我正在阅读filebeat文档,其中有很有前途的功能来处理输入logevents- https://www.elastic.co/guide/en/beats/filebeat/current/configuration-processors.html,我应该能够改变我的logevetns。
支持的处理器是:
不幸的是,它没有提到如何添加自定义处理器以便我 可以按我想要的方式改变logevents。假设我想以格式处理日志,
timestamp a:1,b:2,c:100
到
{ "timestamp" : timestamp, "message" : { "a": 1, "b" : 2, "c": 100}}
Logstash可能是一个解决方案,但它只是从filebeat发送到logstash然后再发送到elasticsearch的开销。