我正在尝试通过filebeat将systemd日志发送到elasticsearch。我在elasticsearch中看到以下日志条目之一的以下元数据字段。
"meta" : {
"cloud" : {
"instance_id" : "xxxxxx",
"machine_type" : "xxxxxx",
"instance_name" : "xxxx",
"availability_zone" : "xxxxxx",
"provider" : "xxxxx"
}
},
我想知道以上可见的元数据字段是由filebeat添加的,还是由systemd拾取并仅由filebeat转发给Elasticsearch的字段?有没有办法检查?还是默认情况下,filebeat是否将元数据添加到转发的日志中?
答案 0 :(得分:0)
是的,它有add metadata个字段。
查看您的filebeat.yml,您可能会看到以下两行:
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
默认情况下会启用host和cloud元数据,如果您不希望这些字段只需要注释这些行。