过滤器插件 过滤器插件对事件执行中间处理,过滤器通常根据事件的特征有条件地应用。 下面是一些过滤器插件,有关Elastic支持插件的列表,请参阅支持矩阵。 插件描述Github仓库aggregate聚合来自单个任务的多个事件的信息logstash-filter-aggregatealter对mutate过滤器无法处理的字段执行一般更改logstash-filter-altercidr根据网络块列表检查IP地址logstash-filter-cidrcipher向事件应用或移除密码logstash-filter-cipherclone重复事件logstash-filter-clonecsv将逗号分隔的值数据解析为单个字段logstash-filter-csvdate从字段中解析日期,用作事件的Logstash时间戳logstash-filter-datede_dot从字段名中删除点的高昂计算过滤器logstash-filter-de_dotdissect使用分隔符将非结构化事件数据提取到字段中logstash-filter-dissectdns执行标准或反向DNS查找logstash-filter-dnsdrop删除所有事件logstash-filter-dropelapsed计算一对事件之间的经过时间logstash-filter-elapsedelasticsearch将以前Elasticsearch中的日志事件的字段复制到当前事件logstash-filter-elasticsearchenvironment将环境变量存储为元数据子字段logstash-filter-environmentextractnumbers从字符串中提取数字logstash-filter-extractnumbersfingerprint通过使用一致的哈希替换值的指纹字段logstash-filter-fingerprintgeoip添加关于IP地址的地理信息logstash-filter-geoipgrok将非结构化事件数据解析为字段logstash-filter-groki18n从字段中删除特殊字符logstash-filter-i18njdbc_static使用预先从远程数据库加载的数据丰富事件logstash-filter-jdbc_staticjdbc_streaming使用数据库数据丰富事件logstash-filter-jdbc_streamingjson解析JSON事件logstash-filter-jsonjson_encode将字段序列化为JSONlogstash-filter-json_encodekv解析键值对logstash-filter-kvmetricize获取包含多个指标的复杂事件,并将其分解为多个事件,每个事件都包含一个指标logstash-filter-metricizemetrics聚合指标logstash-filter-metricsmutate在字段上执行转变logstash-filter-mutateprune基于要列入黑名单或白名单的字段列表来精简事件数据logstash-filter-prunerange检查指定字段是否保持在给定的大小或长度限制内logstash-filter-rangeruby执行任意Ruby代码logstash-filter-rubysleep休眠指定的时间跨度logstash-filter-sleepsplit将多行消息分解为不同的事件logstash-filter-splitsyslog_pri解析syslog消息的PRI(priority)字段logstash-filter-syslog_prithrottle限制事件的数量logstash-filter-throttletld用你在配置中指定的内容替换默认消息字段的内容logstash-filter-tldtranslate基于哈希或YAML文件替换字段内容logstash-filter-translatetruncate截断比给定长度长的字段logstash-filter-truncateurldecode解码url编码字段logstash-filter-urldecodeuseragent将user agent字符串解析为字段logstash-filter-useragentuuid向事件添加UUIDlogstash-filter-uuidxml将XML解析为字段logstash-filter-xml