Elasticsearch 输入插件
编辑Elasticsearch 输入插件
编辑- 插件版本: v4.20.4
- 发布日期: 2024-08-23
- 变更日志
对于其他版本,请参见 版本化插件文档。
获取帮助
编辑有关插件的问题,请在 Discuss 论坛中发起主题。对于错误或功能请求,请在 Github 中提交问题。有关 Elastic 支持的插件列表,请查阅 Elastic 支持矩阵。
描述
编辑根据搜索查询结果从 Elasticsearch 集群读取数据。这对于重放测试日志、重新索引等很有用。您可以使用 cron 语法定期安排摄取(请参见 schedule 设置)或运行查询一次以将数据加载到 Logstash 中。
示例
input {
# Read all documents from Elasticsearch matching the given query
elasticsearch {
hosts => "localhost"
query => '{ "query": { "match": { "statuscode": 200 } }, "sort": [ "_doc" ] }'
}
}
这将创建一个具有以下格式的 Elasticsearch 查询
curl 'https://127.0.0.1:9200/logstash-*/_search?&scroll=1m&size=1000' -d '{
"query": {
"match": {
"statuscode": 200
}
},
"sort": [ "_doc" ]
}'
调度
编辑此插件的输入可以根据特定时间表定期安排运行。此调度语法由 rufus-scheduler 提供支持。该语法类似于 cron,并具有一些 Rufus 特定的扩展(例如时区支持)。
示例
|
将每天 1 月到 3 月的凌晨 5 点的每一分钟执行。 |
|
将每天每小时的第 0 分钟执行。 |
|
将每天上午 6:00(UTC/GMT -5)执行。 |
此处提供了描述此语法的更多文档 此处。
授权
编辑对安全的 Elasticsearch 集群进行授权需要在索引级别具有 read 权限,并在集群级别具有 monitoring 权限。集群级别的 monitoring 权限对于执行定期连接检查是必要的。
与 Elastic Common Schema (ECS) 的兼容性
编辑当禁用 ECS 兼容性时,docinfo_target 使用 "@metadata" 字段作为默认值,启用 ECS 时,插件使用命名约定 "[@metadata][input][elasticsearch]" 作为放置文档信息的默认目标。
当 ECS 启用且未设置 target 时,插件会记录警告。
设置 target 选项以避免潜在的模式冲突。
Elasticsearch 输入配置选项
编辑此插件支持以下配置选项以及稍后描述的 常见选项 和 Elasticsearch 输入已弃用的配置选项。
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
字符串,其中之一为 |
否 |
|
否 |
||
否 |
||
否 |
||
字符串,其中之一为 |
否 |
|
否 |
||
否 |
||
否 |
||
路径列表 |
否 |
|
字符串列表 |
否 |
|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
字符串,其中之一为 |
否 |
|
否 |
||
否 |
||
否 |
||
否 |
另请参见 常见选项,以获取所有输入插件支持的选项列表。
api_key
编辑- 值类型为 密码
- 此设置没有默认值。
使用 Elasticsearch API 密钥进行身份验证。请注意,此选项还需要启用 ssl_enabled 选项。
格式为 id:api_key,其中 id 和 api_key 与 Elasticsearch 创建 API 密钥 API 返回的值相同。
ca_trusted_fingerprint
编辑- 值类型为 字符串,并且必须包含正好 64 个十六进制字符。
- 此设置没有默认值。
- 使用此选项 *需要* Logstash 8.3+
要信任的 SSL 证书颁发机构的 SHA-256 指纹,例如 Elasticsearch 集群的自动生成的自签名 CA。
cloud_auth
编辑- 值类型为 密码
- 此设置没有默认值。
云身份验证字符串(“<用户名>:<密码>” 格式)是 user/password 对的替代方案。
有关更多信息,请查看 Logstash 到云文档。
cloud_id
编辑- 值类型为 字符串
- 此设置没有默认值。
来自 Elastic Cloud Web 控制台的云 ID。如果设置了 hosts,则不应使用。
有关更多信息,请查看 Logstash 到云文档。
connect_timeout_seconds
编辑- 值类型为 数字
- 默认值为
10
建立与 Elasticsearch 的连接时要等待的最长时间(以秒为单位)。当 Elasticsearch 或中间代理被请求淹没并耗尽其连接池时,往往会出现连接超时。
docinfo
编辑- 值类型为 布尔值
- 默认值为
false
如果设置,则在事件中包含 Elasticsearch 文档信息,例如索引、类型和 ID。
关于元数据,需要注意的是,如果您要摄取文档是为了重新索引它们(或只是更新它们),则 elasticsearch 输出中的 action 选项需要知道如何处理这些事情。可以使用添加到元数据的字段动态分配它。
示例
input {
elasticsearch {
hosts => "es.production.mysite.org"
index => "mydata-2018.09.*"
query => '{ "query": { "query_string": { "query": "*" } } }'
size => 500
scroll => "5m"
docinfo => true
docinfo_target => "[@metadata][doc]"
}
}
output {
elasticsearch {
index => "copy-of-production.%{[@metadata][doc][_index]}"
document_type => "%{[@metadata][doc][_type]}"
document_id => "%{[@metadata][doc][_id]}"
}
}
如果设置,则可以在 add_field 常见选项中使用元数据信息。
示例
input {
elasticsearch {
docinfo => true
docinfo_target => "[@metadata][doc]"
add_field => {
identifier => "%{[@metadata][doc][_index]}:%{[@metadata][doc][_type]}:%{[@metadata][doc][_id]}"
}
}
}
docinfo_fields
编辑- 值类型为 数组
- 默认值为
["_index", "_type", "_id"]
如果通过启用 docinfo 选项请求文档元数据存储,则此选项列出要保存在当前事件中的元数据字段。有关更多信息,请参见 Elasticsearch 文档中的 元字段。
docinfo_target
编辑- 值类型为 字符串
-
默认值取决于是否启用了
ecs_compatibility- ECS 兼容性禁用:
"@metadata" - ECS 兼容性启用:
"[@metadata][input][elasticsearch]"
- ECS 兼容性禁用:
如果通过启用 docinfo 选项请求文档元数据存储,则此选项命名存储元数据字段作为子字段的字段。
ecs_compatibility
编辑- 值类型为 字符串
-
支持的值为
-
disabled:在根级别添加 CSV 数据 -
v1、v8:Elastic Common Schema 兼容行为
-
-
默认值取决于正在运行的 Logstash 版本
- 当 Logstash 提供
pipeline.ecs_compatibility设置时,其值用作默认值 - 否则,默认值为
disabled
- 当 Logstash 提供
控制此插件与 Elastic Common Schema (ECS) 的兼容性。
hosts
编辑- 值类型为 数组
- 此设置没有默认值。
要用于查询的一个或多个 Elasticsearch 主机的列表。每个主机可以是 IP、HOST、IP:port 或 HOST:port。端口默认为 9200。
query
编辑- 值类型为 字符串
- 默认值为
'{ "sort": [ "_doc" ] }'
要执行的查询。阅读 Elasticsearch 查询 DSL 文档 以获取更多信息。
当 search_api 解析为 search_after 且查询未指定 sort 时,默认排序 '{ "sort": { "_shard_doc": "asc" } }' 将添加到查询中。请参阅 Elasticsearch search_after 参数以了解更多信息。
response_type
编辑- 值可以是以下任何一个:
hits、aggregations - 默认值为
hits
在处理查询的响应时,将结果的哪一部分转换为 Logstash 事件。默认的 hits 将为每个返回的文档(即“命中”)生成一个事件。当设置为 aggregations 时,将生成一个包含查询响应的 aggregations 对象内容的 Logstash 事件。在这种情况下,将忽略 hits 对象。参数 size 将始终设置为 0,无论在此插件中设置的默认值或用户定义值如何。
request_timeout_seconds
编辑- 值类型为 数字
- 默认值为
60
单个 Elasticsearch 请求的最长时间(以秒为单位)。当单个数据页面非常大时,例如包含大型有效载荷文档和/或 size 已指定为较大值时,往往会出现请求超时。
retries
编辑- 值类型为 数字
- 默认值为
0
第一次失败后重新运行查询的次数。如果查询在所有重试后都失败,则会记录错误消息。默认为 0(不重试)。此值应等于或大于零。
部分失败(例如所有切片子集中出现的错误)可能导致整个查询重新尝试,这可能导致数据重复。避免这种情况需要 Logstash 将查询的整个结果集存储在内存中,这通常是不可能的。
schedule
编辑- 值类型为 字符串
- 此设置没有默认值。
定期运行语句的时间安排,以 Cron 格式表示,例如:“* * * * *”(每分钟执行一次查询,在分钟开始时)
默认情况下没有计划。如果未提供计划,则语句将精确运行一次。
search_api
编辑- 值可以是以下任何一个:
auto、search_after、scroll - 默认值为
auto
使用 auto,插件将对 Elasticsearch 版本 8.0.0 或更高版本使用 search_after 参数,否则将改为使用 scroll API。
search_after 使用 时间点 和排序值进行搜索。查询至少需要一个 sort 字段,如 query 参数中所述。
scroll 使用 scroll API 进行搜索,此方法不再推荐。
slices
编辑- 值类型为 数字
- 没有默认值。
- 合理的值范围为 2 到大约 8。
在某些情况下,可以通过同时使用 切片滚动 使用查询的多个不同切片来提高整体吞吐量,尤其是在管道花费大量时间等待 Elasticsearch 提供结果时。
如果设置,slices 参数会告诉插件将工作分成多少个切片,并将并行生成来自这些切片的事件,直到所有切片都完成滚动。
Elasticsearch 手册指出,当滚动查询使用的切片多于索引中的分片时,查询和 Elasticsearch 集群可能会产生负面性能影响。
如果未设置 slices 参数,则插件不会将切片指令注入查询中。
ssl_certificate
编辑- 值类型为 path
- 此设置没有默认值。
用于对客户端进行身份验证的 SSL 证书。此证书应为 OpenSSL 样式的 X.509 证书文件。
仅当设置了 ssl_key 时,才能使用此设置。
ssl_certificate_authorities
编辑- 值类型为 path 列表
- 此设置没有默认值
用于验证服务器证书的 .cer 或 .pem 文件。
您不能同时使用此设置和 ssl_truststore_path。
ssl_enabled
编辑- 值类型为 布尔值
- 此设置没有默认值。
启用到 Elasticsearch 集群的安全 SSL/TLS 通信。不指定此选项将使用在 hosts 中列出的 URL 中指定的或从 cloud_id 中提取的任何方案。如果未指定明确的协议,则将使用纯 HTTP。
ssl_key
编辑- 值类型为 path
- 此设置没有默认值。
与 ssl_certificate 相对应的 OpenSSL 样式的 RSA 私钥。
仅当设置了 ssl_certificate 时,才能使用此设置。
ssl_keystore_path
编辑- 值类型为 path
- 此设置没有默认值。
用于向服务器呈现证书的密钥库。它可以是 .jks 或 .p12
您不能同时使用此设置和 ssl_certificate。
ssl_supported_protocols
编辑- 值类型为 字符串
- 允许的值为:
'TLSv1.1'、'TLSv1.2'、'TLSv1.3' - 默认值取决于所使用的 JDK。对于最新的 Logstash,默认值为
['TLSv1.2', 'TLSv1.3']。'TLSv1.1'不被认为是安全的,仅为旧版应用程序提供。
在与 Elasticsearch 集群建立连接时要使用的允许的 SSL/TLS 版本列表。
对于 Java 8,'TLSv1.3' 仅从 8u262(AdoptOpenJDK)开始受支持,但需要您在 Logstash 中设置 LS_JAVA_OPTS="-Djdk.tls.client.protocols=TLSv1.3" 系统属性。
如果您将插件配置为在任何最近的 JVM(例如 Logstash 附带的 JVM)上使用 'TLSv1.1',则默认情况下该协议处于禁用状态,需要通过更改 $JDK_HOME/conf/security/java.security 配置文件中的 jdk.tls.disabledAlgorithms 手动启用它。也就是说,需要从列表中删除 TLSv1.1。
ssl_truststore_path
编辑- 值类型为 path
- 此设置没有默认值。
用于验证服务器证书的信任库。它可以是 .jks 或 .p12。
您不能同时使用此设置和 ssl_certificate_authorities。
ssl_verification_mode
编辑- 取值可以是:
full、none - 默认值为
full
定义如何在 TLS 连接中验证另一方提供的证书
full 验证服务器证书的颁发日期是否在 not_before 和 not_after 日期范围内;链到受信任的证书颁发机构 (CA),并且主机名或 IP 地址与证书中的名称匹配。
none 不执行证书验证。
将证书验证设置为 none 会禁用 SSL/TLS 的许多安全优势,这非常危险。有关禁用证书验证的更多信息,请阅读 https://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf
socket_timeout_seconds
编辑- 值类型为 数字
- 默认值为
60
在 Elasticsearch 未附加任何其他数据的情况下,等待不完整响应的最长时间(以秒为单位)。套接字超时通常发生在等待响应的第一个字节时,例如执行特别复杂的查询时。
Elasticsearch 输入已弃用的配置选项
编辑此插件支持以下已弃用的配置。
已弃用的选项可能会在将来的版本中删除。
| 设置 | 输入类型 | 替换为 |
|---|---|---|
有效的 файловая система 路径 |
||
ssl
编辑在 4.17.0 中弃用。
替换为 ssl_enabled
- 值类型为 布尔值
- 默认值为
false
如果启用,则在与 Elasticsearch 服务器通信时将使用 SSL(即,将使用 HTTPS 而不是普通 HTTP)。
ssl_certificate_verification
编辑在 4.17.0 中弃用。
- 值类型为 布尔值
- 默认值为
true
验证服务器证书的选项。禁用此选项会严重影响安全性。当禁用证书验证时,此插件隐式信任在给定地址解析的机器,而不验证其身份证明。在这种情况下,插件可以向不受信任的中间人或其他受损基础设施传输凭据或处理数据。有关证书验证重要性的更多信息:https://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf。