DNS 过滤器插件
编辑DNS 过滤器插件编辑
- 插件版本:v3.2.0
- 发布时间:2023-01-26
- 更新日志
有关其他版本,请参阅版本化插件文档。
获取帮助编辑
如果您对插件有任何疑问,请在论坛中打开一个主题。对于错误或功能请求,请在Github中打开一个问题。有关 Elastic 支持的插件列表,请参阅Elastic 支持矩阵。
描述编辑
DNS 过滤器对reverse数组或resolve数组下指定的记录执行查找(A 记录/CNAME 记录查找或 PTR 记录的反向查找)。
配置应如下所示
filter {
dns {
reverse => [ "source_host", "field_with_address" ]
resolve => [ "field_with_fqdn" ]
action => "replace"
}
}
此过滤器与所有过滤器一样,一次只处理一个事件,因此如果您的网络延迟较高,使用此插件可能会显著降低管道的吞吐量。例如,如果每次 DNS 查找需要 2 毫秒,则使用单个过滤器工作线程可以实现的最大吞吐量为每秒 500 个事件(1000 毫秒 / 2 毫秒)。
DNS 过滤器配置选项编辑
此插件支持以下配置选项以及稍后描述的通用选项。
| 设置 | 输入类型 | 必需 |
|---|---|---|
字符串, |
否 |
|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
另请参阅通用选项,了解所有过滤器插件支持的选项列表。
nameserver编辑
使用自定义域名服务器。例如
filter {
dns {
nameserver => {
address => ["8.8.8.8", "8.8.4.4"]
search => ["internal.net"]
}
}
}
如果未指定nameserver,则将读取/etc/resolv.conf以使用/etc/resolv.conf中的nameserver、domain、search和ndots指令配置解析器。
通用选项编辑
以下配置选项受所有过滤器插件支持
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
add_field编辑
- 值类型为哈希
- 默认值为
{}
如果此过滤器成功,则向此事件添加任意字段。字段名称可以是动态的,并且可以使用%{field}包含事件的一部分。
示例
filter {
dns {
add_field => { "foo_%{somefield}" => "Hello world, from %{host}" }
}
}
# You can also add multiple fields at once:
filter {
dns {
add_field => {
"foo_%{somefield}" => "Hello world, from %{host}"
"new_field" => "new_static_value"
}
}
}
如果事件的字段"somefield" == "hello",则此过滤器在成功时将添加字段foo_hello(如果存在),其值为上述值,并将%{host}部分替换为事件中的该值。第二个示例还将添加一个硬编码字段。
add_tag编辑
- 值类型为数组
- 默认值为
[]
如果此过滤器成功,则向事件添加任意标签。标签可以是动态的,并且可以使用%{field}语法包含事件的一部分。
示例
filter {
dns {
add_tag => [ "foo_%{somefield}" ]
}
}
# You can also add multiple tags at once:
filter {
dns {
add_tag => [ "foo_%{somefield}", "taggedy_tag"]
}
}
如果事件的字段"somefield" == "hello",则此过滤器在成功时将添加标签foo_hello(第二个示例当然会添加taggedy_tag标签)。
id编辑
- 值类型为字符串
- 此设置没有默认值。
为插件配置添加唯一的 ID。如果未指定 ID,Logstash 将会自动生成一个。强烈建议在配置中设置此 ID。当您拥有两个或多个相同类型的插件时,例如,如果您有两个 dns 过滤器,这将特别有用。在这种情况下,添加命名 ID 将有助于在使用监控 API 时监控 Logstash。
filter {
dns {
id => "ABC"
}
}
id 字段中的变量替换仅支持环境变量,不支持使用来自密钥存储的值。
remove_field编辑
- 值类型为数组
- 默认值为
[]
如果此过滤器成功,则从此事件中删除任意字段。字段名称可以是动态的,并使用 %{field} 示例包含事件的一部分
filter {
dns {
remove_field => [ "foo_%{somefield}" ]
}
}
# You can also remove multiple fields at once:
filter {
dns {
remove_field => [ "foo_%{somefield}", "my_extraneous_field" ]
}
}
如果事件的字段 "somefield" == "hello",则此过滤器在成功时将删除名称为 foo_hello 的字段(如果存在)。第二个示例将删除另一个非动态字段。
remove_tag编辑
- 值类型为数组
- 默认值为
[]
如果此过滤器成功,则从事件中删除任意标签。标签可以是动态的,并使用 %{field} 语法包含事件的一部分。
示例
filter {
dns {
remove_tag => [ "foo_%{somefield}" ]
}
}
# You can also remove multiple tags at once:
filter {
dns {
remove_tag => [ "foo_%{somefield}", "sad_unwanted_tag"]
}
}
如果事件的字段 "somefield" == "hello",则此过滤器在成功时将删除标签 foo_hello(如果存在)。第二个示例还将删除一个不需要的标签。