filebeat7.7.0相关详细配置预览- processors

最新推荐文章于 2023-09-24 15:11:44 发布
最新推荐文章于 2023-09-24 15:11:44 发布
阅读量9.9k 收藏 39
点赞数 13
分类专栏: filebeat 文章标签: processor
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27818541/article/details/108229185
版权

文章目录

转载请标明出处:
http://blog.csdn.net/qq_27818541/article/details/108229185
本文出自:【BigManing的博客】

一、前言

处理器用于过滤或者增强要发送的event。如果在配置文件中了定义了多个processor,filebeat会按照定义的顺序依次执行。

event -> processor 1 -> event1 -> processor 2 -> event2 ...

我们来看下官方都给我定义了哪些默认的processor。

二、processor

1、add_cloud_metadata

添加云服务器实例元数据

2、add_cloudfoundry_metadata

自动添加cloudfoundry应用程序的相关元数据

3、add_docker_metadata

自动添加docker容器相关元数据

4、add_fields

添加自定义字段信息

5、add_host_metadata

自动追加host相关信息

6、add_id

根据envet生成唯一的ID

7、add_kubernetes_metadata

该处理器使用相关元数据对每个事件进行注释,基于kubernetes pod生成事件的元数据。在启动时,它会检测到集群内的环境并缓存Kubernetes相关的元数据。只有在检测到有效配置时才会对事件进行注释。如果它不能检测到有效的Kubernetes配置,那么事件不会用Kubernetes相关的元数据进行注释。
添加的注释有Pod NamePod UIDNamespaceLabels

processors:
  - add_kubernetes_metadata: ~

8、add_labels

添加自定义标签

9、add_locale

自动添加时区信息,常用语国际业务中。

processors:
  - add_locale: ~

下面的意思是 使用缩写模式 , 例如国内输出结果为CST

processors:
  - add_locale:
      format: abbreviation

10、add_observer_metadata

自动添加观察者机器的相关元数据

processors:
  - add_observer_metadata:
      cache.ttl: 5m

输出为:

{
  "observer" : {
    "hostname" : "avce",
    "type" : "heartbeat",
    "vendor" : "elastic",
    "ip" : [
      "192.168.1.251",
      "fe80::64b2:c3ff:fe5b:b974",
    ],
    "mac" : [
      "dc:c1:02:6f:1b:ed",
    ]
  }
}

11、add_tags

添加标签,并可指定标签在哪个字段下。

例如:

processors:
  - add_tags:
      tags: [web, production]
      target: "environment"

输出为:

{
  "environment": ["web", "production"]
}

12、convert

将event中的某个字段转换为其他类型,例如将字符串转换为整数。

processors:
  - convert:
      fields:
        - {from: "src_ip", to: "source.ip", type: "ip"}
        - {from: "src_port", to: "source.port", type: "integer"}
      ignore_missing: true
      fail_on_error: false

13、copy_fields

将event中的某个字段的值赋值给另一个字段

processors:
  - copy_fields:
      fields:
        - from: message
          to: event.original
      fail_on_error: false
      ignore_missing: true

输出:

{
  "message": "my-interesting-message",
  "event": {
      "original": "my-interesting-message"
  }
}

14、decode_base64_field

base64解码,从一个字段里获取值,解码后赋值给另一个字段。

processors:
  - decode_base64_field:
      field:
        from: "message"
        to: "decode"
      ignore_missing: true
      fail_on_error: false

15、decode_cef

如果你的日式符合Common Event Format (CEF) 标准,你可以使用它进行解码:

processors:
  - rename:
      fields:
        - {from: "message", to: "event.original"}
  - decode_cef:
      field: event.original

更多关于cef的介绍

16、decode_csv_fields

解析CSF格式的日志到指定字段,内容为数组。

processors:
  - decode_csv_fields:
     # 解析到哪里
      fields:
        message: decoded.csv
      separator: ","
      ignore_missing: false
      overwrite_keys: true
      trim_leading_space: false
      fail_on_error: true

17、decode_json_fields

处理对包含JSON字符串的字段进行解码,并将字符串替换为有效的JSON对象。默认是在当前字段替换。

processors:
  - decode_json_fields:
      fields: ["field1", "field2", ...]
     # process_array: false
      # max_depth: 1
     # overwrite_keys: false
     # add_error_key: true

18、decompress_gzip_field

gzip解压缩,从一个字段值中加压缩到另一个字段中 。 使用场景少。

processors:
  - decompress_gzip_field:
      field:
        from: "field1"
        to: "field2"
      ignore_missing: false
      fail_on_error: true

感兴趣的可以看下 gzip压缩初探

19、dissect

从某个字段里(默认message)取值,按照tokenizer定义的格式 拆分(切割)数据,并输出到target_prefix 字段里,默认是dissect

processors:
  - dissect:
      tokenizer: "%{key1} %{key2}"
      # field: "message"
     # target_prefix: "dissect"

如果是这样的log"App01 - WebServer is up and running" ,输出为

"service": {
  "name": "App01",
  "status": "WebServer is up and running"
},

20、dns

反向解析 根据id查找hostname 。每个processor有自己查询结果的缓存。该processor使用自己的域名服务器,不会查找/etc/hosts ,默认使用/etc/resolv.conf里面的域名服务器。

processors:
  - dns:
      type: reverse
      fields:
        source.ip: source.hostname
        destination.ip: destination.hostname

fields字段里source.ip是指ip所在的字段,source.hostname是指新值存入的字段。

21、drop_event

丢弃该event,一般要设置特定条件 。

例如 http响应码为200 就不上报event:

processors:
  - drop_event:
      when:
        equals:
          http.code: 200

22、drop_fields

丢弃(过滤掉)特定字段, 一般防止敏感信息上报,例如ip 、mac地址…

processors:
  - drop_fields:
      fields: ["cpu.user", "cpu.system"]

23、extract_array

从数组中取值并填充(映射到)指定字段

24、fingerprint

根据事件指定字段字段值生成事件的指纹。

processors:
  - fingerprint:
      fields: ["field1", "field2", ...]

输出结果:
在这里插入图片描述

25、include_fields

输出的event里 会包含哪些字段值。@timestamptype字段会始终出现在event中,即使未在include_fields列表中定义。

processors:
  - include_fields:
      when:
        condition
      fields: ["field1", "field2", ...]

26、registered_domain

域名注册,识别一个长串域名,转化成一个简短域名

27、rename

重命名字段

28、script

使用Javascript 处理event ,可以更加灵活的预处理业务

29、timestamp

从字段解析时间戳并将解析结果写入@timestamp(日志采集时间)字段

30、translate_sid

将Windows安全标识符(SID)转换为帐户名,使用仅限Windows系统。

processors:
  - translate_sid:
      field: winlog.event_data.MemberSid
      account_name_target: user.name
      domain_target: user.domain
      ignore_missing: true
      ignore_failure: true

31、translate_sid

按照指定大小截取字段值

processors:
  - truncate_fields:
    fields:
    - message
    max_characters: 5
    #max_bytes: 128
    fail_on_error: false
    ignore_missing: true

32、urldecode

url 解码

processors:
  - urldecode:
      fields:
        - from: "field1"
          to: "field2"
      #  - from: "fieldx"
       #  to: "fieldy"
      ignore_missing: false
      fail_on_error: true
BigManing
关注
  • 13
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
elasticsearch-7.7.0-2020-linux-x86_64.tar.gz.zip
05-15
官方开源 elasticsearch-7.7.0-linux-x86_64.tar.gz
x-pack-sql-jdbc-7.7.0.jar
06-22
x-pack-sql-jdbc-7.8.0.jar 连接es的数据库jdbc 驱动包 x-pack-sql-jdbc-7.8.0.jar 连接es的数据库jdbc 驱动包
Filebeat轻量型日志采集器-自定义processors处理器
Ch3nnn的博客
02-26 1416
filebeat通常以配置文件的方式加载插件。让定义一下自定义配置filebeat.inputs : - type : log paths : - example/example.log processors : # 自定义处理器插件 - parse_text : file_has_suffix : example.log output.console : pretty : true。
joi_230707_7.7.0_44416_share-2ERL05.apk
07-09
joi_230707_7.7.0_44416_share-2ERL05.apk
filebeat.tar.gz
10-22
filebeat6.3.1 ,并进行了配置,在单机架构中正常运行,。。
Beats: Filebeat 和 pipeline processors
Elastic 中国社区官方博客
11-23 3910
我们知道我们可以使用Filebeat很方便地把我们的log数据收集进来并直接写入到我们的Elasticsearch之中。 就像我们上面的这个图显示的一样。这样我们就不需要另外一个Logstash的部署了。Logstash可以很方便地帮我们对数据进行处理,比如对数据进行转换, 丰富数据等等。有一种情况,我们不想部署自己的Logstash,但是我们还是像对我们的数据进行一些处理,那么我们该...
轻量级的日志采集组件 Filebeat 讲解与实战操作
最新发布
匠人精神,持之以恒!
09-24 1802
Filebeat是一个轻量级的日志数据收集工具,属于Elastic公司的Elastic Stack(ELK Stack)生态系统的一部分。它的主要功能是从各种来源收集日志数据,将数据发送到Elasticsearch、Logstash或其他目标,以便进行搜索、分析和可视化。轻量级:Filebeat是一个轻量级的代理,对系统资源的消耗非常低。它设计用于高性能和低延迟,可以在各种环境中运行,包括服务器、容器和虚拟机。多源收集。
filebeat7.7.0相关详细配置预览- processors - add_host_metadata
BigManing的博客
09-04 2041
转载请标明出处: http://blog.csdn.net/qq_27818541/article/details/108396028 本文出自:【BigManing的博客】 add_host_metadata 自动追加host相关信息,配置如下 processors: - add_host_metadata: cache.ttl: 5m geo: name: nyc-dc1-rack1 location: 40.7128, -74.0060 .
Beats:Beats processors
Elastic 中国社区官方博客
12-17 3803
我们通常的做法是使用 Elasticsearch 的 ingest node 来对数据进行清洗。这其中包括删除,添加,转换等等。但是针对每个 beats 来讲,它们也分别有自己的一组 processors 来可以帮我们处理数据。我们可以访问 Elastic 的官方网站来查看针对 filebeat 的所有 processors。 也就是说,我们可以在配置 beats 的时候并同时配置相应的 processors 来对数据进行处理。每个 processor 能够修改经过它的事件。 如果你想了解 inge.
Filebeat的prospectors部分配置说明
Jerry00713的博客
02-24 2092
Filebeat的工作原理 Filebeat是一个日志文件收集工具,filebeat最初是基于logstash-forwarder源码的日志数据shipper,部署在所要采集日志的服务器上,采集指定的日志文件信息转发给logstash进行分析然后再发送到elasticsearch构建索引,或者直接发送到elasticsearch,也可以发送到redis上,用redis作为消息队列 Filebeat搜集日志的主要角色有harvester和prospectors harvester harvester负
filebeat-7.7.0-linux-x86_64.tar.gz
05-25
filebeat-7.7.0-linux-x86_64.tar.gz 最新版本,提供大家下载。 建议大家放到自己的空间上去 然后打包进docker 不然下载会很慢 很慢 很慢,
Beats-Filebeat介绍
七路灯
04-28 552
Filebeat介绍,包括工作方式、模块、如何避免数据重复、处理器的速查表。 基于7.11版本。 Beats是一款轻量级数据采集器,你可以将它作为代理程序安装在你的服务器上,然后将操作数据发送到 Elasticsearch。可以直接发送数据到 Elasticsearch 或者通过 Logstash,在那里你可以进一步处理和增强数据。 Filebeat(日志文件) Metricbeat(指标) Heartbeat(可用性监控) Functionbeat(函数计算采集器) Filebeat File.
filebeat7.7.0相关详细配置预览- processors - add_cloud_metadata
BigManing的博客
09-03 1304
转载请标明出处: http://blog.csdn.net/qq_27818541/article/details/108395438 本文出自:【BigManing的博客】 add_cloud_metadata 增加云服务器提供商的实例元数据来丰富每个事件。在启动时,它将查询托管提供程序的列表并缓存实例元数据。 例如添加上这个配置 processors: - add_cloud_metadata: ~ 在阿里云上输出为 { "cloud": { "availability_zone".
filebeat7.7.0相关详细配置预览- processors - script
BigManing的博客
09-09 3145
转载请标明出处: http://blog.csdn.net/qq_27818541/article/details/108500499 本文出自:【BigManing的博客】 script 使用Javascript 处理event ,可以更加灵活的预处理业务。 比如说 event中的message字段里是否以hello开头,如果是,就添加tag【has hello】否则就是【no hello】。 那么配置如下: processors: - script: lang: javascript.
Filebeat的处理器(processor)中的`script`
星瀚
06-07 1361
在函数中,我们可以对事件进行自定义处理。然后,我们使用`event.Put`方法将处理后的消息赋值给自定义键`custom.message`。使用Filebeat的处理器(processor)中的`script`处理器,你可以使用脚本对日志进行更复杂的处理和转换操作。通过配置Filebeat,并在处理器中使用`script`处理器,Filebeat将根据你提供的脚本对日志事件进行处理,并将处理后的事件发送到Kafka。你可以根据实际需求修改`process`函数中的脚本逻辑,实现你想要的日志处理操作。
ELK日志分析--Filebeat
qq_47800859的博客
02-22 975
ELK架构 Filebeat简介 Filebeat安装 Filebeat简单使用 专用日志搜集模块 案例模块-Nginx 模块 重读日志文件 使用Processors(处理器)过滤和增强数据
k8s 1.18.17 安装 filebeat 7.13.3
eif88的博客
04-14 330
filebeat-7.5.2yaml 需根据需要修改 ELASTICSEARCH 环境变量 --- apiVersion: v1 kind: ConfigMap metadata: name: filebeat-config namespace: kube-system labels: k8s-app: filebeat data: filebeat.yml: |- filebeat.inputs: - type: container paths:
Filebeat配置详解
tanguomin的博客
07-24 1501
Filebeat配置详解 filebeat.inputs: # 日志类型 - type: log fields: # 用于后面的识别判断 log_source: ip # 是否实时读取 enabled: true # 日志文件位置 paths: -D:\program\php\a.log # 日志文件中包含id数据进行收集 include_lines: ['id'] # 多长时间去检测新的文件生成的时间 ,默认...
filebeat切分
武者小路的博客
06-13 642
filebeat.inputs:
java.lang.noclassdeffounderror解决包
07-16
### 回答1: java.lang.NoClassDefFoundError是一个Java异常,表示虚拟机在加载类的过程中找不到所需的类。这通常是由于类路径问题导致的。 要解决这个问题,可以尝试以下几个步骤: 1. 检查类路径:确保所需的类存在于类路径中。可以查看环境变量中的CLASSPATH设置,或者检查项目的构建路径。 2. 确保包名和类名正确:检查代码中的包名和类名是否正确。如果包名或类名出现了拼写错误,也会导致找不到类的错误。 3. 检查依赖项:如果项目依赖于外部库或框架,确保这些依赖项已正确添加到项目中,并且它们在类路径上可用。 4. 导入正确的包:在Java代码中,确保正确导入所需的包。如果没有正确导入包,Java编译器将无法找到类。 5. 版本冲突:如果项目使用的库存在版本冲突,即项目使用的库与其他库之间存在版本不兼容的情况,也可能导致找不到类的错误。在这种情况下,需要解决版本冲突,并确保使用的库版本是兼容的。 6. 重新编译和重新构建项目:如果以上步骤都没有解决问题,可以尝试重新编译和重新构建项目,以确保所有类都正确生成和链接。 总之,java.lang.NoClassDefFoundError是一个常见的类路径问题,可能由多种原因引起。通过检查类路径、包名、类名、依赖项等,可以解决这个问题。 ### 回答2: java.lang.NoClassDefFoundError是Java虚拟机在试图加载某个类的时候找不到该类的定义文件时抛出的异常。这个问题通常出现在编译时没有出错,但在运行时却找不到某个类的情况下。 解决这个问题的方法有以下几种: 1. 检查类的路径:首先确认类所在的路径是否正确,包括项目的classpath和依赖的jar包等。 2. 检查类是否存在:确认类是否存在于所在的路径中,可以搜索文件系统中的相应class文件。 3. 检查类的依赖:如果类依赖其他的类或jar包,确认这些依赖是否正确配置并且可以访问。 4. 检查编译和运行环境的一致性:确认编译时使用的JDK版本和运行时使用的JRE版本是否一致,确保编译时使用的类库在运行时也可用。 5. 检查class文件的完整性:如果是在部署过程中出现问题,可以尝试重新编译并重新部署。 6. 检查类加载顺序:有时候类加载的顺序不正确会导致这个异常,可以尝试修改类加载的顺序。 7. 检查运行时参数:有时候在运行程序时需要使用特定的运行时参数,确保这些参数设置正确。 综上所述,解决java.lang.NoClassDefFoundError异常需要进行一系列的排查和调试,从类路径的设置、类的依赖关系、编译和运行环境的一致性等多个方面来检查和解决问题。 ### 回答3: java.lang.NoClassDefFoundError是Java程序中常见的错误之一。它表示在运行时找不到某个类的定义,即找不到该类的class文件。当Java虚拟机(JVM)尝试加载某个类的时候,它会在classpath中搜索该类的定义文件,如果找不到,就会报NoClassDefFoundError错误。 要解决这个问题,首先应该检查类的定义文件是否存在于classpath中。如果不存在,可以检查以下几个方面: 1. 检查类路径是否正确设置。确保classpath中包含了该类所在的jar包或目录。 2. 检查类文件是否被正确放置。如果是一个普通的Java类文件,应该放置在类路径所指定的目录中。如果是一个jar包,则应该将其放置在类路径中的正确位置。 3. 检查类文件是否被正确命名。类文件应该与类的全限定名(包括包名)一致,并且扩展名为.class。 另外,NoClassDefFoundError也可能是由类加载器的问题引起的。在一些特殊的情况下,可能会出现类加载器无法找到类定义的情况。这时可以尝试以下方法: 1. 检查类加载器的配置。如果使用自定义的类加载器,可以检查其配置是否正确。 2. 检查类加载器是否能够访问类的定义文件。有时候,类加载器可能无法读取或访问类定义文件,导致NoClassDefFoundError错误。可以尝试修改文件权限或检查文件所在的目录是否有足够的权限。 最后,如果以上方法都没有解决问题,还可以尝试重新编译和打包项目,确保所有依赖的类都被正确地引用和加载。 总之,要解决java.lang.NoClassDefFoundError错误,需要检查类定义文件是否存在、类路径是否正确设置、类文件命名是否正确以及类加载器的配置等方面,并做出相应的调整和修正。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值