HTTP 过滤器插件
编辑HTTP 过滤器插件
编辑- 插件版本:v1.6.0
- 发布时间:2024-06-19
- 变更日志
其他版本,请参见 版本化插件文档。
获取帮助
编辑如有任何关于插件的问题,请在 Discuss 论坛中发帖提问。如发现错误或有功能需求,请在 Github 中提交 issue。如需查看 Elastic 支持的插件列表,请参考 Elastic 支持矩阵。
描述
编辑HTTP 过滤器提供与外部 Web 服务/REST API 集成的功能。
与 Elastic 通用架构 (ECS) 的兼容性
编辑此插件包含基于 ECS 兼容性模式而变化的合理默认值。当目标为 ECS 版本时,报头将设置为 @metadata,并且 target_body 是必需选项。请参见 target_body 和 target_headers。
HTTP 过滤器配置选项
编辑此插件支持以下配置选项以及稍后描述的 通用选项。
| 设置 | 输入类型 | 必需 |
|---|---|---|
字符串、数组或哈希表 |
否 |
|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
是 |
||
否 |
还有多个与 HTTP 连接相关的配置选项
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
有效的系统文件路径 |
已弃用 |
|
有效的系统文件路径 |
已弃用 |
|
有效的系统文件路径 |
已弃用 |
|
否 |
||
否 |
||
否 |
||
否 |
||
有效的系统文件路径 |
已弃用 |
|
已弃用 |
||
已弃用 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
路径列表 路径 |
否 |
|
字符串列表 字符串 |
否 |
|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
字符串,取值范围为 |
否 |
|
有效的系统文件路径 |
已弃用 |
|
已弃用 |
||
已弃用 |
||
否 |
||
否 |
另请参见 通用选项,了解所有过滤器插件支持的选项列表。
body
编辑要发送的 HTTP 请求正文。
发送 body 作为 JSON 的示例
http {
body => {
"key1" => "constant_value"
"key2" => "%{[field][reference]}"
}
body_format => "json"
}
body_format
编辑- 值类型可以是
"json"或"text" - 默认值为
"text"
如果设置为 "json" 并且 body 的类型为 数组 或 哈希表,则正文将被序列化为 JSON。否则,将按原样发送。
ecs_compatibility
编辑- 值类型为 字符串
-
支持的值为:
-
disabled:不使用与 ECS 兼容的字段名(例如,响应报头默认情况下以headers字段为目标) -
v1、v8:避免可能与 Elastic 通用架构 (Elastic Common Schema) 冲突的字段名(例如,报头作为元数据添加)
-
-
默认值取决于运行 Logstash 的版本
- 当 Logstash 提供
pipeline.ecs_compatibility设置时,将使用其值作为默认值 - 否则,默认值为
disabled。
- 当 Logstash 提供
控制此插件与 Elastic 通用架构 (ECS) 的兼容性。此设置的值会影响 target_body 和 target_headers 的默认值。
target_body
编辑- 值类型为 哈希表
-
默认值取决于
ecs_compatibility是否启用- ECS 兼容性已禁用:`"[body]"
- ECS 兼容性已启用:无默认值,需要显式指定
定义用于放置 HTTP 响应正文的目标字段。
target_headers
编辑- 值类型为 哈希表
-
默认值取决于
ecs_compatibility是否启用- ECS 兼容性已禁用:
"[headers]" - ECS 兼容性已启用:
"[@metadata][filter][http][response][headers]"
- ECS 兼容性已禁用:
定义用于放置 HTTP 响应报头的目标字段。
HTTP 过滤器连接选项
编辑automatic_retries
编辑- 值类型为 数字
- 默认值为
1
客户端应重试失败的 URL 的次数。如果启用了 keepalive,我们强烈建议不要将此值设置为零。某些服务器会错误地过早结束 keepalive,需要重试!注意:如果设置了 retry_non_idempotent,则仅重试 GET、HEAD、PUT、DELETE、OPTIONS 和 TRACE 请求。
client_cert
编辑在 1.5.0 中弃用。
已替换为 ssl_certificate
- 值类型为 路径
- 此设置没有默认值。
如果要使用客户端证书(注意,大多数人都不需要此功能),请在此处设置 x509 证书的路径
keepalive
编辑- 值类型为 布尔值
- 默认值为
true
启用此选项以启用 HTTP keepalive 支持。我们强烈建议为此设置 automatic_retries 为至少 1,以修复与损坏的 keepalive 实现的交互。
keystore
编辑在 1.5.0 中弃用。
已替换为 ssl_keystore_path
- 值类型为 路径
- 此设置没有默认值。
如果需要使用自定义密钥库(.jks),请在此处指定。这与 .pem 密钥不兼容!
keystore_type
编辑在 1.5.0 中弃用。
已替换为 ssl_keystore_type
- 值类型为 字符串
- 默认值为
"JKS"
在此处指定密钥库类型。JKS 或 PKCS12 之一。默认为 JKS
proxy
编辑- 值类型为 字符串
- 此设置没有默认值。
如果要使用 HTTP 代理。这支持多种配置语法
- 代理主机格式:
http://proxy.org:1234 - 代理主机格式:
{host => "proxy.org", port => 80, scheme => 'http', user => 'username@host', password => 'password'} - 代理主机格式:
{url => 'http://proxy.org:1234', user => 'username@host', password => 'password'}
ssl_certificate
编辑- 值类型为 路径
- 此设置没有默认值。
用于验证客户端的 SSL 证书。此证书应为 OpenSSL 风格的 X.509 证书文件。
仅当设置了ssl_key时,才能使用此设置。
ssl_supported_protocols
编辑- 值类型为 字符串
- 允许的值为:
'TLSv1.1'、'TLSv1.2'、'TLSv1.3' - 默认值取决于使用的 JDK。对于最新的 Logstash,默认值为
['TLSv1.2', 'TLSv1.3']。'TLSv1.1'不被认为是安全的,仅为旧版应用程序提供。
建立与 HTTP 端点连接时要使用的允许的 SSL/TLS 版本列表。
对于 Java 8,'TLSv1.3' 仅从 8u262(AdoptOpenJDK)开始支持,但需要在 Logstash 中设置 LS_JAVA_OPTS="-Djdk.tls.client.protocols=TLSv1.3" 系统属性。
如果将插件配置为在任何最新的 JVM(例如 Logstash 附带的 JVM)上使用 'TLSv1.1',则默认情况下会禁用该协议,需要通过更改 $JDK_HOME/conf/security/java.security 配置文件中的 jdk.tls.disabledAlgorithms 来手动启用它。也就是说,需要从列表中删除 TLSv1.1。
ssl_verification_mode
编辑- 值类型为 字符串
- 支持的值为:
full、none - 默认值为
full
控制服务器证书的验证。full 选项验证提供的证书是否由受信任的授权机构 (CA) 签名,以及服务器的主机名(或 IP 地址)是否与证书中标识的名称匹配。
none 设置不执行服务器证书的验证。此模式禁用了 SSL/TLS 的许多安全优势,应仅在仔细考虑后使用。它主要用作尝试解决 TLS 错误时的临时诊断机制。强烈建议不要在生产环境中使用 none。
validate_after_inactivity
编辑- 值类型为 数字
- 默认值是
200
在检查过时连接以确定是否需要 keepalive 请求之前要等待的时间。如果您经常遇到连接错误,请考虑将此值设置为低于默认值,甚至设置为 0。
此客户端基于 Apache Commons。Apache Commons 文档是这样描述此选项的:“定义以毫秒为单位的非活动时间段,在此时间段之后,必须在将持久连接租赁给使用者之前重新验证这些连接。传递给此方法的非正值将禁用连接验证。此检查有助于检测在保留在池中处于非活动状态时变得陈旧(半关闭)的连接。"
常用选项
编辑所有过滤器插件都支持这些配置选项。
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
add_field
编辑- 值类型为 哈希表
- 默认值是
{}
如果此过滤器成功,则向此事件添加任意字段。字段名称可以是动态的,并使用 %{field} 包含事件的部分内容。
示例
filter {
http {
add_field => { "foo_%{somefield}" => "Hello world, from %{host}" }
}
}
# You can also add multiple fields at once:
filter {
http {
add_field => {
"foo_%{somefield}" => "Hello world, from %{host}"
"new_field" => "new_static_value"
}
}
}
如果事件具有字段 "somefield" == "hello",则此过滤器在成功后将添加字段 foo_hello(如果存在),其值为上述值,并且 %{host} 部分将替换为事件中的该值。第二个示例还将添加一个硬编码字段。
add_tag
编辑- 值类型为 数组
- 默认值是
[]
如果此过滤器成功,则向事件添加任意标签。标签可以是动态的,并使用 %{field} 语法包含事件的部分内容。
示例
filter {
http {
add_tag => [ "foo_%{somefield}" ]
}
}
# You can also add multiple tags at once:
filter {
http {
add_tag => [ "foo_%{somefield}", "taggedy_tag"]
}
}
如果事件具有字段 "somefield" == "hello",则此过滤器在成功后将添加标签 foo_hello(当然,第二个示例将添加 taggedy_tag 标签)。
id
编辑- 值类型为 字符串
- 此设置没有默认值。
向插件配置添加唯一的 ID。如果没有指定 ID,Logstash 将生成一个。强烈建议在您的配置中设置此 ID。当您有两个或多个相同类型的插件时,这尤其有用,例如,如果您有两个 http 过滤器。在这种情况下,添加命名 ID 将有助于在使用监控 API 监控 Logstash 时提供帮助。
filter {
http {
id => "ABC"
}
}
id 字段中的变量替换仅支持环境变量,不支持使用密钥存储中的值。
remove_field
编辑- 值类型为 数组
- 默认值是
[]
如果此过滤器成功,则会从此事件中删除任意字段。字段名称可以是动态的,并包含使用 %{field} 的事件部分,例如:
filter {
http {
remove_field => [ "foo_%{somefield}" ]
}
}
# You can also remove multiple fields at once:
filter {
http {
remove_field => [ "foo_%{somefield}", "my_extraneous_field" ]
}
}
如果事件包含字段 "somefield" == "hello",则此过滤器成功后,如果存在名为 foo_hello 的字段,则会将其删除。第二个示例将删除另一个非动态字段。
remove_tag
编辑- 值类型为 数组
- 默认值是
[]
如果此过滤器成功,则会从此事件中删除任意标签。标签可以是动态的,并包含使用 %{field} 语法的事件部分。
示例
filter {
http {
remove_tag => [ "foo_%{somefield}" ]
}
}
# You can also remove multiple tags at once:
filter {
http {
remove_tag => [ "foo_%{somefield}", "sad_unwanted_tag"]
}
}
如果事件包含字段 "somefield" == "hello",则此过滤器成功后,如果存在名为 foo_hello 的标签,则会将其删除。第二个示例还会删除一个令人不快的、不需要的标签。