过滤器插件
过滤器插件对事件执行中间处理,过滤器通常根据事件的特征有条件地应用。
下面是一些过滤器插件,有关Elastic支持插件的列表,请参阅。
| 插件 | 描述 | Github仓库 |
|---|---|---|
| aggregate | 聚合来自单个任务的多个事件的信息 | |
| alter | 对mutate过滤器无法处理的字段执行一般更改 | |
| cidr | 根据网络块列表检查IP地址 | |
| cipher | 向事件应用或移除密码 | |
| clone | 重复事件 | |
| csv | 将逗号分隔的值数据解析为单个字段 | |
| date | 从字段中解析日期,用作事件的Logstash时间戳 | |
| de_dot | 从字段名中删除点的高昂计算过滤器 | |
| dissect | 使用分隔符将非结构化事件数据提取到字段中 | |
| dns | 执行标准或反向DNS查找 | |
| drop | 删除所有事件 | |
| elapsed | 计算一对事件之间的经过时间 | |
| elasticsearch | 将以前Elasticsearch中的日志事件的字段复制到当前事件 | |
| environment | 将环境变量存储为元数据子字段 | |
| extractnumbers | 从字符串中提取数字 | |
| fingerprint | 通过使用一致的哈希替换值的指纹字段 | |
| geoip | 添加关于IP地址的地理信息 | |
| grok | 将非结构化事件数据解析为字段 | |
| i18n | 从字段中删除特殊字符 | |
| jdbc_static | 使用预先从远程数据库加载的数据丰富事件 | |
| jdbc_streaming | 使用数据库数据丰富事件 | |
| json | 解析JSON事件 | |
| json_encode | 将字段序列化为JSON | |
| kv | 解析键值对 | |
| metricize | 获取包含多个指标的复杂事件,并将其分解为多个事件,每个事件都包含一个指标 | |
| metrics | 聚合指标 | |
| mutate | 在字段上执行转变 | |
| prune | 基于要列入黑名单或白名单的字段列表来精简事件数据 | |
| range | 检查指定字段是否保持在给定的大小或长度限制内 | |
| ruby | 执行任意Ruby代码 | |
| sleep | 休眠指定的时间跨度 | |
| split | 将多行消息分解为不同的事件 | |
| syslog_pri | 解析syslog消息的PRI(priority)字段 | |
| throttle | 限制事件的数量 | |
| tld | 用你在配置中指定的内容替换默认消息字段的内容 | |
| translate | 基于哈希或YAML文件替换字段内容 | |
| truncate | 截断比给定长度长的字段 | |
| urldecode | 解码url编码字段 | |
| useragent | 将user agent字符串解析为字段 | |
| uuid | 向事件添加UUID | |
| xml | 将XML解析为字段 |