwanted_tag"]
}
}
如果事件具有字段 "somefield" == "hello",则此过滤器在成功时将删除标签 foo_hello(如果存在)。第二个示例还将删除一个令人不快的无用标签。