如何生成自定义 Auditbeat 字段?
How to generate custom Auditbeat field?
我需要为 auditbeat 数据的每个事件插入一个字段。
也就是说每个文档应该包含一个字段 "enviornment": "production"
注意:我需要一个不涉及 Logstash 的解决方案
我该怎么做?
您可以使用 logstash 和 mutate 过滤器插件来完成此操作。像这样:
filter {
mutate {
add_field => { "enviornment" => "production" }
}
}
编辑:没有 logstash。由于节拍是开源的,您可以编辑节拍以符合您的规范。但这显然是一个糟糕的解决方案。您可以检查的另一件事是处理器。但是处理器是 keep/drop 字段和其他任务。我没有找到适合您的情况的处理器解决方案。
最后,您在配置文件 (yml) 中有一个名为 fields 的字段。
您可以指定的可选字段以将附加信息添加到输出。字段可以是标量值、数组、字典或它们的任何嵌套组合。默认情况下,您在此处指定的字段将在输出文档的字段子字典下分组。要将自定义字段存储为顶级字段,请将 fields_under_root 选项设置为 true。
fields_under_root: true
fields:
enviornment: production
another_field: 1234
我需要为 auditbeat 数据的每个事件插入一个字段。
也就是说每个文档应该包含一个字段 "enviornment": "production"
注意:我需要一个不涉及 Logstash 的解决方案
我该怎么做?
您可以使用 logstash 和 mutate 过滤器插件来完成此操作。像这样:
filter {
mutate {
add_field => { "enviornment" => "production" }
}
}
编辑:没有 logstash。由于节拍是开源的,您可以编辑节拍以符合您的规范。但这显然是一个糟糕的解决方案。您可以检查的另一件事是处理器。但是处理器是 keep/drop 字段和其他任务。我没有找到适合您的情况的处理器解决方案。
最后,您在配置文件 (yml) 中有一个名为 fields 的字段。 您可以指定的可选字段以将附加信息添加到输出。字段可以是标量值、数组、字典或它们的任何嵌套组合。默认情况下,您在此处指定的字段将在输出文档的字段子字典下分组。要将自定义字段存储为顶级字段,请将 fields_under_root 选项设置为 true。
fields_under_root: true
fields:
enviornment: production
another_field: 1234