我需要为auditbeat数据的每个事件插入一个字段。
也就是说,每个文档都应包含一个字段"enviornment": "production"
注意:我需要不涉及Logstash的解决方案
我该怎么做?
答案 0 :(得分:1)
您可以使用logstash和mutate过滤器插件执行此操作。像这样:
filter {
mutate {
add_field => { "enviornment" => "production" }
}
}
编辑:无logstash。由于节拍是开源的,因此您可以编辑节拍以达到您的要求。但这显然是一个不好的解决方案。您可以检查的另一件事是处理器。但是处理器要保留/删除字段和其他任务。我没有找到适合您情况的处理器解决方案。
最后,您在配置文件(yml)中有一个称为fields的字段。 您可以指定可选字段以将其他信息添加到输出中。字段可以是标量值,数组,字典或它们的任何嵌套组合。默认情况下,您在此处指定的字段将被分组在输出文档中的子词典下。要将自定义字段存储为顶级字段,请将fields_under_root选项设置为true。
fields_under_root: true
fields:
enviornment: production
another_field: 1234