事件 API

编辑

本节面向插件开发人员和 Logstash Ruby 过滤器用户。下面我们记录了用户在自定义插件和 Ruby 过滤器中访问 Logstash 基于事件的数据的方式的最新更改(从 5.0 版本开始)。请注意,访问事件数据和字段 Logstash 配置文件中的数据流(使用 字段引用)不受此更改的影响,将继续使用现有语法。

事件对象

编辑

事件是封装 Logstash 内部数据流的主要对象,并为插件开发人员提供与事件内容交互的 API。通常,此 API 用于插件和 Ruby 过滤器中来检索数据并将其用于转换。事件对象包含发送到 Logstash 的原始数据以及在 Logstash 的过滤阶段创建的任何附加字段。

在 5.0 中,我们用纯 Java 重新实现了 Event 类及其支持类。由于 Event 是数据处理中的关键组件,因此用 Java 重写可以提高性能,并在将数据存储在磁盘上时提供高效的序列化。在大多数情况下,此更改旨在保持向后兼容性,并且对用户透明。为此,我们已经更新并发布了 Logstash 生态系统中的大多数插件,以符合新的 API 更改。但是,如果您正在维护自定义插件或有 Ruby 过滤器,则此更改将影响您。本指南的目的是描述新的 API 并提供示例以迁移到新的更改。

事件 API

编辑

在 5.0 版本之前,开发人员可以通过直接使用 Ruby 哈希语法来访问和操作事件数据。例如,event[field] = foo。虽然这很强大,但我们的目标是抽象内部实现细节并提供定义良好的 getter 和 setter API。

Get API

getter 是对事件中基于字段的数据的只读访问。

语法: event.get(field)

返回: 此字段的值,如果该字段不存在,则返回 nil。返回的值可以是字符串、数字或时间戳标量值。

field 是发送到 Logstash 或在转换过程之后创建的结构化字段。field 也可以是嵌套的 字段引用,例如 [field][bar]

示例

event.get("foo" ) # => "baz"
event.get("[foo]") # => "zab"
event.get("[foo][bar]") # => 1
event.get("[foo][bar]") # => 1.0
event.get("[foo][bar]") # =>  [1, 2, 3]
event.get("[foo][bar]") # => {"a" => 1, "b" => 2}
event.get("[foo][bar]") # =>  {"a" => 1, "b" => 2, "c" => [1, 2]}

访问 @metadata

event.get("[@metadata][foo]") # => "baz"

Set API

此 API 可用于修改事件中的数据。

语法: event.set(field, value)

返回: 经过修改后的当前事件,可用于链式调用。

示例

event.set("foo", "baz")
event.set("[foo]", "zab")
event.set("[foo][bar]", 1)
event.set("[foo][bar]", 1.0)
event.set("[foo][bar]", [1, 2, 3])
event.set("[foo][bar]", {"a" => 1, "b" => 2})
event.set("[foo][bar]", {"a" => 1, "b" => 2, "c" => [1, 2]})
event.set("[@metadata][foo]", "baz")

在事件中设置集合后修改该集合具有未定义的行为,并且是不允许的。

h = {"a" => 1, "b" => 2, "c" => [1, 2]}
event.set("[foo][bar]", h)

h["c"] = [3, 4]
event.get("[foo][bar][c]") # => undefined

Suggested way of mutating collections:

h = {"a" => 1, "b" => 2, "c" => [1, 2]}
event.set("[foo][bar]", h)

h["c"] = [3, 4]
event.set("[foo][bar]", h)

# Alternatively,
event.set("[foo][bar][c]", [3, 4])

Ruby 过滤器

编辑

Ruby 过滤器 可用于执行任何 Ruby 代码并使用上述 API 操作事件数据。例如,使用新的 API

filter {
  ruby {
    code => 'event.set("lowercase_field", event.get("message").downcase)'
  }
}

此过滤器将使 message 字段小写,并将其设置为名为 lowercase_field 的新字段