« Elasticsearch 输入插件 File 输入插件 »
Elastic 文档 Logstash 参考 [8.14] 输入插件

Exec 输入插件

编辑

Exec 输入插件编辑

  • 插件版本:v3.6.0
  • 发布时间:2022-06-15
  • 更新日志

有关其他版本,请参阅版本插件文档

获取帮助编辑

如果您对该插件有任何疑问,请在Discuss论坛中开启一个主题。如有错误或功能请求,请在Github中开启一个问题。有关 Elastic 支持的插件列表,请参阅Elastic 支持矩阵

描述编辑

定期运行 shell 命令并将整个输出捕获为事件。

  • 此事件的command字段将是运行的命令。
  • 此事件的message字段将是命令的整个标准输出。

exec 输入最终使用fork来生成子进程。使用 fork 会复制父进程地址空间(在我们的例子中是logstash 和 JVM);这可以通过操作系统的写时复制来缓解,但最终您可能会为了一个“简单”的可执行文件而分配大量内存。如果 exec 输入失败并出现ENOMEM: Cannot allocate memory之类的错误,则表明没有足够的非 JVM 堆物理内存来执行 fork。

示例

input {
  exec {
    command => "echo 'hi!'"
    interval => 30
  }
}

这将每 30 秒执行一次echo命令。

与 Elastic 通用模式 (ECS) 的兼容性编辑

此插件添加有关事件来源的元数据,并且可以使用ecs_compatibility与 ECS 兼容的方式进行配置。此元数据在事件由相应的编解码器解码后添加,并且不会覆盖现有值。

ECS 禁用 ECS v1、v8 描述

主机

[host][name]

处理事件的 Logstash 主机的名称

命令

[process][command_line]

插件运行的命令

[@metadata][exit_status]

[process][exit_code]

进程的退出代码

 — 

[@metadata][input][exec][process][elapsed_time]

命令运行所花费的时间(以纳秒为单位)

[@metadata][duration]

 — 

命令持续时间(以秒为单位),以浮点数表示(已弃用)

Exec 输入配置选项编辑

此插件支持以下配置选项以及稍后描述的通用选项

设置 输入类型 必需

命令

字符串

ecs_compatibility

字符串

interval

数字

schedule

字符串

另请参阅通用选项,以获取所有输入插件支持的选项列表。

 

command编辑

  • 这是一个必需设置。
  • 值类型为字符串
  • 此设置没有默认值。

要运行的命令。例如,uptime

ecs_compatibility编辑

  • 值类型为字符串

  • 支持的值为

    • disabled:使用向后兼容的字段名称,例如[host]
    • v1v8:使用与 ECS 兼容的字段,例如[host][name]

控制此插件与Elastic 通用模式 (ECS)的兼容性。有关详细信息,请参阅与 Elastic 通用模式 (ECS) 的兼容性

示例输出:ECS 已启用

{
    "message" => "hi!\n",
    "process" => {
        "command_line" => "echo 'hi!'",
        "exit_code" => 0
    },
    "host" => {
        "name" => "deus-ex-machina"
    },

    "@metadata" => {
        "input" => {
            "exec" => {
                "process" => {
                    "elapsed_time"=>3042
                }
            }
        }
    }
}

示例输出:ECS 已禁用

{
    "message" => "hi!\n",
    "command" => "echo 'hi!'",
    "host" => "deus-ex-machina",

    "@metadata" => {
        "exit_status" => 0,
        "duration" => 0.004388
    }
}

interval编辑

  • 值类型为数字
  • 此设置没有默认值。

运行命令的间隔。值以秒为单位。

必须定义intervalschedule选项之一。

schedule编辑

  • 值类型为字符串
  • 此设置没有默认值。

定期运行命令的时间表。

此计划语法由rufus-scheduler提供支持。语法类似于 cron,但有一些特定于 Rufus 的扩展(例如时区支持)。

示例

* 5 * 1-3 *

将在每年 1 月至 3 月的每天凌晨 5 点的每一分钟执行。

0 * * * *

将在每天每小时的第 0 分钟执行。

0 6 * * * America/Chicago

将在每天上午 6:00(UTC/GMT -5)执行。

有关此语法的更多文档,请参见此处

必须定义intervalschedule选项之一。

通用选项编辑

以下配置选项受所有输入插件支持

设置 输入类型 必需

add_field

哈希

codec

codec

enable_metric

布尔值

id

字符串

tags

数组

type

字符串

详细信息编辑

 

add_field编辑

  • 值类型为哈希
  • 默认值为{}

向事件添加字段

codec编辑

用于输入数据的编解码器。输入编解码器是一种方便的方法,可以在数据进入输入之前对其进行解码,而无需在 Logstash 管道中使用单独的过滤器。

enable_metric编辑

默认情况下,我们会记录所有可以记录的指标,但您可以禁用特定插件的指标收集,从而禁用或启用此特定插件实例的指标日志记录。

id编辑

  • 值类型为字符串
  • 此设置没有默认值。

向插件配置添加唯一的ID。如果未指定 ID,Logstash 将生成一个 ID。强烈建议您在配置中设置此 ID。当您有两个或多个相同类型的插件时,例如,如果您有两个 exec 输入,这将特别有用。在这种情况下,添加命名 ID 将有助于在使用监控 API 时监控 Logstash。

input {
  exec {
    id => "my_plugin_id"
  }
}

id字段中的变量替换仅支持环境变量,不支持使用来自密钥存储的值。

tags编辑

  • 值类型为数组
  • 此设置没有默认值。

向您的事件添加任意数量的任意标签。

这有助于以后的处理。

type编辑

  • 值类型为字符串
  • 此设置没有默认值。

向此输入处理的所有事件添加type字段。

类型主要用于过滤器激活。

类型存储为事件本身的一部分,因此您也可以使用类型在 Kibana 中搜索它。

如果您尝试在已具有类型的事件上设置类型(例如,当您将事件从传送器发送到索引器时),则新输入不会覆盖现有类型。在传送器处设置的类型将始终保留在该事件中,即使该事件被发送到另一个 Logstash 服务器也是如此。

« Elasticsearch 输入插件 File 输入插件 »