我需要为 auditbeat 数据的每个事件插入一个字段。也就是说每个文档都应该包含一个字段"enviornment": "production"
注意:我需要一个不涉及 Logstash 的解决方案
我怎样才能做到这一点?。
问问题
314 次
1 回答
2
您可以使用 logstash 和 mutate 过滤器插件来做到这一点。像这样的东西:
filter {
mutate {
add_field => { "enviornment" => "production" }
}
}
编辑:没有logstash。由于节拍是开源的,您可以编辑节拍以符合您的规范。但这显然是一个糟糕的解决方案。您可以检查的另一件事是处理器。但是处理器是保留/删除字段和其他任务。我没有找到适合您情况的处理器解决方案。
最后,您在配置文件 (yml) 中有一个称为字段的字段。您可以指定用于向输出添加附加信息的可选字段。字段可以是标量值、数组、字典或这些的任何嵌套组合。默认情况下,您在此处指定的字段将分组在输出文档中的字段子字典下。要将自定义字段存储为顶级字段,请将 fields_under_root 选项设置为 true。
fields_under_root: true
fields:
enviornment: production
another_field: 1234
于 2019-01-22T15:56:44.533 回答