【ELK】beats通过配置删除输出字段和通过源码控制输出字段

已于 2022-03-22 14:12:02 修改
阅读量347 收藏 1
点赞数
分类专栏: ELK 文章标签: golang
于 2022-03-22 14:03:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41982304/article/details/123658883
版权

一、修改配置

1、未设置前

2、通过配置删除service,host,event,metricset字段

processors:
  - drop_fields:
      fields: ["host","event","metricset","service"]

3、设置后

 参考文档:Define processors | Filebeat Reference [8.1] | Elastic

二、通过源码修改

涉及文件:

// libbeat/outputs/codec/json/event.go
package json

import (
	//"time"

	"github.com/elastic/beats/v7/libbeat/beat"
	"github.com/elastic/beats/v7/libbeat/common"
)

// Event describes the event structure for events
// (in-)directly send to logstash
type event struct {
    // 修改@timestamp字段
	//Timestamp time.Time     `struct:"@timestamp"`
	Timestamp string `struct:"TIME"`
     // 修改@metadata字段
	//Meta      meta          `struct:"@metadata"`
	Fields common.MapStr `struct:",inline"`
}

// Meta defines common event metadata to be stored in '@metadata'
type meta struct {
	Beat    string                 `struct:"beat"`
	Type    string                 `struct:"type"`
	Version string                 `struct:"version"`
	Fields  map[string]interface{} `struct:",inline"`
}

func makeEvent(index, version string, in *beat.Event) event {
	return event{
		Timestamp: in.Timestamp.Local().Format("2006-01-02 15:04:05"),
		/*
			Meta: meta{
				Beat:    index,
				Version: version,
				Type:    "_doc",
				Fields:  in.Meta,
			},
		*/
		Fields: in.Fields,
	}
}


// 以metricbeat举例
// metricbeat/mb/event.go

package mb

import (
	"fmt"
	"time"

	"github.com/elastic/beats/v7/libbeat/beat"
	"github.com/elastic/beats/v7/libbeat/common"
)

// EventModifier is a function that can modifies an Event. This is typically
// used to apply transformations to an Event as it is converted to a
// beat.Event. An example is AddMetricSetInfo.
type EventModifier func(module, metricset string, event *Event)

// Event contains the data generated by a MetricSet.
type Event struct {
	RootFields      common.MapStr // Fields that will be added to the root of the event.
	ModuleFields    common.MapStr // Fields that will be namespaced under [module].
	MetricSetFields common.MapStr // Fields that will be namespaced under [module].[metricset].

	Index     string        // Index name prefix. If set overwrites the default prefix.
	ID        string        // ID of event. If set, overwrites the default ID.
	Namespace string        // Fully qualified namespace to use for MetricSetFields.
	Timestamp time.Time     // Timestamp when the event data was collected.
	Error     error         // Error that occurred while collecting the event data.
	Host      string        // Host from which the data was collected.
	Service   string        // Service type
	Took      time.Duration // Amount of time it took to collect the event data.
	Period    time.Duration // Period that is set to retrieve the events

	DisableTimeSeries bool // true if the event doesn't contain timeseries data
}

// BeatEvent returns a new beat.Event containing the data this Event. It does
// mutate the underlying data in the Event.
func (e *Event) BeatEvent(module, metricSet string, modifiers ...EventModifier) beat.Event {
	if e.RootFields == nil {
		e.RootFields = common.MapStr{}
	}

	for _, modify := range modifiers {
		modify(module, metricSet, e)
	}

	b := beat.Event{
		Timestamp:  e.Timestamp,
		Fields:     e.RootFields,
		TimeSeries: !e.DisableTimeSeries,
	}

	if len(e.ModuleFields) > 0 {
		b.Fields.Put(module, e.ModuleFields)
		e.ModuleFields = nil
	}

	// If service is not set, falls back to the module name
	/*
	if e.Service == "" {
		e.Service = module
	}
	e.RootFields.Put("service.type", e.Service)
	*/
	if len(e.MetricSetFields) > 0 {
		switch e.Namespace {
		case ".":
			// Add fields to root.
			b.Fields.DeepUpdate(e.MetricSetFields)
		case "":
			b.Fields.Put(module+"."+metricSet, e.MetricSetFields)
		default:
			b.Fields.Put(e.Namespace, e.MetricSetFields)
		}

		e.MetricSetFields = nil
	}

	// Set index prefix to overwrite default
	if e.Index != "" {
		b.Meta = common.MapStr{"index": e.Index}
	}

	if e.ID != "" {
		b.SetID(e.ID)
	}

	if e.Error != nil {
		b.Fields["error"] = common.MapStr{
			"message": e.Error.Error(),
		}
	}

	return b
}

// AddMetricSetInfo is an EventModifier that adds information about the
// MetricSet that generated the event. It will always add the metricset and
// module names. And it will add the host, period (in milliseconds), and
// duration (round-trip time in nanoseconds) values if they are non-zero
// values.
//
//   {
//     "event": {
//       "dataset": "apache.status",
//       "duration": 115,
//       "module": "apache"
//     },
//     "service": {
//       "address": "127.0.0.1",
//     },
//     "metricset": {
//       "name": "status",
//       "period": 10000
//     }
//   }
//
func AddMetricSetInfo(module, metricset string, event *Event) {
	if event.Namespace == "" {
		event.Namespace = fmt.Sprintf("%s.%s", module, metricset)
	}

	e := common.MapStr{
		"event": common.MapStr{
			"dataset": event.Namespace,
			"module":  module,
		},
		// TODO: This should only be sent if migration layer is enabled
		"metricset": common.MapStr{
			"name": metricset,
		},
	}
	if event.Host != "" {
		e.Put("service.address", event.Host)
	}
	if event.Took > 0 {
		e.Put("event.duration", event.Took/time.Nanosecond)
	}
	if event.Period > 0 {
		e.Put("metricset.period", event.Period/time.Millisecond)
	}

	if event.RootFields == nil {
		event.RootFields = e
	} else {
		event.RootFields.DeepUpdate(e)
	}
}

// TransformMapStrToEvent transforms a common.MapStr produced by MetricSet
// (like any MetricSet that does not natively produce a mb.Event). It accounts
// for the special key names and routes the data stored under those keys to the
// correct location in the event.
func TransformMapStrToEvent(module string, m common.MapStr, err error) Event {
	var (
		event = Event{RootFields: common.MapStr{}, Error: err}
	)

	for k, v := range m {
		switch k {
		case TimestampKey:
			switch ts := v.(type) {
			case time.Time:
				delete(m, TimestampKey)
				event.Timestamp = ts
			case common.Time:
				delete(m, TimestampKey)
				event.Timestamp = time.Time(ts)
			}
		case ModuleDataKey:
			delete(m, ModuleDataKey)
			event.ModuleFields, _ = tryToMapStr(v)
		case RTTKey:
			delete(m, RTTKey)
			if took, ok := v.(time.Duration); ok {
				event.Took = took
			}
		case NamespaceKey:
			delete(m, NamespaceKey)
			if ns, ok := v.(string); ok {
				// The _namespace value does not include the module name and
				// it is required in the mb.Event.Namespace value.
				event.Namespace = module + "." + ns
			}
		}
	}

	event.MetricSetFields = m
	return event
}

func tryToMapStr(v interface{}) (common.MapStr, bool) {
	switch m := v.(type) {
	case common.MapStr:
		return m, true
	case map[string]interface{}:
		return common.MapStr(m), true
	default:
		return nil, false
	}
}

没枕头我咋睡觉
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Filebeat7.1 读日志输出到elasticsearch不能drop掉host, agent, ecs字段的存储
yk20091201的专栏
06-04 3663
近日使用Filebeat 7.1 抓取json日志到Elasticsearch,发现存储到Elasticsearch中的字段中多了很多基本信息字段字段,例如:@timestamp, input, ecs, agent, host, log, 使得本来很简洁的存储索引变的很庞大,所以就想把这些字段过滤掉不存储。根据文官方档的介绍,Filebeat Reference [7.1] ...
ELK架构之Elasticsearch和Kibana安装配置
02-25
不过现在还新增了一个Beats,它是一个轻量级的日志收集处理工具(Agent),Beats占用资少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具,目前由于原本的ELKStack成员中加入了Beats工具所以已...
filebeat将日志发送到kafka不同Topic的方法
soulfire的博客
12-03 5172
版本 filebeat 7.10.0 方法 通过fields参数设置kafka的topic,如下配置文件所示: # ============================== Filebeat inputs =============================== filebeat.inputs: # Each - is an input. Most options can be set at the input level, so # you can use different inputs f
ELK+Filebeat 集中式日志解决方案详解
热门推荐
zoubf的专栏
02-16 1万+
Google+用电子邮件发送本页面 ELK Stack 简介 ELK 不是一款软件,而是 Elasticsearch、Logstash 和 Kibana 三种软件产品的首字母缩写。这三者都是开软件,通常配合使用,而且又先后归于 Elastic.co 公司名下,所以被简称为 ELK Stack。根据 Google Trend 的信息显示,ELK Stac
filebeat的配置文件说明
weixin_33901641的博客
05-26 1010
filebeat.prospectors:- input_type: logpaths:- /tmp/fblog/* #指定采集文件的路径,可多级匹配fields: #为采集的信息中添加字段topicName: TEST2hostIP: 192.168.100.130Line_breaker: \n #...
filebeat_config介绍
yjph83的专栏
09-22 673
http://blog.csdn.net/xiongzhichao/article/details/51783704 (Filebeat的高级配置-Filebeat部分) http://blog.csdn.net/chengxuyuanyonghu/article/details/54378778 (filebeat 配置文件详解)   filebeat.prospectors: - ...
Filebeat配置参考手册
aihaochong8166的博客
11-14 1648
Filebeat的配置参考 指定要运行的模块 前提: 在运行Filebeat模块之前,需要安装并配置Elastic堆栈: 安装Ingest Node GeoIP和User Agent插件。这些插件需要捕获示例仪表板中可用的某些可视化所使用的地理位置和浏览器信息。您可以通过在Elasticsearch主路径中运行以下命令来安装这些插件: ...
ansible-role-beats:安装和配置Elastic Beats
04-09
配置通过yaml dict( beats_config )进行,因此可以通过在beats_config定义适当的键来覆盖此角色执行的每个默认配置。 要求 没有任何 依存关系 当然,Elasticsearch服务器应该已启动并正在运行。 您将需要生成供...
基于Django和ELK日志记录系统的设计
最新发布
04-16
码项目是基于Django和ELK日志记录系统的设计,包含28个文件,主要使用Python编程语言。该项目使用elasticsearch、kibna和logstash来记录Django日志,旨在帮助开发者更高效地监控和管理Django应用的日志。通过该...
ELK-docker:具有Curator和Beats数据托运人支持的ELK监视堆栈的Docker配置
02-01
ELK-docker项目是一个利用Docker容器化技术搭建的、包含Curator和Beats数据托运人的ELK(Elasticsearch, Logstash, Kibana)监视堆栈。这个配置为日志管理和分析提供了灵活且高效的解决方案,尤其适用于分布式系统和...
Beats — Filebeat 基础操作
北海牧野
07-13 2876
ElasticStack—Beats定义一、ElasticStack 的组成二、Beats 组件FileBeat 日志采集二、 Filebeat 工作原理三、启动命令四、部署和运行1、output.console 通过终端获取到数据2、输出 到 output.ElasicSearch3、读取 Nginx 日志文件4、Module 内置模块采集Nginx内置Module 启动nginx,禁用nginx配置 Module -- Nginx 配置文件配置 filebeatModules - Nginx - 日志仪
Filebeat+Kafka+ELK日志采集(二)——Filebeat
qq_40774600的博客
09-20 7955
Filebeat用于日志采集,将采集的日志做简单处理(多行合并)发送至Kafka、Logstash、Elasticsearch等。
filebeat常见配置项梳理
Jerry00713的博客
02-24 6394
filebeat 5.2.2 prospector(input)段配置 filebeat.prospectors: 每一个prospectors,起始于一个破折号”-“ - input_type: log #默认log,从日志文件读取每一行。stdin,从标准输入读取 paths: 日志文件路径列表,可用通配符,不递归 - /var/log/*.log encoding: plain #编码,默认无,plain(不验证或者改变任何输入), latin1, utf-8, utf-16be-b
在Windows10中使用filebeat将日志发送至kafka,并去除fileBeat添加的冗余字段步骤方法
soulfire的博客
12-01 2901
环境 win10系统 filebeat 7.10.0 CentOS7 集群(虚拟机) kafka 0.11 第一步 下载filebeat 下载地址 我下载的是图中圈出的压缩包版本,也有MSI版本供下载。 第二步 配置filebeat 官方教程 将下载的压缩包解压到“C:\Program Files\Filebeat”。 修改该目录中的配置文件filebeat.yml,主要修改以下几个地方: 添加文件相关内容,主要在inputs中。 # ========================
ELK 过滤 tags 默认标签信息 【beats_input_codec_json_applied】
IChen.的博客
08-31 252
1.在logstash里面添加如下配置: input { beats { port => "5044" } } --------------------------------------------------------------- # filter是要添加的部分 filter { if "beats_input_codec_json_applied" in [tags] { mutate { remove_tag.
elasticsearch 工作原理_Elasticsearch入门指南
weixin_39966909的博客
11-30 219
好好学习,天天向上 本文已收录至我的Github仓库DayDayUP:github.com/RobodLee/DayDayUP,欢迎Star这篇文章主要是记录一下最近在学的Elasticsearch。没有什么复杂的原理,只是简单的使用。简介 Elasticsearch 是一个分布式、高扩展、高实时的搜索与数据分析引擎。它能很方便的使大量数据具有搜索、分析和探索的能力。充分利用Elasticsear...
Elasticsearch 删字段及修改字段处理办法
fsstyle的专栏
08-18 2589
elasticsearch
ELK自定义字段 mapping
weixin_33834910的博客
05-15 542
在索引的位置处有一句很明显的英文:This page lists every field in thelogstash-*index and the field's associated core type as recorded by Elasticsearch. While this list allows you to view the core type of e...
修改filebeat和logstash项目实战案例
lpx1249115962的博客
08-31 218
(1)如果kibana并不是监听在127/8地址上,则用户可以直接基于kibana的IP进行访问,从而跳过nginx的验证;只运行一个logstash,即启动一个虚拟机即可,如果有多个业务处理逻辑,可以单独定义pipline。常用字段: split,strip,rename,convert,...处理数据,转换,切分,重命名,剔除空格,字母大小写等。- Kibana的可视化库,dashboard,RBAC。- kiaban的可视化库,地图,仪表盘的基本使用;分析客户端的设备类型等信息。
elk如何通过kibana删除索引
05-24
要通过 Kibana 删除 Elasticsearch 索引,可以按照以下步骤操作: 1. 打开 Kibana 控制台,点击左侧菜单栏的 "Dev Tools"。 2. 在 "Dev Tools" 中输入以下命令,选择要删除的索引名称: ``` DELETE / ``` 例如,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值