UDP 输入插件
编辑UDP 输入插件
编辑- 插件版本:v3.5.0
- 发布于:2021-08-04
- 更新日志
对于其他版本,请参阅版本化插件文档。
获取帮助
编辑有关插件的问题,请在Discuss论坛中开一个主题。对于错误或功能请求,请在Github中开一个 issue。有关 Elastic 支持的插件列表,请参阅Elastic 支持矩阵。
描述
编辑通过 UDP 协议,在网络上读取消息作为事件。唯一必需的配置项是 port,它指定 Logstash 将在其上侦听事件流的 UDP 端口。
事件元数据和 Elastic Common Schema (ECS)
编辑此插件添加一个包含 UDP 数据包的源 IP 地址的字段。默认情况下,IP 地址存储在 host 字段中。当Elastic Common Schema (ECS)启用时(在ecs_compatibility中),源 IP 地址存储在 [host][ip] 字段中。
您可以使用source_ip_fieldname自定义字段名称。有关更多信息,请参阅ecs_compatibility。
UDP 输入配置选项
编辑此插件支持以下配置选项以及稍后描述的通用选项。
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
是 |
||
否 |
||
否 |
||
否 |
||
否 |
source_ip_fieldname
buffer_size
编辑v1:在符合 ECS 的命名空间下添加结构化连接元数据
默认值取决于运行的 Logstash 版本
当 Logstash 提供一个 pipeline.ecs_compatibility 设置时,它的值将用作默认值
否则,默认值是 disabled。 |
控制此插件与Elastic Common Schema (ECS)的兼容性。 | 此设置的值会影响 TCP 连接的元数据在事件中的位置。 | 表 1. ecs_compatibility 值对应的元数据位置 |
|---|---|---|---|
否 |
`disabled` |
`v1` |
可用性 |
默认值是2000
编辑- 值类型是数字
- 这是在数据包开始丢弃之前,可以在内存中保留的未处理 UDP 数据包的数量。
套接字接收缓冲区大小(以字节为单位)。如果未设置选项,则使用操作系统默认值。如果 receive_buffer_bytes 大于允许值,操作系统将使用允许的最大值。如果您需要增加此允许的最大值,请查阅您的操作系统文档。
input {
udp {
source_ip_fieldname => "[appliance][monitoring][ip]"
}
}
source_ip_fieldname
编辑- workers
- 默认值可以是
"host"或[host][ip],具体取决于ecs_compatibility的值
将存储源 IP 地址的字段名称。有关 ECS 兼容性设置如何影响这些默认值的更多信息,请参阅事件元数据和 Elastic Common Schema (ECS)。
示例
编辑| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
enable_metric
编辑- 值类型是布尔值
- 默认值是
"0.0.0.0"
默认值是true
input {
udp {
id => "my_plugin_id"
}
}
默认情况下,禁用或启用此特定插件实例的指标日志记录,我们记录所有可以记录的指标,但您可以禁用特定插件的指标收集。
向此输入处理的所有事件添加一个 type 字段。
类型主要用于过滤器激活。
该类型作为事件本身的一部分存储,因此您也可以使用该类型在 Kibana 中搜索它。
类型主要用于过滤器激活。
如果您尝试在已经具有类型的事件上设置类型(例如,当您将事件从托运人发送到索引器时),则新的输入将不会覆盖现有类型。在托运人处设置的类型会在事件的生命周期中保持不变,即使发送到另一个 Logstash 服务器也是如此。
类型主要用于过滤器激活。
最受欢迎