› ›

Elasticsearch 过滤器插件

编辑

Elasticsearch 过滤器插件编辑

插件版本：v3.16.1
发布日期：2023-09-29
变更日志

有关其他版本，请参阅版本化插件文档。

获取帮助编辑

如果您对插件有任何疑问，请在 Discuss 论坛中发布主题。对于错误或功能请求，请在 Github 中创建问题。有关 Elastic 支持的插件列表，请参阅 Elastic 支持矩阵。

描述编辑

在 Elasticsearch 中搜索以前的日志事件，并将其中的一些字段复制到当前事件中。以下是此过滤器如何使用的两个完整示例。

第一个示例使用旧的 query 参数，其中用户仅限于 Elasticsearch query_string。每当 Logstash 接收“end”事件时，它都会使用此 elasticsearch 过滤器根据某些操作标识符查找匹配的“start”事件。然后，它将“start”事件中的 @timestamp 字段复制到“end”事件上的新字段中。最后，使用“date”过滤器和“ruby”过滤器的组合，我们计算两个事件之间的时间间隔（以小时为单位）。

if [type] == "end" {
   elasticsearch {
      hosts => ["es-server"]
      query => "type:start AND operation:%{[opid]}"
      fields => { "@timestamp" => "started" }
   }

   date {
      match => ["[started]", "ISO8601"]
      target => "[started]"
   }

   ruby {
      code => "event.set('duration_hrs', (event.get('@timestamp') - event.get('started')) / 3600)"
   }
}

以下示例重现了上述示例，但使用了 query_template。此 query_template 表示完整的 Elasticsearch 查询 DSL，并支持标准 Logstash 字段替换语法。以下示例发出与第一个示例相同的查询，但使用显示的模板。

if [type] == "end" {
      elasticsearch {
         hosts => ["es-server"]
         query_template => "template.json"
         fields => { "@timestamp" => "started" }
      }

      date {
         match => ["[started]", "ISO8601"]
         target => "[started]"
      }

      ruby {
         code => "event.set('duration_hrs', (event.get('@timestamp') - event.get('started')) / 3600)"
      }
}

template.json

{
  "size": 1,
  "sort" : [ { "@timestamp" : "desc" } ],
  "query": {
    "query_string": {
      "query": "type:start AND operation:%{[opid]}"
    }
  },
  "_source": ["@timestamp"]
}

如上所示，通过使用 opid，可以从 Logstash 事件中引用模板中的字段。模板将在每个事件之前被填充，然后用于查询 Elasticsearch。

还要注意，当使用 query_template 时，Logstash 属性 result_size 和 sort 将被忽略。它们应直接在 JSON 模板中指定，如上面的示例所示。

身份验证编辑

可以使用以下一种选项对安全的 Elasticsearch 集群进行身份验证

授权编辑

对安全的 Elasticsearch 集群进行授权需要在索引级别具有 read 权限，并在集群级别具有 monitoring 权限。集群级别的 monitoring 权限对于执行定期连接检查是必要的。

Elasticsearch 过滤器配置选项编辑

此插件支持以下配置选项，以及稍后描述的通用选项和 Elasticsearch 过滤器已弃用的配置选项。

设置	输入类型	必需
`aggregation_fields`	哈希	否
`api_key`	password	否
`ca_trusted_fingerprint`	字符串	否
`cloud_auth`	password	否
`cloud_id`	字符串	否
`docinfo_fields`	哈希	否
`enable_sort`	布尔值	否
`fields`	数组	否
`hosts`	数组	否
`index`	字符串	否
`password`	password	否
`proxy`	uri	否
`query`	字符串	否
`query_template`	字符串	否
`result_size`	数字	否
`retry_on_failure`	数字	否
`retry_on_status`	数组	否
`sort`	字符串	否
`ssl`	布尔值	已弃用
`ssl_certificate`	path	否
`ssl_certificate_authorities`	路径列表	否
`ssl_cipher_suites`	字符串列表	否
`ssl_enabled`	布尔值	否
`ssl_key`	path	否
`ssl_keystore_password`	password	否
`ssl_keystore_path`	path	否
`ssl_keystore_type`	字符串	否
`ssl_supported_protocols`	字符串	否
`ssl_truststore_password`	password	否
`ssl_truststore_path`	path	否
`ssl_truststore_type`	字符串	否
`ssl_verification_mode`	字符串，必须是 `["full", "none"]` 中的一个	否
`tag_on_failure`	数组	否
`user`	字符串	否

另请参阅通用选项，了解所有过滤器插件支持的选项列表。

`aggregation_fields`编辑

值类型为哈希
默认值为 {}

从 Elasticsearch 响应中复制到 Logstash 事件字段的聚合名称的哈希表

示例

    filter {
      elasticsearch {
        aggregation_fields => {
          "my_agg_name" => "my_ls_field"
        }
      }
    }

`api_key`编辑

值类型为密码
此设置没有默认值。

使用 Elasticsearch API 密钥进行身份验证。请注意，此选项还需要启用 ssl_enabled 选项。

格式为 id:api_key，其中 id 和 api_key 与 Elasticsearch 创建 API 密钥 API 返回的值相同。

`ca_trusted_fingerprint`编辑

值类型为字符串，并且必须包含正好 64 个十六进制字符。
此设置没有默认值。
使用此选项需要 Logstash 8.3+

要信任的 SSL 证书颁发机构的 SHA-256 指纹，例如 Elasticsearch 集群的自动生成的自签名 CA。

`cloud_auth`编辑

值类型为密码
此设置没有默认值。

云身份验证字符串（“<username>:<password>” 格式）是 user/password 对的替代方案。

有关更多信息，请查看 Logstash 到云文档。

`cloud_id`编辑

值类型为字符串
此设置没有默认值。

来自 Elastic Cloud Web 控制台的云 ID。如果设置了 hosts，则不应使用。

有关更多信息，请查看 Logstash 到云文档。

`docinfo_fields`编辑

值类型为哈希
默认值为 {}

要从旧事件（通过 elasticsearch 找到）复制到新事件的 docinfo 字段的哈希表

示例

    filter {
      elasticsearch {
        docinfo_fields => {
          "_id" => "document_id"
          "_index" => "document_index"
        }
      }
    }

`enable_sort`编辑

值类型为布尔值
默认值为 true

结果是否应该排序

`fields`编辑

值类型为数组
默认值为 {}

要从旧事件（通过 elasticsearch 找到）复制到当前正在处理的新事件的字段数组。

在以下示例中，通过 elasticsearch 找到的事件上的 @timestamp 和 event_id 的值分别复制到当前事件的 started 和 start_id 字段中

fields => {
  "@timestamp" => "started"
  "event_id" => "start_id"
}

`hosts`编辑

值类型为数组
默认值为 ["localhost:9200"]

用于查询的 elasticsearch 主机列表。

`index`编辑

值类型为字符串
默认值为 ""

要搜索的索引名称的逗号分隔列表；使用 _all 或空字符串对所有索引执行操作。字段替换（例如 index-name-%{date_field}）可用

`password`编辑

值类型为密码
此设置没有默认值。

基本身份验证 - 密码

`proxy`edit

值类型为 uri
此设置没有默认值。

设置转发 HTTP 代理的地址。空字符串被视为未设置代理，在使用环境变量时很有用，例如 proxy => '${LS_PROXY:}'。

`query`edit

值类型为字符串
此设置没有默认值。

Elasticsearch 查询字符串。更多信息请参见 Elasticsearch 查询字符串文档。使用 query 或 query_template。

`query_template`edit

值类型为字符串
此设置没有默认值。

Elasticsearch 查询的 DSL 格式文件路径。更多信息请参见 Elasticsearch 查询文档。使用 query 或 query_template。

`result_size`edit

值类型为 number
默认值为 1

返回的结果数量

`retry_on_failure`edit

值类型为 number
默认值为 0（禁用重试）

重试单个失败请求的次数。

启用后，重试导致连接错误或 HTTP 状态码包含在 retry_on_status 中的请求。

`retry_on_status`edit

值类型为数组
默认值为一个空列表 []

使用 retry_on_failure 时，哪些 HTTP 状态码被视为重试（除了连接错误）。

`sort`edit

值类型为字符串
默认值为 "@timestamp:desc"

定义排序顺序的 <field>:<direction> 对的逗号分隔列表

`ssl_certificate`edit

值类型为 path
此设置没有默认值。

用于验证客户端的 SSL 证书。此证书应为 OpenSSL 风格的 X.509 证书文件。

仅当设置了 ssl_key 时才能使用此设置。

`ssl_certificate_authorities`edit

值类型为 path 的列表
此设置没有默认值

用于验证服务器证书的 .cer 或 .pem 文件。

不能同时使用此设置和 ssl_truststore_path。

`ssl_cipher_suites`edit

值类型为 string 的列表
此设置没有默认值

要使用的密码套件列表，按优先级列出。支持的密码套件因 Java 和协议版本而异。

`ssl_enabled`edit

值类型为布尔值
此设置没有默认值。

启用与 Elasticsearch 集群的安全 SSL/TLS 通信。未指定此选项将使用在 hosts 中列出的 URL 中指定的方案或从 cloud_id 中提取的方案。如果未指定显式协议，将使用普通 HTTP。

`ssl_key`edit

值类型为 path
此设置没有默认值。

与 ssl_certificate 相对应的 OpenSSL 风格的 RSA 私钥。

仅当设置了 ssl_certificate 时才能使用此设置。

`ssl_keystore_password`edit

值类型为密码
此设置没有默认值。

设置密钥库密码

`ssl_keystore_path`edit

值类型为 path
此设置没有默认值。

用于向服务器呈现证书的密钥库。它可以是 .jks 或 .p12

不能同时使用此设置和 ssl_certificate。

`ssl_keystore_type`edit

值可以是：jks、pkcs12
如果未提供，将从密钥库文件名推断出该值。

密钥库文件的格式。它必须是 jks 或 pkcs12。

`ssl_supported_protocols`edit

值类型为字符串
允许的值为：'TLSv1.1'、'TLSv1.2'、'TLSv1.3'
默认值取决于所使用的 JDK。在最新的 Logstash 中，默认值为 ['TLSv1.2', 'TLSv1.3']。 'TLSv1.1' 不被认为是安全的，仅为旧版应用程序提供。

建立与 Elasticsearch 集群连接时要使用的允许的 SSL/TLS 版本列表。

对于 Java 8，'TLSv1.3' 仅从 8u262（AdoptOpenJDK）开始支持，但要求您在 Logstash 中设置 LS_JAVA_OPTS="-Djdk.tls.client.protocols=TLSv1.3" 系统属性。

如果您将插件配置为在任何最新的 JVM（例如 Logstash 附带的 JVM）上使用 'TLSv1.1'，则该协议默认情况下处于禁用状态，需要通过更改 $JDK_HOME/conf/security/java.security 配置文件中的 jdk.tls.disabledAlgorithms 手动启用。也就是说，需要从列表中删除 TLSv1.1。

`ssl_truststore_password`edit

值类型为密码
此设置没有默认值。

设置信任库密码

`ssl_truststore_path`edit

值类型为 path
此设置没有默认值。

用于验证服务器证书的信任库。它可以是 .jks 或 .p12。

不能同时使用此设置和 ssl_certificate_authorities。

`ssl_truststore_type`edit

值可以是：jks、pkcs12
如果未提供，将从信任库文件名推断出该值。

信任库文件的格式。它必须是 jks 或 pkcs12。

`ssl_verification_mode`edit

值可以是：full、none
默认值为 full

定义如何验证 TLS 连接中另一方提供的证书

full 验证服务器证书的颁发日期是否在 not_before 和 not_after 日期范围内；链接到受信任的证书颁发机构 (CA)，并且具有与证书中的名称匹配的主机名或 IP 地址。

none 不执行证书验证。

将证书验证设置为 none 会禁用 SSL/TLS 的许多安全优势，这非常危险。有关禁用证书验证的更多信息，请阅读 https://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf

`tag_on_failure`edit

值类型为数组
默认值为 ["_elasticsearch_lookup_failure"]

在查找先前日志事件信息失败时标记事件。这可以在以后的分析中使用。

`user`edit

值类型为字符串
此设置没有默认值。

基本身份验证 - 用户名

Elasticsearch 过滤器已弃用配置选项edit

此插件支持以下已弃用的配置。

已弃用的选项可能会在将来的版本中删除。

设置	输入类型	替换为
`ca_file`	有效的系统文件路径	`ssl_certificate_authorities`
`keystore`	有效的系统文件路径	`ssl_keystore_path`
`keystore_password`	password	`ssl_keystore_password`

`ca_file`edit

在 3.15.0 中弃用。

替换为 ssl_certificate_authorities

值类型为 path
此设置没有默认值。

SSL 证书颁发机构文件

`ssl`edit

在 3.15.0 中弃用。

替换为 ssl_enabled

值类型为布尔值
默认值为 false

SSL

`keystore`edit

在 3.15.0 中弃用。

替换为 ssl_keystore_path

值类型为 path
此设置没有默认值。

用于向服务器提供证书的密钥库。它可以是 .jks 或 .p12

`keystore_password`edit

在 3.15.0 中弃用。

替换为 ssl_keystore_password

值类型为密码
此设置没有默认值。

设置密钥库密码

通用选项edit

以下配置选项受所有过滤器插件支持

设置	输入类型	必需
`add_field`	哈希	否
`add_tag`	数组	否
`enable_metric`	布尔值	否
`id`	字符串	否
`periodic_flush`	布尔值	否
`remove_field`	数组	否
`remove_tag`	数组	否

`add_field`edit

值类型为 hash
默认值为 {}

如果此过滤器成功，则将任何任意字段添加到此事件。字段名称可以是动态的，并使用 %{field} 包含事件的一部分。

示例

    filter {
      elasticsearch {
        add_field => { "foo_%{somefield}" => "Hello world, from %{host}" }
      }
    }

    # You can also add multiple fields at once:
    filter {
      elasticsearch {
        add_field => {
          "foo_%{somefield}" => "Hello world, from %{host}"
          "new_field" => "new_static_value"
        }
      }
    }

如果事件具有字段 "somefield" == "hello"，则此过滤器在成功时将添加字段 foo_hello（如果存在），其值为上述值，并且 %{host} 部分将被事件中的该值替换。第二个示例还将添加一个硬编码字段。

`add_tag`edit

值类型为 array
默认值为 []

如果此过滤器成功，则将任意标签添加到事件。标签可以是动态的，并使用 %{field} 语法包含事件的一部分。

示例

    filter {
      elasticsearch {
        add_tag => [ "foo_%{somefield}" ]
      }
    }

    # You can also add multiple tags at once:
    filter {
      elasticsearch {
        add_tag => [ "foo_%{somefield}", "taggedy_tag"]
      }
    }

如果事件具有字段 "somefield" == "hello"，则此过滤器在成功时将添加标签 foo_hello（当然，第二个示例将添加一个 taggedy_tag 标签）。

`enable_metric`edit

值类型为 boolean
默认值为 true

禁用或启用此特定插件实例的指标日志记录。默认情况下，我们会记录所有可以记录的指标，但您可以禁用特定插件的指标收集。

`id`edit

值类型为 string
此设置没有默认值。

向插件配置添加一个唯一的 ID。如果未指定 ID，Logstash 将生成一个。强烈建议在配置中设置此 ID。当您有两个或多个相同类型的插件时，这尤其有用，例如，如果您有两个 elasticsearch 过滤器。在这种情况下，添加一个命名 ID 将有助于在使用监控 API 时监控 Logstash。

    filter {
      elasticsearch {
        id => "ABC"
      }
    }

id 字段中的变量替换仅支持环境变量，不支持使用来自密钥存储的值。

`periodic_flush`edit

值类型为 boolean
默认值为 false

以定期间隔调用过滤器刷新方法。可选。

`remove_field`edit

值类型为 array
默认值为 []

如果此过滤器成功，则从此事件中删除任意字段。字段名称可以是动态的，并使用 %{field} 示例包含事件的一部分

    filter {
      elasticsearch {
        remove_field => [ "foo_%{somefield}" ]
      }
    }

    # You can also remove multiple fields at once:
    filter {
      elasticsearch {
        remove_field => [ "foo_%{somefield}", "my_extraneous_field" ]
      }
    }

如果事件具有字段 "somefield" == "hello"，则此过滤器在成功时将删除名为 foo_hello 的字段（如果存在）。第二个示例将删除一个额外的非动态字段。

`remove_tag`edit

值类型为 array
默认值为 []

如果此过滤器成功，则从事件中删除任意标签。标签可以是动态的，并使用 %{field} 语法包含事件的一部分。

示例

    filter {
      elasticsearch {
        remove_tag => [ "foo_%{somefield}" ]
      }
    }

    # You can also remove multiple tags at once:
    filter {
      elasticsearch {
        remove_tag => [ "foo_%{somefield}", "sad_unwanted_tag"]
      }
    }

如果事件具有字段 "somefield" == "hello"，则此过滤器在成功时将删除标签 foo_hello（如果存在）。第二个示例还将删除一个令人沮丧的、不需要的标签。

« Elastic 集成过滤器插件环境过滤器插件 »

Elasticsearch 过滤器插件

Elasticsearch 过滤器插件编辑

获取帮助编辑

描述编辑

身份验证编辑

授权编辑

Elasticsearch 过滤器配置选项编辑

aggregation_fields编辑

api_key编辑

ca_trusted_fingerprint编辑

cloud_auth编辑

cloud_id编辑

docinfo_fields编辑

enable_sort编辑

fields编辑

hosts编辑

index编辑

password编辑

proxyedit

queryedit

query_templateedit

result_sizeedit

retry_on_failureedit

retry_on_statusedit

sortedit

ssl_certificateedit

ssl_certificate_authoritiesedit

ssl_cipher_suitesedit

ssl_enablededit

ssl_keyedit

ssl_keystore_passwordedit

ssl_keystore_pathedit

ssl_keystore_typeedit

ssl_supported_protocolsedit

ssl_truststore_passwordedit

ssl_truststore_pathedit

ssl_truststore_typeedit

ssl_verification_modeedit

tag_on_failureedit

useredit

Elasticsearch 过滤器已弃用配置选项edit

ca_fileedit

在 3.15.0 中弃用。

ssledit

在 3.15.0 中弃用。

keystoreedit

在 3.15.0 中弃用。

keystore_passwordedit

在 3.15.0 中弃用。

通用选项edit

add_fieldedit

add_tagedit

enable_metricedit

idedit

periodic_flushedit

remove_fieldedit

remove_tagedit

`aggregation_fields`编辑

`api_key`编辑

`ca_trusted_fingerprint`编辑

`cloud_auth`编辑

`cloud_id`编辑

`docinfo_fields`编辑

`enable_sort`编辑

`fields`编辑

`hosts`编辑

`index`编辑

`password`编辑

`proxy`edit

`query`edit

`query_template`edit

`result_size`edit

`retry_on_failure`edit

`retry_on_status`edit

`sort`edit

`ssl_certificate`edit

`ssl_certificate_authorities`edit

`ssl_cipher_suites`edit

`ssl_enabled`edit

`ssl_key`edit

`ssl_keystore_password`edit

`ssl_keystore_path`edit

`ssl_keystore_type`edit

`ssl_supported_protocols`edit

`ssl_truststore_password`edit

`ssl_truststore_path`edit

`ssl_truststore_type`edit

`ssl_verification_mode`edit

`tag_on_failure`edit

`user`edit

`ca_file`edit

`ssl`edit

`keystore`edit

`keystore_password`edit

`add_field`edit

`add_tag`edit

`enable_metric`edit

`id`edit

`periodic_flush`edit

`remove_field`edit

`remove_tag`edit