我有一个用例,我想在每个由filebeat处理的日志消息中附加一个字段。该值将基于filebeat读取的日志类型。
例如,假设我有3种日志类型:typeA,typeB,typeC。当filebeat识别出对日志类型A的更新时,它将在输出消息之前在每个消息后附加一个typeA值。
我已经配置并运行了一个基本的filebeat.yml,但是我无法弄清楚如何将数据附加到每条消息中。
感谢您提供任何见解。谢谢
答案 0 :(得分:1)
查看filebeat docs下的“ Common Options”,以进行文件输入。他们是向邮件添加字段的选项:https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-input-log.html#filebeat-input-log-fields
以下是示例代码段:
filebeat.inputs:
- type: log
path: /path_to_your_typeA
fields:
name_of_your_additional_field: typeA
如果您不想沉迷于key / val选项,也可以使用“标签”代替字段。