Auditbeat排除一些日志或字段 Auditbeat index太大,可以通过去掉一些字段以及一些event来减小空间使用量。 在配置文件里 /etc/auditbeat/auditbeat.yml processors添加如下行,drop_fields表示不收集一些字段,drop_event表示不收集一些event。