我有一个用例,我想在每个由filebeat处理的日志消息中附加一个字段。该值将基于filebeat读取的日志类型。
例如,假设我有3种日志类型:typeA,typeB,typeC。当filebeat识别对日志类型A的更新时,它会在输出消息之前为每个消息附加一个typeA值。
我有一个基本的filebeat.yml配置并运行,但我无法弄清楚如何将数据附加到每个消息。
感谢任何洞察力。谢谢
查看filebeat docs下的“Common Options”以获取文件输入。他们可以选择在您的消息中添加字段:https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-input-log.html#filebeat-input-log-fields
这是一个示例代码段:
filebeat.inputs:
- type: log
path: /path_to_your_typeA
fields:
name_of_your_additional_field: typeA
如果您不想沉迷于key / val选项,也可以使用“tags”而不是字段。