过滤器插件对事件执行中间处理。过滤器通常根据事件的特征有条件地应用。
以下提供了可用的过滤器插件。有关 Elastic 支持的插件列表,请参阅支持矩阵。
插件 |
描述 |
Github 存储库 |
通过从当前时间戳中减去事件时间戳来计算事件的年龄 |
||
聚合来自单个任务的多个事件的信息 |
||
对 |
||
将计算机存储大小的字符串表示形式(例如 "123 MB" 或 "5.6gb")解析为以字节为单位的数值 |
||
根据网络块列表检查 IP 地址 |
||
对事件应用或移除密码 |
||
复制事件 |
||
将逗号分隔值数据解析为单独的字段 |
||
从字段解析日期以用作事件的 Logstash 时间戳 |
||
计算开销很大的过滤器,用于删除字段名称中的点 |
||
使用分隔符将非结构化事件数据提取到字段中 |
||
执行标准或反向 DNS 查找 |
||
删除所有事件 |
||
计算一对事件之间经过的时间 |
||
为来自 Elastic 集成的数据提供额外的 Logstash 处理 |
||
将 Elasticsearch 中以前日志事件的字段复制到当前事件 |
||
将环境变量存储为元数据子字段 |
||
从字符串中提取数字 |
||
通过将值替换为一致的哈希来指纹化字段 |
||
添加有关 IP 地址的地理信息 |
||
将非结构化事件数据解析为字段 |
||
提供与外部 Web 服务/REST API 的集成 |
||
从字段中删除特殊字符 |
||
生成 UUID 并将其添加到每个处理的事件 |
||
使用从远程数据库预加载的数据丰富事件 |
||
使用数据库数据丰富事件 |
||
解析 JSON 事件 |
||
将字段序列化为 JSON |
||
解析键值对 |
||
提供与 Memcached 中外部数据的集成 |
||
获取包含多个指标的复杂事件,并将这些事件拆分为多个事件,每个事件包含一个指标 |
||
聚合指标 |
||
对字段执行变更 |
||
根据要列入黑名单或白名单的字段列表修剪事件数据 |
||
检查指定的字段是否保持在给定的大小或长度限制内 |
||
执行任意 Ruby 代码 |
||
休眠指定的时间跨度 |
||
将多行消息、字符串或数组拆分为不同的事件 |
||
解析 |
||
使用有关攻击者意图的信息丰富安全日志 |
||
限制事件的数量 |
||
将默认消息字段的内容替换为您在配置中指定的任何内容 |
||
基于哈希或 YAML 文件替换字段内容 |
||
截断长度超过给定长度的字段 |
||
解码 URL 编码的字段 |
||
将用户代理字符串解析为字段 |
||
向事件添加 UUID |
||
使用设备信息(如品牌、型号、操作系统)丰富日志 |
||
将 XML 解析为字段 |