我想为Filebeat“ apache”模块导出到Graylog的每一行添加一个值为“ apache-access”的字段“ app”。
以下配置应添加该字段,因为我在Graylog中看到“ event_dataset” =“ apache.access”字段,但不执行任何操作。 如果我删除条件,“ add_fields”处理器确实会添加一个字段。
filebeat.inputs:
- type: log
enabled: false
paths:
- /var/log/*.log
filebeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: false
setup.template.settings:
index.number_of_shards: 1
setup.kibana:
output.logstash:
hosts: [ "localhost:5044" ]
processors:
- add_fields:
when:
equals:
event_dataset: "apache.access"
target: ""
fields:
app: "apache-access"
logging.level: info
答案 0 :(得分:0)
无论出于何种原因,该字段在filebeat中都被称为“ event.dataset”,而在Graylog中则显示为“ event_dataset”。