Sou novo no Logstash e estou tentando entender como entradas, filtros e saídas funcionam juntos. Eu entendo que há uma variedade de entradas, filtros e saídas, mas o que eu não entendo é como o Logstash trabalha com mensagens internamente.
Digamos que eu configure uma entrada syslog e gostaria que os eventos syslog fossem enviados para o índice de log como GELF. Há uma entrada syslog que eu posso usar, e há uma saída GELF que eu posso usar. No entanto, é minha responsabilidade (usando filtros) preencher o campo GELF correto com base nos valores do evento syslog?
Devo examinar eventos (de filtros de entrada) como uma entidade com campos nomeados (uma espécie de chave: matriz de valores) e, em seguida, usar filtros para garantir que as saídas possam obter os dados certos?
Como Jordan Sissel disse, pense nisso como um pipe em esteróides, entre entrada e saída você pode fazer o que quiser com os eventos, você pode combinar partes da mensagem para nomes de campo usando grok ou você pode usar mutate para remover campos , substituição de texto no estiloregex , adicionar ou remova tags. Depois de ter seus dados formatados como você deseja, você pode enviá-los para sua saída.
Tags logstash