Elasticsearch 过滤器插件
编辑Elasticsearch 过滤器插件
编辑- 插件版本:v3.16.1
- 发布日期:2023-09-29
- 更新日志
有关其他版本,请参阅版本化插件文档。
获取帮助
编辑有关插件的问题,请在 Discuss 论坛中开一个主题。有关错误或功能请求,请在 Github 中开一个问题。有关 Elastic 支持的插件列表,请查阅 Elastic 支持矩阵。
描述
编辑在 Elasticsearch 中搜索之前的日志事件,并将其中的一些字段复制到当前事件中。以下是此过滤器可能使用的两个完整示例。
第一个示例使用传统的 *query* 参数,用户只能使用 Elasticsearch query_string。每当 logstash 接收到 “end” 事件时,它会使用此 elasticsearch 过滤器根据某些操作标识符查找匹配的 “start” 事件。然后,它会将 “start” 事件的 @timestamp 字段复制到 “end” 事件的新字段中。最后,通过组合使用 “date” 过滤器和 “ruby” 过滤器,我们计算出两个事件之间的小时持续时间。
if [type] == "end" {
elasticsearch {
hosts => ["es-server"]
query => "type:start AND operation:%{[opid]}"
fields => { "@timestamp" => "started" }
}
date {
match => ["[started]", "ISO8601"]
target => "[started]"
}
ruby {
code => "event.set('duration_hrs', (event.get('@timestamp') - event.get('started')) / 3600)"
}
}
下面的示例重现了上面的示例,但使用了 query_template。此 query_template 表示完整的 Elasticsearch 查询 DSL,并支持标准的 Logstash 字段替换语法。下面的示例发出与第一个示例相同的查询,但使用显示的模板。
if [type] == "end" {
elasticsearch {
hosts => ["es-server"]
query_template => "template.json"
fields => { "@timestamp" => "started" }
}
date {
match => ["[started]", "ISO8601"]
target => "[started]"
}
ruby {
code => "event.set('duration_hrs', (event.get('@timestamp') - event.get('started')) / 3600)"
}
}
template.json
{
"size": 1,
"sort" : [ { "@timestamp" : "desc" } ],
"query": {
"query_string": {
"query": "type:start AND operation:%{[opid]}"
}
},
"_source": ["@timestamp"]
}
如上所示,通过使用 *opid*,可以引用模板中 Logstash 事件的字段。模板将在用于查询 Elasticsearch 之前按事件填充。
另请注意,当您使用 query_template 时,Logstash 属性 result_size 和 sort 将被忽略。它们应该直接在 JSON 模板中指定,如上面的示例所示。
身份验证
编辑可以使用以下选项中的*一个*对安全的 Elasticsearch 集群进行身份验证
授权
编辑对安全的 Elasticsearch 集群进行授权需要在索引级别具有 read 权限,并在集群级别具有 monitoring 权限。集群级别的 monitoring 权限是执行定期连接检查所必需的。
Elasticsearch 过滤器配置选项
编辑此插件支持以下配置选项以及稍后描述的常用选项和Elasticsearch 过滤器已弃用配置选项。
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
已弃用 |
||
否 |
||
路径列表 |
否 |
|
字符串列表 |
否 |
|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
字符串,为 |
否 |
|
否 |
||
否 |
另请参阅常用选项,以获取所有过滤器插件支持的选项列表。
aggregation_fields
编辑- 值类型为 哈希
- 默认值为
{}
要从 elasticsearch 响应复制到 Logstash 事件字段的聚合名称的哈希
示例
filter {
elasticsearch {
aggregation_fields => {
"my_agg_name" => "my_ls_field"
}
}
}
api_key
编辑- 值类型为 密码
- 此设置没有默认值。
使用 Elasticsearch API 密钥进行身份验证。请注意,此选项还需要启用 ssl_enabled 选项。
格式为 id:api_key,其中 id 和 api_key 由 Elasticsearch 创建 API 密钥 API 返回。
ca_trusted_fingerprint
编辑- 值类型为 字符串,并且必须包含正好 64 个十六进制字符。
- 此设置没有默认值。
- 使用此选项 *需要* Logstash 8.3+
要信任的 SSL 证书颁发机构的 SHA-256 指纹,例如 Elasticsearch 集群的自动生成的自签名 CA。
cloud_auth
编辑- 值类型为 密码
- 此设置没有默认值。
云身份验证字符串(“<用户名>:<密码>” 格式)是 user/ password 对的替代方案。
有关更多信息,请查看 Logstash 到云的文档。
cloud_id
编辑- 值类型为 字符串
- 此设置没有默认值。
来自 Elastic Cloud Web 控制台的 Cloud ID。如果设置了 hosts,则不应使用。
有关更多信息,请查看 Logstash 到云的文档。
docinfo_fields
编辑- 值类型为 哈希
- 默认值为
{}
要从旧事件(通过 elasticsearch 查找)复制到新事件的 docinfo 字段的哈希
示例
filter {
elasticsearch {
docinfo_fields => {
"_id" => "document_id"
"_index" => "document_index"
}
}
}
fields
编辑- 值类型为 数组
- 默认值为
{}
要从旧事件(通过 elasticsearch 查找)复制到当前正在处理的新事件的字段数组。
在以下示例中,通过 elasticsearch 找到的事件的 @timestamp 和 event_id 的值分别复制到当前事件的 started 和 start_id 字段
fields => {
"@timestamp" => "started"
"event_id" => "start_id"
}
index
编辑- 值类型为 字符串
- 默认值为
""
要搜索的索引名称的逗号分隔列表;使用 _all 或空字符串以对所有索引执行操作。可以使用字段替换(例如,index-name-%{date_field})
query
编辑- 值类型为 字符串
- 此设置没有默认值。
Elasticsearch 查询字符串。有关更多信息,请参见Elasticsearch 查询字符串文档。使用 query 或 query_template。
query_template
编辑- 值类型为 字符串
- 此设置没有默认值。
采用 DSL 格式的 elasticsearch 查询的文件路径。有关更多信息,请参见Elasticsearch 查询文档。使用 query 或 query_template。
ssl_certificate
编辑- 值类型为 路径
- 此设置没有默认值。
用于验证客户端身份的 SSL 证书。此证书应该是 OpenSSL 样式的 X.509 证书文件。
仅当设置了 ssl_key 时,才能使用此设置。
ssl_certificate_authorities
编辑- 值类型为 路径列表
- 此设置没有默认值
用于验证服务器证书的 .cer 或 .pem 文件。
您不能同时使用此设置和 ssl_truststore_path。
ssl_enabled
编辑- 值类型为 布尔值
- 此设置没有默认值。
启用与 Elasticsearch 集群的 SSL/TLS 安全通信。如果未指定,将使用 hosts 中列出的 URL 中指定的任何方案,或从 cloud_id 中提取的方案。如果未指定显式协议,则将使用纯 HTTP。
ssl_key
编辑- 值类型为 路径
- 此设置没有默认值。
与 ssl_certificate 对应的 OpenSSL 样式的 RSA 私钥。
仅当设置了 ssl_certificate 时,才能使用此设置。
ssl_supported_protocols
编辑- 值类型为 字符串
- 允许的值为:
'TLSv1.1'、'TLSv1.2'、'TLSv1.3' - 默认值取决于所使用的 JDK。使用最新的 Logstash,默认值为
['TLSv1.2', 'TLSv1.3']。'TLSv1.1'被认为不安全,仅为旧版应用程序提供。
建立与 Elasticsearch 集群的连接时,允许使用的 SSL/TLS 版本列表。
对于 Java 8,'TLSv1.3' 仅在 8u262 (AdoptOpenJDK) 及更高版本中受支持,但需要您在 Logstash 中设置 LS_JAVA_OPTS="-Djdk.tls.client.protocols=TLSv1.3" 系统属性。
如果在任何最近的 JVM(例如 Logstash 打包的 JVM)上将插件配置为使用 'TLSv1.1',则该协议默认情况下处于禁用状态,需要通过更改 $JDK_HOME/conf/security/java.security 配置文件中的 jdk.tls.disabledAlgorithms 来手动启用。也就是说,需要从列表中删除 TLSv1.1。
ssl_truststore_path
编辑- 值类型为 路径
- 此设置没有默认值。
用于验证服务器证书的信任库。它可以是 .jks 或 .p12。
您不能同时使用此设置和 ssl_certificate_authorities。
ssl_verification_mode
编辑- 值可以是以下任意一个:
full,none - 默认值为
full
定义如何验证 TLS 连接中另一方提供的证书
full 验证服务器证书是否具有在 not_before 和 not_after 日期之间的颁发日期;链接到受信任的证书颁发机构 (CA),并且具有与证书中的名称匹配的主机名或 IP 地址。
none 不执行任何证书验证。
将证书验证设置为 none 会禁用 SSL/TLS 的许多安全优势,这非常危险。有关禁用证书验证的更多信息,请阅读 https://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf
通用选项
编辑所有过滤器插件都支持这些配置选项
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
add_field
编辑- 值类型为 哈希
- 默认值为
{}
如果此过滤器成功,则向此事件添加任何任意字段。字段名称可以是动态的,并使用 %{field} 包括事件的各个部分。
示例
filter {
elasticsearch {
add_field => { "foo_%{somefield}" => "Hello world, from %{host}" }
}
}
# You can also add multiple fields at once:
filter {
elasticsearch {
add_field => {
"foo_%{somefield}" => "Hello world, from %{host}"
"new_field" => "new_static_value"
}
}
}
如果事件的字段为 "somefield" == "hello",则此过滤器在成功时将添加字段 foo_hello(如果存在),其值为上述值,并将 %{host} 部分替换为事件中的该值。第二个示例还将添加一个硬编码字段。
add_tag
编辑- 值类型为 数组
- 默认值为
[]
如果此过滤器成功,则向该事件添加任意标签。标签可以是动态的,并使用 %{field} 语法包括事件的各个部分。
示例
filter {
elasticsearch {
add_tag => [ "foo_%{somefield}" ]
}
}
# You can also add multiple tags at once:
filter {
elasticsearch {
add_tag => [ "foo_%{somefield}", "taggedy_tag"]
}
}
如果事件的字段为 "somefield" == "hello",则此过滤器在成功时将添加标签 foo_hello(第二个示例当然会添加 taggedy_tag 标签)。
id
编辑- 值类型为 字符串
- 此设置没有默认值。
向插件配置添加唯一的 ID。如果未指定 ID,Logstash 将生成一个。强烈建议在您的配置中设置此 ID。当您有两个或多个相同类型的插件时,此功能特别有用,例如,如果您有 2 个 Elasticsearch 过滤器。在这种情况下添加命名的 ID 将有助于在使用监控 API 时监控 Logstash。
filter {
elasticsearch {
id => "ABC"
}
}
id 字段中的变量替换仅支持环境变量,并且不支持使用来自秘密存储的值。
remove_field
编辑- 值类型为 数组
- 默认值为
[]
如果此过滤器成功,则从此事件中删除任意字段。字段名称可以是动态的,并使用 %{field} 包括事件的各个部分。示例
filter {
elasticsearch {
remove_field => [ "foo_%{somefield}" ]
}
}
# You can also remove multiple fields at once:
filter {
elasticsearch {
remove_field => [ "foo_%{somefield}", "my_extraneous_field" ]
}
}
如果事件的字段为 "somefield" == "hello",则此过滤器在成功时将删除名为 foo_hello 的字段(如果存在)。第二个示例将删除一个额外的、非动态字段。
remove_tag
编辑- 值类型为 数组
- 默认值为
[]
如果此过滤器成功,则从事件中删除任意标签。标签可以是动态的,并使用 %{field} 语法包括事件的各个部分。
示例
filter {
elasticsearch {
remove_tag => [ "foo_%{somefield}" ]
}
}
# You can also remove multiple tags at once:
filter {
elasticsearch {
remove_tag => [ "foo_%{somefield}", "sad_unwanted_tag"]
}
}
如果事件的字段为 "somefield" == "hello",则此过滤器在成功时将删除标签 foo_hello(如果存在)。第二个示例还将删除一个令人沮丧的、不需要的标签。