- Logstash 参考文档其他版本
- Logstash 简介
- Logstash 入门
- Logstash 的工作原理
- 设置和运行 Logstash
- 升级 Logstash
- 创建 Logstash 管道
- 保护您的连接
- 高级 Logstash 配置
- Logstash 到 Logstash 通信
- 管理 Logstash
- 将 Logstash 与 Elastic Integrations 一起使用
- 使用 Logstash 模块
- 使用 Filebeat 模块
- 使用 Winlogbeat 模块
- 队列和数据弹性
- 转换数据
- 部署和扩展 Logstash
- 管理 GeoIP 数据库
- 性能调优
- 使用 Elastic Agent 监控 Logstash
- 监控 Logstash(旧版)
- 使用 API 监控 Logstash
- 使用插件
- 集成插件
- 输入插件
- azure_event_hubs
- beats
- cloudwatch
- couchdb_changes
- dead_letter_queue
- elastic_agent
- elastic_serverless_forwarder
- elasticsearch
- exec
- file
- ganglia
- gelf
- generator
- github
- google_cloud_storage
- google_pubsub
- graphite
- heartbeat
- http
- http_poller
- imap
- irc
- java_generator
- java_stdin
- jdbc
- jms
- jmx
- kafka
- kinesis
- logstash
- log4j
- lumberjack
- meetup
- pipe
- puppet_facter
- rabbitmq
- redis
- relp
- rss
- s3
- s3-sns-sqs
- salesforce
- snmp
- snmptrap
- sqlite
- sqs
- stdin
- stomp
- syslog
- tcp
- udp
- unix
- varnishlog
- websocket
- wmi
- xmpp
- 输出插件
- boundary
- circonus
- cloudwatch
- csv
- datadog
- datadog_metrics
- dynatrace
- elastic_app_search
- elastic_workplace_search
- elasticsearch
- exec
- file
- ganglia
- gelf
- google_bigquery
- google_cloud_storage
- google_pubsub
- graphite
- graphtastic
- http
- influxdb
- irc
- java_stdout
- juggernaut
- kafka
- librato
- logstash
- loggly
- lumberjack
- metriccatcher
- mongodb
- nagios
- nagios_nsca
- opentsdb
- pagerduty
- pipe
- rabbitmq
- redis
- redmine
- riak
- riemann
- s3
- sink
- sns
- solr_http
- sqs
- statsd
- stdout
- stomp
- syslog
- tcp
- timber
- udp
- webhdfs
- websocket
- xmpp
- zabbix
- 过滤器插件
- age
- aggregate
- alter
- bytes
- cidr
- cipher
- clone
- csv
- date
- de_dot
- dissect
- dns
- drop
- elapsed
- elastic_integration
- elasticsearch
- environment
- extractnumbers
- fingerprint
- geoip
- grok
- http
- i18n
- java_uuid
- jdbc_static
- jdbc_streaming
- json
- json_encode
- kv
- memcached
- metricize
- metrics
- mutate
- prune
- range
- ruby
- sleep
- split
- syslog_pri
- threats_classifier
- throttle
- tld
- translate
- truncate
- urldecode
- useragent
- uuid
- wurfl_device_detection
- xml
- 编解码器插件
- 技巧和最佳实践
- 故障排除
- 为 Logstash 做贡献
- 贡献 Java 插件
- 重大变更
- 发行说明
- Logstash 8.17.0 发行说明
- Logstash 8.16.1 发行说明
- Logstash 8.16.0 发行说明
- Logstash 8.15.4 发行说明
- Logstash 8.15.3 发行说明
- Logstash 8.15.2 发行说明
- Logstash 8.15.1 发行说明
- Logstash 8.15.0 发行说明
- Logstash 8.14.3 发行说明
- Logstash 8.14.2 发行说明
- Logstash 8.14.1 发行说明
- Logstash 8.14.0 发行说明
- Logstash 8.13.4 发行说明
- Logstash 8.13.3 发行说明
- Logstash 8.13.2 发行说明
- Logstash 8.13.1 发行说明
- Logstash 8.13.0 发行说明
- Logstash 8.12.2 发行说明
- Logstash 8.12.1 发行说明
- Logstash 8.12.0 发行说明
- Logstash 8.11.4 发行说明
- Logstash 8.11.3 发行说明
- Logstash 8.11.2 发行说明
- Logstash 8.11.1 发行说明
- Logstash 8.11.0 发行说明
- Logstash 8.10.4 发行说明
- Logstash 8.10.3 发行说明
- Logstash 8.10.2 发行说明
- Logstash 8.10.1 发行说明
- Logstash 8.10.0 发行说明
- Logstash 8.9.2 发行说明
- Logstash 8.9.1 发行说明
- Logstash 8.9.0 发行说明
- Logstash 8.8.2 发行说明
- Logstash 8.8.1 发行说明
- Logstash 8.8.0 发行说明
- Logstash 8.7.1 发行说明
- Logstash 8.7.0 发行说明
- Logstash 8.6.2 发行说明
- Logstash 8.6.1 发行说明
- Logstash 8.6.0 发行说明
- Logstash 8.5.3 发行说明
- Logstash 8.5.2 发行说明
- Logstash 8.5.1 发行说明
- Logstash 8.5.0 发行说明
- Logstash 8.4.2 发行说明
- Logstash 8.4.1 发行说明
- Logstash 8.4.0 发行说明
- Logstash 8.3.3 发行说明
- Logstash 8.3.2 发行说明
- Logstash 8.3.1 发行说明
- Logstash 8.3.0 发行说明
- Logstash 8.2.3 发行说明
- Logstash 8.2.2 发行说明
- Logstash 8.2.1 发行说明
- Logstash 8.2.0 发行说明
- Logstash 8.1.3 发行说明
- Logstash 8.1.2 发行说明
- Logstash 8.1.1 发行说明
- Logstash 8.1.0 发行说明
- Logstash 8.0.1 发行说明
- Logstash 8.0.0 发行说明
- Logstash 8.0.0-rc2 发行说明
- Logstash 8.0.0-rc1 发行说明
- Logstash 8.0.0-beta1 发行说明
- Logstash 8.0.0-alpha2 发行说明
- Logstash 8.0.0-alpha1 发行说明
Elasticsearch 过滤器插件
编辑Elasticsearch 过滤器插件
编辑- 插件版本:v3.16.1
- 发布日期:2023-09-29
- 更新日志
有关其他版本,请参阅版本化插件文档。
获取帮助
编辑有关插件的问题,请在 Discuss 论坛中开一个主题。有关错误或功能请求,请在 Github 中开一个问题。有关 Elastic 支持的插件列表,请查阅 Elastic 支持矩阵。
描述
编辑在 Elasticsearch 中搜索之前的日志事件,并将其中的一些字段复制到当前事件中。以下是此过滤器可能使用的两个完整示例。
第一个示例使用传统的 *query* 参数,用户只能使用 Elasticsearch query_string。每当 logstash 接收到 “end” 事件时,它会使用此 elasticsearch 过滤器根据某些操作标识符查找匹配的 “start” 事件。然后,它会将 “start” 事件的 @timestamp 字段复制到 “end” 事件的新字段中。最后,通过组合使用 “date” 过滤器和 “ruby” 过滤器,我们计算出两个事件之间的小时持续时间。
if [type] == "end" { elasticsearch { hosts => ["es-server"] query => "type:start AND operation:%{[opid]}" fields => { "@timestamp" => "started" } } date { match => ["[started]", "ISO8601"] target => "[started]" } ruby { code => "event.set('duration_hrs', (event.get('@timestamp') - event.get('started')) / 3600)" } }
下面的示例重现了上面的示例,但使用了 query_template。此 query_template 表示完整的 Elasticsearch 查询 DSL,并支持标准的 Logstash 字段替换语法。下面的示例发出与第一个示例相同的查询,但使用显示的模板。
if [type] == "end" { elasticsearch { hosts => ["es-server"] query_template => "template.json" fields => { "@timestamp" => "started" } } date { match => ["[started]", "ISO8601"] target => "[started]" } ruby { code => "event.set('duration_hrs', (event.get('@timestamp') - event.get('started')) / 3600)" } }
template.json
{ "size": 1, "sort" : [ { "@timestamp" : "desc" } ], "query": { "query_string": { "query": "type:start AND operation:%{[opid]}" } }, "_source": ["@timestamp"] }
如上所示,通过使用 *opid*,可以引用模板中 Logstash 事件的字段。模板将在用于查询 Elasticsearch 之前按事件填充。
另请注意,当您使用 query_template 时,Logstash 属性 result_size 和 sort 将被忽略。它们应该直接在 JSON 模板中指定,如上面的示例所示。
身份验证
编辑可以使用以下选项中的*一个*对安全的 Elasticsearch 集群进行身份验证
授权
编辑对安全的 Elasticsearch 集群进行授权需要在索引级别具有 read 权限,并在集群级别具有 monitoring 权限。集群级别的 monitoring 权限是执行定期连接检查所必需的。
Elasticsearch 过滤器配置选项
编辑此插件支持以下配置选项以及稍后描述的常用选项和Elasticsearch 过滤器已弃用配置选项。
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
已弃用 |
||
否 |
||
路径列表 |
否 |
|
字符串列表 |
否 |
|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
字符串,为 |
否 |
|
否 |
||
否 |
另请参阅常用选项,以获取所有过滤器插件支持的选项列表。
aggregation_fields
编辑- 值类型为 哈希
- 默认值为
{}
要从 elasticsearch 响应复制到 Logstash 事件字段的聚合名称的哈希
示例
filter { elasticsearch { aggregation_fields => { "my_agg_name" => "my_ls_field" } } }
api_key
编辑- 值类型为 密码
- 此设置没有默认值。
使用 Elasticsearch API 密钥进行身份验证。请注意,此选项还需要启用 ssl_enabled 选项。
格式为 id:api_key,其中 id 和 api_key 由 Elasticsearch 创建 API 密钥 API 返回。
ca_trusted_fingerprint
编辑- 值类型为 字符串,并且必须包含正好 64 个十六进制字符。
- 此设置没有默认值。
- 使用此选项 *需要* Logstash 8.3+
要信任的 SSL 证书颁发机构的 SHA-256 指纹,例如 Elasticsearch 集群的自动生成的自签名 CA。
cloud_auth
编辑- 值类型为 密码
- 此设置没有默认值。
云身份验证字符串(“<用户名>:<密码>” 格式)是 user/ password 对的替代方案。
有关更多信息,请查看 Logstash 到云的文档。
cloud_id
编辑- 值类型为 字符串
- 此设置没有默认值。
来自 Elastic Cloud Web 控制台的 Cloud ID。如果设置了 hosts,则不应使用。
有关更多信息,请查看 Logstash 到云的文档。
docinfo_fields
编辑- 值类型为 哈希
- 默认值为
{}
要从旧事件(通过 elasticsearch 查找)复制到新事件的 docinfo 字段的哈希
示例
filter { elasticsearch { docinfo_fields => { "_id" => "document_id" "_index" => "document_index" } } }
fields
编辑- 值类型为 数组
- 默认值为
{}
要从旧事件(通过 elasticsearch 查找)复制到当前正在处理的新事件的字段数组。
在以下示例中,通过 elasticsearch 找到的事件的 @timestamp 和 event_id 的值分别复制到当前事件的 started 和 start_id 字段
fields => { "@timestamp" => "started" "event_id" => "start_id" }
index
编辑- 值类型为 字符串
- 默认值为
""
要搜索的索引名称的逗号分隔列表;使用 _all 或空字符串以对所有索引执行操作。可以使用字段替换(例如,index-name-%{date_field})
query
编辑- 值类型为 字符串
- 此设置没有默认值。
Elasticsearch 查询字符串。有关更多信息,请参见Elasticsearch 查询字符串文档。使用 query 或 query_template。
query_template
编辑- 值类型为 字符串
- 此设置没有默认值。
采用 DSL 格式的 elasticsearch 查询的文件路径。有关更多信息,请参见Elasticsearch 查询文档。使用 query 或 query_template。
ssl_certificate
编辑- 值类型为 路径
- 此设置没有默认值。
用于验证客户端身份的 SSL 证书。此证书应该是 OpenSSL 样式的 X.509 证书文件。
仅当设置了 ssl_key 时,才能使用此设置。
ssl_certificate_authorities
编辑- 值类型为 路径列表
- 此设置没有默认值
用于验证服务器证书的 .cer 或 .pem 文件。
您不能同时使用此设置和 ssl_truststore_path。
ssl_enabled
编辑- 值类型为 布尔值
- 此设置没有默认值。
启用与 Elasticsearch 集群的 SSL/TLS 安全通信。如果未指定,将使用 hosts 中列出的 URL 中指定的任何方案,或从 cloud_id 中提取的方案。如果未指定显式协议,则将使用纯 HTTP。
ssl_key
编辑- 值类型为 路径
- 此设置没有默认值。
与 ssl_certificate 对应的 OpenSSL 样式的 RSA 私钥。
仅当设置了 ssl_certificate 时,才能使用此设置。
ssl_supported_protocols
编辑- 值类型为 字符串
- 允许的值为:
'TLSv1.1'、'TLSv1.2'、'TLSv1.3' - 默认值取决于所使用的 JDK。使用最新的 Logstash,默认值为
['TLSv1.2', 'TLSv1.3']。'TLSv1.1'被认为不安全,仅为旧版应用程序提供。
建立与 Elasticsearch 集群的连接时,允许使用的 SSL/TLS 版本列表。
对于 Java 8,'TLSv1.3' 仅在 8u262 (AdoptOpenJDK) 及更高版本中受支持,但需要您在 Logstash 中设置 LS_JAVA_OPTS="-Djdk.tls.client.protocols=TLSv1.3" 系统属性。
如果在任何最近的 JVM(例如 Logstash 打包的 JVM)上将插件配置为使用 'TLSv1.1',则该协议默认情况下处于禁用状态,需要通过更改 $JDK_HOME/conf/security/java.security 配置文件中的 jdk.tls.disabledAlgorithms 来手动启用。也就是说,需要从列表中删除 TLSv1.1。
ssl_truststore_path
编辑- 值类型为 路径
- 此设置没有默认值。
用于验证服务器证书的信任库。它可以是 .jks 或 .p12。
您不能同时使用此设置和 ssl_certificate_authorities。
ssl_verification_mode
编辑- 值可以是以下任意一个:
full,none - 默认值为
full
定义如何验证 TLS 连接中另一方提供的证书
full 验证服务器证书是否具有在 not_before 和 not_after 日期之间的颁发日期;链接到受信任的证书颁发机构 (CA),并且具有与证书中的名称匹配的主机名或 IP 地址。
none 不执行任何证书验证。
将证书验证设置为 none 会禁用 SSL/TLS 的许多安全优势,这非常危险。有关禁用证书验证的更多信息,请阅读 https://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf
通用选项
编辑所有过滤器插件都支持这些配置选项
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
add_field
编辑- 值类型为 哈希
- 默认值为
{}
如果此过滤器成功,则向此事件添加任何任意字段。字段名称可以是动态的,并使用 %{field} 包括事件的各个部分。
示例
filter { elasticsearch { add_field => { "foo_%{somefield}" => "Hello world, from %{host}" } } }
# You can also add multiple fields at once: filter { elasticsearch { add_field => { "foo_%{somefield}" => "Hello world, from %{host}" "new_field" => "new_static_value" } } }
如果事件的字段为 "somefield" == "hello",则此过滤器在成功时将添加字段 foo_hello(如果存在),其值为上述值,并将 %{host} 部分替换为事件中的该值。第二个示例还将添加一个硬编码字段。
add_tag
编辑- 值类型为 数组
- 默认值为
[]
如果此过滤器成功,则向该事件添加任意标签。标签可以是动态的,并使用 %{field} 语法包括事件的各个部分。
示例
filter { elasticsearch { add_tag => [ "foo_%{somefield}" ] } }
# You can also add multiple tags at once: filter { elasticsearch { add_tag => [ "foo_%{somefield}", "taggedy_tag"] } }
如果事件的字段为 "somefield" == "hello",则此过滤器在成功时将添加标签 foo_hello(第二个示例当然会添加 taggedy_tag 标签)。
id
编辑- 值类型为 字符串
- 此设置没有默认值。
向插件配置添加唯一的 ID。如果未指定 ID,Logstash 将生成一个。强烈建议在您的配置中设置此 ID。当您有两个或多个相同类型的插件时,此功能特别有用,例如,如果您有 2 个 Elasticsearch 过滤器。在这种情况下添加命名的 ID 将有助于在使用监控 API 时监控 Logstash。
filter { elasticsearch { id => "ABC" } }
id 字段中的变量替换仅支持环境变量,并且不支持使用来自秘密存储的值。
remove_field
编辑- 值类型为 数组
- 默认值为
[]
如果此过滤器成功,则从此事件中删除任意字段。字段名称可以是动态的,并使用 %{field} 包括事件的各个部分。示例
filter { elasticsearch { remove_field => [ "foo_%{somefield}" ] } }
# You can also remove multiple fields at once: filter { elasticsearch { remove_field => [ "foo_%{somefield}", "my_extraneous_field" ] } }
如果事件的字段为 "somefield" == "hello",则此过滤器在成功时将删除名为 foo_hello 的字段(如果存在)。第二个示例将删除一个额外的、非动态字段。
remove_tag
编辑- 值类型为 数组
- 默认值为
[]
如果此过滤器成功,则从事件中删除任意标签。标签可以是动态的,并使用 %{field} 语法包括事件的各个部分。
示例
filter { elasticsearch { remove_tag => [ "foo_%{somefield}" ] } }
# You can also remove multiple tags at once: filter { elasticsearch { remove_tag => [ "foo_%{somefield}", "sad_unwanted_tag"] } }
如果事件的字段为 "somefield" == "hello",则此过滤器在成功时将删除标签 foo_hello(如果存在)。第二个示例还将删除一个令人沮丧的、不需要的标签。
On this page
- 获取帮助
- 描述
- 身份验证
- 授权
- Elasticsearch 过滤器配置选项
aggregation_fieldsapi_keyca_trusted_fingerprintcloud_authcloud_iddocinfo_fieldsenable_sortfieldshostsindexpasswordproxyqueryquery_templateresult_sizeretry_on_failureretry_on_statussortssl_certificatessl_certificate_authoritiesssl_cipher_suitesssl_enabledssl_keyssl_keystore_passwordssl_keystore_pathssl_keystore_typessl_supported_protocolsssl_truststore_passwordssl_truststore_pathssl_truststore_typessl_verification_modetag_on_failureuser- Elasticsearch 过滤器已弃用的配置选项
ca_filesslkeystorekeystore_password- 通用选项
add_fieldadd_tagenable_metricidperiodic_flushremove_fieldremove_tag