« Udp 输入插件 Varnishlog 输入插件 »
Elastic 文档 Logstash 参考 [8.17] 输入插件

Unix 输入插件

编辑

Unix 输入插件

编辑

有关其他版本,请参阅版本化插件文档

获取帮助

编辑

有关插件的问题,请在Discuss论坛中开一个主题。对于错误或功能请求,请在Github中打开一个问题。有关 Elastic 支持的插件列表,请查阅Elastic 支持矩阵

描述

编辑

通过 UNIX 套接字读取事件。

stdinfile 输入一样,每个事件都假定为一行文本。

可以根据 mode 接受来自客户端的连接或连接到服务器。

与 Elastic Common Schema (ECS) 的兼容性

编辑

此插件添加有关事件来源的额外字段。如果您想确保这些字段与ECS兼容,请配置 ecs_compatibility 选项。

这些字段是在事件被适当的编解码器解码后添加的,并且不会覆盖现有值。

ECS 已禁用 ECS v1,v8 描述

主机

[host][name]

处理事件的 Logstash 主机的名称

路径

[file][path]

插件中配置的套接字路径

Unix 输入配置选项

编辑

此插件支持以下配置选项以及稍后描述的通用选项

设置 输入类型 必需

data_timeout

数字

ecs_compatibility

字符串

force_unlink

布尔值

mode

字符串,可以是 ["server", "client"] 之一

路径

字符串

socket_not_present_retry_interval_seconds

数字

另请参阅通用选项,查看所有输入插件支持的选项列表。

 

data_timeout

编辑
  • 值类型为数字
  • 默认值为 -1

以秒为单位的读取超时。如果特定连接的空闲时间超过此超时时间段,我们将假设它已死并关闭它。

如果您不想超时,请使用 -1。

ecs_compatibility

编辑
  • 值类型为字符串

  • 支持的值为

    • disabled:使用向后兼容的字段名称,例如 [host]
    • v1v8:使用与 ECS 兼容的字段,例如 [host][name]

控制此插件与Elastic Common Schema (ECS)的兼容性。有关详细信息,请参阅与 Elastic Common Schema (ECS) 的兼容性

示例输出:已启用 ECS

{
    "@timestamp" => 2021-11-16T13:20:06.308Z,
    "file" => {
      "path" => "/tmp/sock41299"
    },
    "host" => {
      "name" => "deus-ex-machina"
    },
    "message" => "foo"
}

示例输出:已禁用 ECS

{
    "@timestamp" => 2021-11-16T13:20:06.308Z,
    "path" => "/tmp/sock41299",
    "host" => "deus-ex-machina",
    "message" => "foo"
}

force_unlink

编辑

在 EADDRINUSE 失败时删除套接字文件

mode

编辑
  • 值可以是:serverclient
  • 默认值为 "server"

要运行的模式。server 侦听客户端连接,client 连接到服务器。

path

编辑
  • 这是一个必需的设置。
  • 值类型为字符串
  • 此设置没有默认值。

当 mode 为 server 时,为要侦听的路径。当 mode 为 client 时,为要连接的路径。

socket_not_present_retry_interval_seconds

编辑
  • 这是一个必需的设置。
  • 值类型为数字
  • 默认值为 5

如果套接字文件不存在,则在重试之前等待的秒数。只允许正值。

仅当 modeclient 时才使用此设置。

通用选项

编辑

所有输入插件都支持这些配置选项

设置 输入类型 必需

add_field

哈希

codec

codec

enable_metric

布尔值

id

字符串

tags

数组

type

字符串

add_field

编辑
  • 值类型为哈希
  • 默认值为 {}

向事件添加字段

codec

编辑

用于输入数据的编解码器。输入编解码器是一种在数据进入输入之前对其进行解码的便捷方法,而无需在 Logstash 管道中使用单独的过滤器。

enable_metric

编辑

禁用或启用此特定插件实例的度量日志记录,默认情况下,我们记录所有可以记录的度量,但您可以禁用特定插件的度量收集。

id

编辑
  • 值类型为字符串
  • 此设置没有默认值。

向插件配置添加唯一的 ID。如果未指定 ID,Logstash 将生成一个 ID。强烈建议在配置中设置此 ID。当您有两个或多个相同类型的插件时,例如,如果您有 2 个 unix 输入,这特别有用。在这种情况下添加命名 ID 将有助于在使用监视 API 时监视 Logstash。

input {
  unix {
    id => "my_plugin_id"
  }
}

id 字段中的变量替换仅支持环境变量,不支持使用来自秘密存储的值。

tags

编辑
  • 值类型为数组
  • 此设置没有默认值。

向您的事件添加任意数量的标签。

这有助于稍后的处理。

type

编辑
  • 值类型为字符串
  • 此设置没有默认值。

向此输入处理的所有事件添加 type 字段。

类型主要用于过滤器激活。

该类型作为事件本身的一部分存储,因此您也可以使用该类型在 Kibana 中搜索它。

如果您尝试在已经具有类型的事件上设置类型(例如,当您将事件从托运人发送到索引器时),则新的输入不会覆盖现有类型。在托运人处设置的类型将始终与该事件一起存在,即使发送到另一个 Logstash 服务器也是如此。

« Udp 输入插件 Varnishlog 输入插件 »