filebeat 在将日志发送到 elasticsearch 时是否添加元数据?
Does filebeat add metadata while sending logs to elasticsearch?
我正在尝试通过 filebeat 将 systemd 日志发送到 elasticsearch。我在 elasticsearch 中看到其中一个日志条目的以下元数据字段。
"meta" : {
"cloud" : {
"instance_id" : "xxxxxx",
"machine_type" : "xxxxxx",
"instance_name" : "xxxx",
"availability_zone" : "xxxxxx",
"provider" : "xxxxx"
}
},
我想知道上面可见的元数据字段是否由 filebeat 添加,或者它是由 systemd 拾取并像 filebeat 一样转发到 elasticsearch 的字段?有办法检查吗?或者 filebeat 是否默认将元数据添加到它转发的日志中?
是的,它有 add metadata 个字段。
查看您的 filebeat.yml,您可能会看到以下两行:
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
默认情况下启用 host 和 cloud 元数据,如果您不需要这些字段,只需注释这些行即可。
我正在尝试通过 filebeat 将 systemd 日志发送到 elasticsearch。我在 elasticsearch 中看到其中一个日志条目的以下元数据字段。
"meta" : {
"cloud" : {
"instance_id" : "xxxxxx",
"machine_type" : "xxxxxx",
"instance_name" : "xxxx",
"availability_zone" : "xxxxxx",
"provider" : "xxxxx"
}
},
我想知道上面可见的元数据字段是否由 filebeat 添加,或者它是由 systemd 拾取并像 filebeat 一样转发到 elasticsearch 的字段?有办法检查吗?或者 filebeat 是否默认将元数据添加到它转发的日志中?
是的,它有 add metadata 个字段。
查看您的 filebeat.yml,您可能会看到以下两行:
processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
默认情况下启用 host 和 cloud 元数据,如果您不需要这些字段,只需注释这些行即可。