HTTP 过滤器插件
编辑HTTP 过滤器插件
编辑- 插件版本:v1.6.0
- 发布日期:2024-06-19
- 更新日志
对于其他版本,请参阅版本化插件文档。
获取帮助
编辑有关插件的问题,请在Discuss论坛中开一个主题。对于错误或功能请求,请在Github中打开一个 issue。有关 Elastic 支持的插件列表,请查阅Elastic 支持矩阵。
描述
编辑HTTP 过滤器提供了与外部 Web 服务/REST API 的集成。
与 Elastic Common Schema (ECS) 的兼容性
编辑该插件包含基于ECS 兼容模式更改的合理默认值。当以 ECS 版本为目标时,标头设置为 @metadata,并且 target_body 是必需的选项。请参阅target_body和target_headers。
HTTP 过滤器配置选项
编辑此插件支持以下配置选项以及稍后描述的通用选项。
| 设置 | 输入类型 | 必需 |
|---|---|---|
字符串、数组或哈希 |
否 |
|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
是 |
||
否 |
还有多个与 HTTP 连接相关的配置选项
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
有效的 文件系统路径 |
已弃用 |
|
有效的 文件系统路径 |
已弃用 |
|
有效的 文件系统路径 |
已弃用 |
|
否 |
||
否 |
||
否 |
||
否 |
||
有效的 文件系统路径 |
已弃用 |
|
已弃用 |
||
已弃用 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
路径列表 |
否 |
|
字符串列表 |
否 |
|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
字符串, |
否 |
|
有效的 文件系统路径 |
已弃用 |
|
已弃用 |
||
已弃用 |
||
否 |
||
否 |
另请参阅通用选项,获取所有过滤器插件支持的选项列表。
body
编辑要发送的 HTTP 请求的正文。
将 body 作为 json 发送的示例
http {
body => {
"key1" => "constant_value"
"key2" => "%{[field][reference]}"
}
body_format => "json"
}
body_format
编辑- 值类型可以是
"json"或"text" - 默认值为
"text"
ecs_compatibility
编辑- 值类型为字符串
-
支持的值为
-
disabled:不使用 ECS 兼容的字段名称(例如,响应标头默认以headers字段为目标) -
v1、v8:避免可能与 Elastic Common Schema 冲突的字段名称(例如,标头作为元数据添加)
-
-
默认值取决于运行的 Logstash 版本
- 当 Logstash 提供
pipeline.ecs_compatibility设置时,其值用作默认值 - 否则,默认值为
disabled。
- 当 Logstash 提供
控制此插件与Elastic Common Schema (ECS)的兼容性。此设置的值会影响target_body和target_headers的默认值。
target_body
编辑- 值类型为哈希
-
默认值取决于是否启用了
ecs_compatibility- 禁用 ECS 兼容性:`"[body]"
- 启用 ECS 兼容性:没有默认值,需要显式指定
定义用于放置 HTTP 响应正文的目标字段。
target_headers
编辑- 值类型为哈希
-
默认值取决于是否启用了
ecs_compatibility- 禁用 ECS 兼容性:
"[headers]" - 启用 ECS 兼容性:
"[@metadata][filter][http][response][headers]"
- 禁用 ECS 兼容性:
定义用于放置 HTTP 响应标头的目标字段。
HTTP 过滤器连接选项
编辑automatic_retries
编辑- 值类型为数字
- 默认值为
1
客户端应重试失败 URL 的次数。如果启用了 keepalive,我们强烈建议不要将此值设置为零。某些服务器会过早地错误地结束 keepalive,从而需要重试!注意:如果设置了 retry_non_idempotent,则只会重试 GET、HEAD、PUT、DELETE、OPTIONS 和 TRACE 请求。
client_cert
编辑在 1.5.0 中已弃用。
已替换为ssl_certificate
- 值类型为路径
- 此设置没有默认值。
如果您想使用客户端证书(请注意,大多数人不需要此项),请在此处设置 x509 证书的路径
keepalive
编辑- 值类型为布尔值
- 默认值为
true
启用此功能可启用 HTTP keepalive 支持。我们强烈建议将automatic_retries设置为至少 1,以解决与损坏的 keepalive 实现的交互。
proxy
编辑- 值类型为字符串
- 此设置没有默认值。
如果你想使用 HTTP 代理。 这支持多种配置语法。
- 代理主机形式:
http://proxy.org:1234 - 代理主机形式:
{host => "proxy.org", port => 80, scheme => 'http', user => 'username@host', password => 'password'} - 代理主机形式:
{url => 'http://proxy.org:1234', user => 'username@host', password => 'password'}
ssl_certificate
编辑- 值类型为路径
- 此设置没有默认值。
用于验证客户端身份的 SSL 证书。此证书应为 OpenSSL 样式的 X.509 证书文件。
仅当设置了 ssl_key 时,才能使用此设置。
ssl_key
编辑- 值类型为路径
- 此设置没有默认值。
与 ssl_certificate 相对应的 OpenSSL 样式的 RSA 私钥。
仅当设置了 ssl_certificate 时,才能使用此设置。
ssl_supported_protocols
编辑- 值类型为字符串
- 允许的值为:
'TLSv1.1'、'TLSv1.2'、'TLSv1.3' - 默认值取决于正在使用的 JDK。使用最新的 Logstash,默认值为
['TLSv1.2', 'TLSv1.3']。'TLSv1.1'被认为是不安全的,仅为旧版应用程序提供。
建立与 HTTP 端点连接时允许使用的 SSL/TLS 版本列表。
对于 Java 8,只有从 8u262 (AdoptOpenJDK) 开始才支持 'TLSv1.3',但需要你在 Logstash 中设置 LS_JAVA_OPTS="-Djdk.tls.client.protocols=TLSv1.3" 系统属性。
如果你在任何最近的 JVM(例如与 Logstash 打包的 JVM)上将插件配置为使用 'TLSv1.1',则该协议默认禁用,需要通过更改 $JDK_HOME/conf/security/java.security 配置文件中的 jdk.tls.disabledAlgorithms 手动启用。也就是说,需要从列表中删除 TLSv1.1。
ssl_verification_mode
编辑- 值类型为字符串
- 支持的值为:
full、none - 默认值是
full
控制服务器证书的验证。full 选项验证提供的证书是否由受信任的机构 (CA) 签名,并且服务器的主机名(或 IP 地址)也与证书中标识的名称匹配。
none 设置不执行服务器证书的验证。此模式禁用了 SSL/TLS 的许多安全优势,仅应在谨慎考虑后使用。它主要用作尝试解决 TLS 错误时的临时诊断机制。强烈建议不要在生产环境中使用 none。
truststore
编辑在 1.5.0 中已弃用。
已替换为 ssl_truststore_path
- 值类型为路径
- 此设置没有默认值。
如果你需要使用自定义信任库 (.jks),请在此处指定。这不适用于 .pem 证书!
truststore_type
编辑在 1.5.0 中已弃用。
已替换为 ssl_truststore_type
- 值类型为字符串
- 默认值为
"JKS"
在此处指定信任库类型。可以是 JKS 或 PKCS12 之一。默认值为 JKS
validate_after_inactivity
编辑- 值类型为数字
- 默认值是
200
在检查是否有过时的连接以确定是否需要保持活动请求之前等待的时间。如果经常出现连接错误,请考虑将此值设置得低于默认值,甚至为 0。
此客户端基于 Apache Commons。以下是 Apache Commons 文档 如何描述此选项的:“定义在将持久连接租借给使用者之前必须重新验证的非活动时间(以毫秒为单位)。传递给此方法的非正值将禁用连接验证。此检查有助于检测在池中保持非活动状态时已变为过时(半关闭)的连接。”
通用选项
编辑所有过滤器插件都支持以下配置选项
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
add_field
编辑- 值类型是 哈希
- 默认值是
{}
如果此过滤器成功,则向此事件添加任何任意字段。字段名称可以是动态的,并且可以使用 %{field} 包含事件的部分。
示例
filter {
http {
add_field => { "foo_%{somefield}" => "Hello world, from %{host}" }
}
}
# You can also add multiple fields at once:
filter {
http {
add_field => {
"foo_%{somefield}" => "Hello world, from %{host}"
"new_field" => "new_static_value"
}
}
}
如果事件具有字段 "somefield" == "hello",则此过滤器在成功时将添加字段 foo_hello(如果存在),其值为上述值,并且将 %{host} 部分替换为事件中的值。第二个示例还将添加一个硬编码字段。
add_tag
编辑- 值类型是 数组
- 默认值是
[]
如果此过滤器成功,则向事件添加任意标记。标记可以是动态的,并且可以使用 %{field} 语法包含事件的部分。
示例
filter {
http {
add_tag => [ "foo_%{somefield}" ]
}
}
# You can also add multiple tags at once:
filter {
http {
add_tag => [ "foo_%{somefield}", "taggedy_tag"]
}
}
如果事件具有字段 "somefield" == "hello",则此过滤器在成功时将添加标记 foo_hello(第二个示例当然会添加 taggedy_tag 标记)。
id
编辑- 值类型是 字符串
- 此设置没有默认值。
向插件配置添加唯一的 ID。如果未指定 ID,则 Logstash 将生成一个 ID。强烈建议你在配置中设置此 ID。当你具有两个或多个相同类型的插件时,此 ID 特别有用,例如,如果你有 2 个 http 过滤器。在这种情况下,添加命名 ID 将有助于在使用监视 API 时监视 Logstash。
filter {
http {
id => "ABC"
}
}
id 字段中的变量替换仅支持环境变量,不支持使用来自密钥存储的值。
remove_field
编辑- 值类型是 数组
- 默认值是
[]
如果此过滤器成功,则从此事件中删除任意字段。字段名称可以是动态的,并且可以使用 %{field} 包含事件的部分。示例
filter {
http {
remove_field => [ "foo_%{somefield}" ]
}
}
# You can also remove multiple fields at once:
filter {
http {
remove_field => [ "foo_%{somefield}", "my_extraneous_field" ]
}
}
如果事件具有字段 "somefield" == "hello",则此过滤器在成功时将删除名为 foo_hello 的字段(如果存在)。第二个示例将删除一个额外的非动态字段。
remove_tag
编辑- 值类型是 数组
- 默认值是
[]
如果此过滤器成功,则从事件中删除任意标签。标签可以是动态的,并可以使用 %{field} 语法包含事件的部分内容。
示例
filter {
http {
remove_tag => [ "foo_%{somefield}" ]
}
}
# You can also remove multiple tags at once:
filter {
http {
remove_tag => [ "foo_%{somefield}", "sad_unwanted_tag"]
}
}
如果事件的字段 "somefield" == "hello",则此过滤器在成功时,如果存在标签 foo_hello,则会将其删除。第二个示例也会删除一个不需要的悲伤标签。