Elasticsearch 输入插件
编辑Elasticsearch 输入插件编辑
- 插件版本: v4.20.3
- 发布日期: 2024-06-11
- 变更日志
有关其他版本,请参阅 版本化插件文档.
获取帮助编辑
有关插件的问题,请在 讨论 论坛中发布主题。对于错误或功能请求,请在 Github 中提交问题。有关 Elastic 支持的插件列表,请参阅 Elastic 支持矩阵.
描述编辑
从 Elasticsearch 集群读取数据,基于搜索查询结果。这对于重放测试日志、重新索引等非常有用。您可以使用 cron 语法定期安排摄取(请参阅 schedule 设置)或运行一次查询以将数据加载到 Logstash 中。
示例
input {
# Read all documents from Elasticsearch matching the given query
elasticsearch {
hosts => "localhost"
query => '{ "query": { "match": { "statuscode": 200 } }, "sort": [ "_doc" ] }'
}
}
这将创建一个具有以下格式的 Elasticsearch 查询
curl 'https://127.0.0.1:9200/logstash-*/_search?&scroll=1m&size=1000' -d '{
"query": {
"match": {
"statuscode": 200
}
},
"sort": [ "_doc" ]
}'
调度编辑
此插件的输入可以根据特定时间表定期安排运行。此调度语法由 rufus-scheduler 提供支持。语法类似于 cron,但有一些 Rufus 特定的扩展(例如时区支持)。
示例
|
将在 1 月至 3 月的每天凌晨 5 点的每一分钟执行。 |
|
将在每天的每小时的第 0 分钟执行。 |
|
将在每天的上午 6:00(UTC/GMT -5)执行。 |
有关此语法的更多文档,请参阅 此处.
授权编辑
对安全的 Elasticsearch 集群进行授权需要在索引级别具有 read 权限,在集群级别具有 monitoring 权限。集群级别的 monitoring 权限对于执行定期连接检查是必要的。
与 Elastic Common Schema (ECS) 的兼容性编辑
当禁用 ECS 兼容性时,docinfo_target 使用 "@metadata" 字段作为默认值,启用 ECS 时,插件使用命名约定 "[@metadata][input][elasticsearch]" 作为放置文档信息的默认目标。
当启用 ECS 且未设置 target 时,插件会记录警告。
设置 target 选项以避免潜在的模式冲突。
Elasticsearch 输入配置选项编辑
此插件支持以下配置选项,以及后面描述的 通用选项 和 Elasticsearch 输入已弃用的配置选项。
| 设置 | 输入类型 | 必需 |
|---|---|---|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
字符串,其中之一为 |
否 |
|
否 |
||
否 |
||
否 |
||
字符串,其中之一为 |
否 |
|
否 |
||
否 |
||
否 |
||
路径 列表 |
否 |
|
字符串 列表 |
否 |
|
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
否 |
||
字符串,其中之一为 |
否 |
|
否 |
||
否 |
||
否 |
||
否 |
另请参阅 通用选项,了解所有输入插件支持的选项列表。
api_key编辑
- 值类型为 密码
- 此设置没有默认值。
使用 Elasticsearch API 密钥进行身份验证。请注意,此选项还需要启用 ssl_enabled 选项。
格式为 id:api_key,其中 id 和 api_key 与 Elasticsearch 创建 API 密钥 API 返回的值相同。
ca_trusted_fingerprint编辑
- 值类型为 字符串,并且必须包含正好 64 个十六进制字符。
- 此设置没有默认值。
- 使用此选项 *需要* Logstash 8.3+
要信任的 SSL 证书颁发机构的 SHA-256 指纹,例如 Elasticsearch 集群的自动生成的自签名 CA。
cloud_auth编辑
- 值类型为 密码
- 此设置没有默认值。
云身份验证字符串(“<username>:<password>” 格式)是 user/password 对的替代方案。
有关更多信息,请查看 Logstash 到云文档.
cloud_id编辑
- 值类型为 字符串
- 此设置没有默认值。
来自 Elastic Cloud Web 控制台的云 ID。如果设置了 hosts,则不应使用。
有关更多信息,请查看 Logstash 到云文档.
connect_timeout_seconds编辑
- 值类型为 数字
- 默认值为
10
建立与 Elasticsearch 的连接时要等待的最大时间(以秒为单位)。连接超时通常发生在 Elasticsearch 或中间代理因请求过载而耗尽其连接池时。
docinfo编辑
- 值类型为 布尔值
- 默认值为
false
如果设置,则在事件中包含 Elasticsearch 文档信息,例如索引、类型和 ID。
需要注意的是,关于元数据,如果您要摄取文档以重新索引它们(或只是更新它们),那么 elasticsearch 输出中的 action 选项需要知道如何处理这些事情。它可以通过添加到元数据的字段动态分配。
示例
input {
elasticsearch {
hosts => "es.production.mysite.org"
index => "mydata-2018.09.*"
query => '{ "query": { "query_string": { "query": "*" } } }'
size => 500
scroll => "5m"
docinfo => true
docinfo_target => "[@metadata][doc]"
}
}
output {
elasticsearch {
index => "copy-of-production.%{[@metadata][doc][_index]}"
document_type => "%{[@metadata][doc][_type]}"
document_id => "%{[@metadata][doc][_id]}"
}
}
如果设置,您可以在 add_field 通用选项中使用元数据信息。
示例
input {
elasticsearch {
docinfo => true
docinfo_target => "[@metadata][doc]"
add_field => {
identifier => "%{[@metadata][doc][_index]}:%{[@metadata][doc][_type]}:%{[@metadata][doc][_id]}"
}
}
}
docinfo_fields编辑
- 值类型为 数组
- 默认值为
["_index", "_type", "_id"]
如果通过启用 docinfo 选项请求文档元数据存储,则此选项列出要保存在当前事件中的元数据字段。有关更多信息,请参阅 Elasticsearch 文档中的 元字段。
docinfo_target编辑
- 值类型为 字符串
-
默认值取决于是否启用了
ecs_compatibility- 禁用 ECS 兼容性:
"@metadata" - 启用 ECS 兼容性:
"[@metadata][input][elasticsearch]"
- 禁用 ECS 兼容性:
如果通过启用 docinfo 选项请求文档元数据存储,则此选项命名要将元数据字段存储为子字段的字段。
ecs_compatibility编辑
- 值类型为 字符串
-
支持的值为
-
disabled:在根级别添加 CSV 数据 -
v1,v8:符合 Elastic Common Schema 的行为
-
-
默认值取决于运行的 Logstash 版本
- 当 Logstash 提供
pipeline.ecs_compatibility设置时,其值将用作默认值 - 否则,默认值为
disabled
- 当 Logstash 提供
控制此插件与 Elastic Common Schema (ECS) 的兼容性。
hostsedit
- 值类型为 数组
- 此设置没有默认值。
用于查询的一个或多个 Elasticsearch 主机的列表。每个主机可以是 IP、HOST、IP:port 或 HOST:port。端口默认为 9200。
passwordedit
- 值类型为 密码
- 此设置没有默认值。
在对 Elasticsearch 服务器进行身份验证时,与 user 选项中的用户名一起使用的密码。如果设置为空字符串,则身份验证将被禁用。
queryedit
- 值类型为 字符串
- 默认值为
'{ "sort": [ "_doc" ] }'
要执行的查询。阅读 Elasticsearch 查询 DSL 文档 以获取更多信息。
当 search_api 解析为 search_after 并且查询未指定 sort 时,默认排序 '{ "sort": { "_shard_doc": "asc" } }' 将被添加到查询中。请参考 Elasticsearch search_after 参数以了解更多信息。
response_typeedit
- 值可以是以下任何一个:
hits、aggregations - 默认值为
hits
在处理查询的响应时,将结果的哪一部分转换为 Logstash 事件。默认的 hits 将为每个返回的文档(即“命中”)生成一个事件。当设置为 aggregations 时,将生成一个包含查询响应的 aggregations 对象内容的 Logstash 事件。在这种情况下,hits 对象将被忽略。参数 size 将始终设置为 0,无论在此插件中设置的默认值或用户定义的值如何。
request_timeout_secondsedit
- 值类型为 数字
- 默认值为
60
单个 Elasticsearch 请求的最大时间(以秒为单位)。请求超时往往发生在单个数据页面非常大时,例如当它包含大型有效载荷文档和/或 size 已被指定为一个很大的值时。
retriesedit
- 值类型为 数字
- 默认值为
0
在第一次失败后重新运行查询的次数。如果查询在所有重试后都失败,它会记录一条错误消息。默认值为 0(不重试)。此值应等于或大于零。
部分失败(例如,所有切片中的一部分的错误)会导致整个查询被重试,这会导致数据重复。避免这种情况需要 Logstash 将查询的整个结果集存储在内存中,这通常是不可能的。
scheduleedit
- 值类型为 字符串
- 此设置没有默认值。
定期运行语句的时间安排,以 Cron 格式,例如:"* * * * *"(每分钟执行一次查询,在分钟内)
默认情况下没有时间安排。如果没有给出时间安排,则语句只执行一次。
search_apiedit
- 值可以是以下任何一个:
auto、search_after、scroll - 默认值为
auto
使用 auto,插件对 Elasticsearch 版本 8.0.0 或更高版本使用 search_after 参数,否则使用 scroll API。
search_after 使用 时间点 和排序值进行搜索。查询需要至少一个 sort 字段,如 query 参数中所述。
scroll 使用 scroll API 进行搜索,这不再推荐。
slicesedit
- 值类型为 数字
- 没有默认值。
- 合理的值范围从 2 到大约 8。
在某些情况下,通过使用 切片滚动 同时使用多个不同的查询切片,可以提高整体吞吐量,尤其是在管道花费大量时间等待 Elasticsearch 提供结果时。
如果设置了 slices 参数,则该参数会告诉插件将工作分成多少个切片,并将并行地从切片中生成事件,直到所有切片都完成滚动。
Elasticsearch 手册指出,当滚动查询使用的切片数量超过索引中的分片数量时,对查询和 Elasticsearch 集群都会产生负面性能影响。
如果 slices 参数未设置,则插件不会将切片指令注入查询。
ssl_certificateedit
- 值类型为 path
- 此设置没有默认值。
用于对客户端进行身份验证的 SSL 证书。此证书应为 OpenSSL 风格的 X.509 证书文件。
只有在设置了 ssl_key 时才能使用此设置。
ssl_certificate_authoritiesedit
- 值类型为 path 的列表
- 此设置没有默认值
用于验证服务器证书的 .cer 或 .pem 文件。
您不能同时使用此设置和 ssl_truststore_path。
ssl_enablededit
- 值类型为 布尔值
- 此设置没有默认值。
启用与 Elasticsearch 集群的安全 SSL/TLS 通信。不指定此选项将使用在 hosts 中列出的 URL 中指定的方案,或从 cloud_id 中提取的方案。如果未指定显式协议,则将使用纯 HTTP。
ssl_keyedit
- 值类型为 path
- 此设置没有默认值。
与 ssl_certificate 相对应的 OpenSSL 风格的 RSA 私钥。
只有在设置了 ssl_certificate 时才能使用此设置。
ssl_keystore_pathedit
- 值类型为 path
- 此设置没有默认值。
用于向服务器呈现证书的密钥库。它可以是 .jks 或 .p12
您不能同时使用此设置和 ssl_certificate。
ssl_supported_protocolsedit
- 值类型为 字符串
- 允许的值为:
'TLSv1.1','TLSv1.2','TLSv1.3' - 默认值取决于所使用的 JDK。对于最新的 Logstash,默认值为
['TLSv1.2', 'TLSv1.3']。'TLSv1.1'不被认为是安全的,仅提供给旧版应用程序。
在建立与 Elasticsearch 集群的连接时,允许使用的 SSL/TLS 版本列表。
对于 Java 8,'TLSv1.3' 仅从 8u262(AdoptOpenJDK)开始受支持,但要求您在 Logstash 中设置 LS_JAVA_OPTS="-Djdk.tls.client.protocols=TLSv1.3" 系统属性。
如果您将插件配置为在任何最近的 JVM(例如 Logstash 附带的 JVM)上使用 'TLSv1.1',则该协议默认情况下会被禁用,需要通过在 $JDK_HOME/conf/security/java.security 配置文件中更改 jdk.tls.disabledAlgorithms 来手动启用它。也就是说,需要从列表中删除 TLSv1.1。
ssl_truststore_pathedit
- 值类型为 path
- 此设置没有默认值。
用于验证服务器证书的信任库。它可以是 .jks 或 .p12。
您不能同时使用此设置和 ssl_certificate_authorities。
ssl_verification_modeedit
- 值可以是以下任何一个:
full,none - 默认值为
full
定义如何验证 TLS 连接中另一方提供的证书
full 验证服务器证书的颁发日期是否在 not_before 和 not_after 日期之间;链到受信任的证书颁发机构 (CA),并且具有与证书中的名称匹配的主机名或 IP 地址。
none 不执行证书验证。
将证书验证设置为 none 会禁用 SSL/TLS 的许多安全优势,这非常危险。有关禁用证书验证的更多信息,请阅读 https://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf
socket_timeout_secondsedit
- 值类型为 数字
- 默认值为
60
在没有附加任何额外数据的情况下,等待 Elasticsearch 未完成响应的最大时间(以秒为单位)。套接字超时通常发生在等待响应的第一个字节时,例如执行特别复杂的查询时。
Elasticsearch 输入已弃用的配置选项edit
此插件支持以下已弃用的配置。
已弃用的选项可能会在将来的版本中被删除。
| 设置 | 输入类型 | 被替换为 |
|---|---|---|
有效的系统文件路径 |
||
ssledit
在 4.17.0 中已弃用。
被替换为 ssl_enabled
- 值类型为 布尔值
- 默认值为
false
如果启用,则在与 Elasticsearch 服务器通信时将使用 SSL(即,将使用 HTTPS 而不是纯 HTTP)。
ssl_certificate_verificationedit
在 4.17.0 中已弃用。
- 值类型为 布尔值
- 默认值为
true
用于验证服务器证书的选项。禁用此选项会严重损害安全性。当禁用证书验证时,此插件会隐式信任在给定地址解析的机器,而不会验证其身份证明。在这种情况下,插件可能会将凭据传输到不受信任的中间人或其他受损基础设施,或从这些基础设施处理数据。有关证书验证重要性的更多信息:https://www.cs.utexas.edu/~shmat/shmat_ccs12.pdf.
通用选项edit
以下配置选项受所有输入插件支持