过滤器插件对事件执行中间处理。过滤器通常根据事件的特征有条件地应用。
以下过滤器插件可用。有关 Elastic 支持的插件列表,请参阅支持矩阵。
插件 |
描述 |
Github 仓库 |
通过从当前时间戳减去事件时间戳来计算事件的年龄 |
||
聚合来自单个任务的多个事件的信息 |
||
对 |
||
将计算机存储大小的字符串表示形式(例如“123 MB”或“5.6gb”)解析为以字节为单位的数值 |
||
根据网络块列表检查 IP 地址 |
||
对事件应用或删除密码 |
||
复制事件 |
||
将逗号分隔值数据解析为单个字段 |
||
解析字段中的日期以用作事件的 Logstash 时间戳 |
||
计算量大的过滤器,用于从字段名称中删除点 |
||
使用分隔符将非结构化事件数据提取到字段中 |
||
执行标准或反向 DNS 查找 |
||
删除所有事件 |
||
计算一对事件之间经过的时间 |
||
对来自 Elastic 集成的数 据提供额外的 Logstash 处理 |
||
将 Elasticsearch 中先前日志事件的字段复制到当前事件 |
||
将环境变量存储为元数据子字段 |
||
从字符串中提取数字 |
||
通过用一致的哈希值替换值来对字段进行指纹识别 |
||
添加有关 IP 地址的地理信息 |
||
将非结构化事件数据解析为字段 |
||
提供与外部 Web 服务/REST API 的集成 |
||
从字段中删除特殊字符 |
||
生成一个 UUID 并将其添加到每个已处理的事件中 |
||
使用从远程数据库预加载的数据丰富事件 |
||
使用数据库数据丰富事件 |
||
解析 JSON 事件 |
||
将字段序列化为 JSON |
||
解析键值对 |
||
提供与 Memcached 中的外部数据的集成 |
||
获取包含多个指标的复杂事件,并将它们拆分为多个事件,每个事件包含一个指标 |
||
聚合指标 |
||
对字段执行突变 |
||
根据要列入黑名单或白名单的字段列表修剪事件数据 |
||
检查指定的字段是否保持在给定的尺寸或长度限制内 |
||
执行任意 Ruby 代码 |
||
休眠指定的时间段 |
||
将多行消息、字符串或数组拆分为不同的事件 |
||
解析 |
||
使用有关攻击者意图的信息丰富安全日志 |
||
限制事件的数量 |
||
用您在配置中指定的任何内容替换默认消息字段的内容 |
||
根据哈希或 YAML 文件替换字段内容 |
||
截断长度超过给定长度的字段 |
||
解码 URL 编码的字段 |
||
将用户代理字符串解析为字段 |
||
向事件添加 UUID |
||
使用设备信息(如品牌、型号、操作系统)丰富日志 |
||
将 XML 解析为字段 |