7.6.0 릴리즈 버전 기준으로 작성됨.
==
여기의 옵션들은 모든 인풋에 사용할 수 있다. 한 곳에 설정하면 모든 인풋에 적용된다는 뜻이 아니다(general configuration). 인풋 타입이 관계 없이 사용할 수 있다는 뜻이다.
enabled (디폴트: true)
이 인풋의 활성화/비활성화를 설정한다.
tags
Filebeat가 발행하는 각 이벤트의 tags 필드에 포함될 태그를 설정한다. 태그는 키바나에서 특정 이벤트를 선택하는 일이나 Logstash에서의 조건부 필터링 적용에 유용하게 사용된다. 여기에 설정한 태그는 일반 설정(general configuration) 태그에 추가된다.
예: tags ["json", "note"]
fields
커스텀 필드 설정. 아웃풋에 포함될 추가적인 정보를 설정한다. 예로, 로그 데이터 필터링에 사용하기 위한 필드를 추가할 수 있다. 필드는 스칼라 값, 배열, 딕셔너리 혹은 이들이 중첩된 다른 어떠한 것이든 가능하다. 기본적으로 여기에 지정하는 필드는 아웃풋 도규먼트의 fields 서브딕셔너리로 그룹핑된다. fields_under_root 옵션을 true로 설정하여 커스텀 필드를 탑 레벨 필드로 둘 수 있다. 일반 설정(general configuration)의 필드와 중복 시 여기의 필드가 우선한다.
fields_under_root (디폴트: false)
true로 지정 시 아웃풋의 커스텀 필드를 탑 레벨 필드로 설정한다. false이면 fields의 서브딕셔너리로 그룹핑된다.
processors
인풋 데이터에 적용되는 프로세서 목록이다.
pipeline
인풋이 생성하는 이벤트의 Ingest node 파이프라인 ID를 설정한다. 엘라스틱서치 아웃풋의 ID와 겹친다면 여기의 것이 우선한다.
keep_null (디폴트: false)
true로 지정 시 null 값을 지닌 필드도 아웃풋에 포함된다.
index
포맷팅된 문자열을 통해 인풋이 생성하는 이벤트의 인덱스를 설정하는데, 엘라스틱서치 아웃풋에 대해서는 index를 덮어쓰고, 다른 아웃풋에 대해서는 메타데이터의 raw_index 필드를 세팅한다. 설정 문자열에 사용할 수 있는 동적 필드는 에이전트 이름, 버전, 이벤트 타임스탬프가 있다. 다른 동적 필드를 사용하고 싶다면 output.elasticsearch.index 혹은 processor를 사용해야 한다.
예: "%{[agent.name]}-myindx-%{+yyyy.MM.dd}"
- 결과: "filebeat-myindex-2019.11.01"
'ELK+Filebeat' 카테고리의 다른 글
| Filebeat 설정 파일 분리하기 (inputs, modules) (0) | 2020.02.15 |
|---|---|
| Filebeat Log input 설정 (0) | 2020.02.13 |
| Filebeat 동작 방식 (0) | 2020.02.13 |
| ELK-Filebeat 연동 기본 설정 (0) | 2020.02.12 |