TCP 输入插件
编辑TCP 输入插件
编辑- 插件版本:v6.4.4
- 发布日期:2024-11-18
- 更新日志
对于其他版本,请参阅版本化插件文档。
获取帮助
编辑有关该插件的问题,请在Discuss论坛中开一个主题。对于错误或功能请求,请在Github中开一个问题。有关 Elastic 支持的插件列表,请查阅Elastic 支持矩阵。
描述
编辑通过 TCP 套接字读取事件。
与 stdin 和文件输入类似,每个事件都被假定为一行文本。
可以根据 mode 的设置,接受来自客户端的连接或连接到服务器。
接受 log4j2 日志
编辑Log4j2 可以通过套接字发送 JSON,我们可以将其与 TCP 输入结合使用来接收日志。
首先,我们需要配置你的应用程序以通过套接字以 JSON 格式发送日志。以下 log4j2.xml 完成此任务。
请注意,你需要在该配置中更改 host 和 port 设置以满足你的需求。
<Configuration>
<Appenders>
<Socket name="Socket" host="localhost" port="12345">
<JsonLayout compact="true" eventEol="true" />
</Socket>
</Appenders>
<Loggers>
<Root level="info">
<AppenderRef ref="Socket"/>
</Root>
</Loggers>
</Configuration>
要在 Logstash 中接受此配置,你需要使用 TCP 输入和一个日期过滤器
input {
tcp {
port => 12345
codec => json
}
}
并添加一个日期过滤器,以获取 log4j2 的 timeMillis 字段并将其用作事件时间戳
filter {
date {
match => [ "timeMillis", "UNIX_MS" ]
}
}
事件元数据和 Elastic Common Schema (ECS)
编辑除了解码事件外,此输入还将有关 TCP 连接本身的元数据添加到每个事件。当应用程序被配置为将事件直接发送到此输入的 TCP 侦听器而不包括有关自身的信息时,这会很有帮助。
历史上,此元数据被添加到各种非标准的顶级字段中,这可能会在下游造成混淆和架构冲突。借助 ECS 兼容模式,我们可以确保管道在整个事件生命周期中仍然可以访问此元数据,而不会污染顶级命名空间。
| 元数据组 | ecs: v1, v8 |
ecs: disabled |
|---|---|---|
来自接收事件的 TCP 连接的源元数据,包括发送方的名称、IP 和出站端口。 |
[@metadata][input][tcp][source][name] |
[host] |
[@metadata][input][tcp][source][ip] |
[@metadata][ip_address] |
|
[@metadata][input][tcp][source][port] |
[port] |
|
来自代理的 TCP 连接的代理元数据。当通过代理接收事件且 |
[@metadata][input][tcp][proxy][ip] |
[proxy_host] |
[@metadata][input][tcp][proxy][port] |
[proxy_port] |
|
来自安全 TCP 连接的 SSL 主题元数据。当 |
[@metadata][input][tcp][ssl][subject] |
[sslsubject] |
例如,Elastic Common Schema 保留了顶级 host 字段,用于存放有关事件发生的主机的信息。如果事件缺少此元数据,则可以从已添加到事件的源 TCP 连接元数据中复制到适当的位置
filter {
if [@metadata][input][tcp][source] and ![host] {
mutate {
copy => {
"[@metadata][input][tcp][source][name]" => "[host][name]"
"[@metadata][input][tcp][source][ip]" => "[host][ip]"
}
}
}
}
TCP 输入配置选项
编辑此插件支持以下配置选项以及稍后描述的通用选项。
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
字符串,以下之一: |
否 |
|
是 |
||
否 |
||
有效的文件系统路径 |
已弃用 |
|
有效的文件系统路径 |
否 |
|
否 |
||
否 |
||
字符串,以下之一: |
否 |
|
已弃用 |
||
否 |
||
否 |
||
有效的文件系统路径 |
否 |
|
否 |
||
否 |
||
字符串,以下之一: |
否 |
|
已弃用 |
||
否 |
另请参阅通用选项,其中列出了所有输入插件支持的选项。
dns_reverse_lookup_enabled
编辑- 值类型为 布尔值
- 默认值为
true
可以通过禁用此设置来避免 DNS 反向查找。如果禁用,则添加到事件的地址元数据将包含 TCP 层指定的源地址,并且 IP 将不会解析为主机名。
ecs_compatibility
编辑- 值类型为 字符串
-
支持的值为
-
disabled:在根级别添加非结构化连接元数据 -
v1、v8:在[@metadata][input][tcp]下添加结构化连接元数据
-
-
默认值取决于正在运行的 Logstash 版本
- 当 Logstash 提供
pipeline.ecs_compatibility设置时,其值将用作默认值 - 否则,默认值为
disabled。
- 当 Logstash 提供
控制此插件与Elastic Common Schema (ECS)的兼容性。此设置的值会影响事件中TCP 连接元数据的放置位置。
proxy_protocol
编辑- 值类型为 布尔值
- 默认值为
false
代理协议支持,目前仅支持 v1 http://www.haproxy.org/download/1.5/doc/proxy-protocol.txt
ssl_cipher_suites
编辑- 值类型为 字符串
- 默认值包括 JDK 启用的所有密码套件,并且取决于 JDK 配置
支持的密码套件因使用的 Java 版本而异,条目看起来像 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384。有关详细信息,请参阅 Oracle 的JDK SunJSSE 提供程序文档和Java 密码套件名称的支持表。
要本地检查支持的密码套件,请运行以下脚本:$LS_HOME/bin/ruby -e 'p javax.net.ssl.SSLServerSocketFactory.getDefault.getSupportedCipherSuites'。
ssl_client_authentication
编辑- 值可以是以下任意值:
none、optional、required - 默认值为
required
控制服务器在请求客户端连接的证书方面的行为:none 禁用客户端身份验证。required 强制客户端提供证书,而 optional 请求客户端证书,但客户端不是必须提供证书。
当启用双向 TLS(optional 或 required)时,客户端提供的证书必须由受信任的 ssl_certificate_authorities (CA) 签名。请注意,服务器不会验证客户端证书的 CN(通用名称)或 SAN(主题备用名称)。
只有当 mode 为 server 且设置了 ssl_certificate_authorities 时,才能使用此设置。
ssl_supported_protocols
编辑- 值类型为 字符串
- 允许的值为:
'TLSv1.1'、'TLSv1.2'、'TLSv1.3' - 默认值取决于所使用的 JDK。使用最新的 Logstash 时,默认值为
['TLSv1.2', 'TLSv1.3']。'TLSv1.1'被认为是不安全的,仅为遗留应用程序提供。
建立安全连接时允许使用的 SSL/TLS 版本列表。
如果在任何最新的 JVM(例如与 Logstash 打包的 JVM)上将插件配置为使用 'TLSv1.1',则默认情况下禁用该协议,需要通过更改 $JDK_HOME/conf/security/java.security 配置文件中的 jdk.tls.disabledAlgorithms 手动启用。也就是说,需要从列表中删除 TLSv1.1。
ssl_verification_mode
编辑- 值可以是以下任何一个:
full、none - 默认值为
full
定义如何验证 TLS 连接中另一方提供的证书
full 验证服务器证书的颁发日期是否在 not_before 和 not_after 日期之间;是否链接到受信任的证书颁发机构 (CA),以及是否具有与证书内的名称匹配的主机名或 IP 地址。
none 不执行证书验证。
只有当 mode 为 client 时,才能使用此设置。
将证书验证设置为 none 会禁用 SSL/TLS 的许多安全优势,这是非常危险的。有关禁用证书验证的更多信息,请阅读 https://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf