logstash使用prune{whielist_names}无数据

想通过logstash中prune{whitelist_names}设置白名单提取相关字段，但是设置后白名单中字段获取不到。
不使用prune的logstash.conf

input {
  beats {
    port => 5044
  }
}
filter {
       json {
        source => "message"
        remove_field => "message"
}
output {
  if [filetype] == "wazuh_alert"{
  elasticsearch {
    hosts => ["127.0.0.1:9200"]
    index => "wazuhalert111-%{+YYYY.MM.dd}"
    #user => "elastic"
    #password => "changeme"
  }

查询得到的数据：

{
  "took" : 4,
  "timed_out" : false,
  "_shards" : {
    "total" : 1,
    "successful" : 1,
    "skipped" : 0,
    "failed" : 0
  },
  "hits" : {
    "total" : {
      "value" : 2047,
      "relation" : "eq"
    },
    "max_score" : 1.0,
    "hits" : [
      {
        "_index" : "sdtalerts111-2021.12.14",
        "_type" : "_doc",
        "_id" : "Di3guH0BS36tsJnhov5-",
        "_score" : 1.0,
        "_source" : {
          "input" : {
            "type" : "log"
          },
          "rule" : {
            "level" : 3,
            "description" : "Ossec server started.",
            "id" : "502",
            "firedtimes" : 1,
            "pci_dss" : [
              "10.6.1"
            ],
            "gdpr" : [
              "IV_35.7.d"
            ],
            "tsc" : [
              "CC7.2",
              "CC7.3"
            ],
            "hipaa" : [
              "164.312.b"
            ],
            "nist_800_53" : [
              "AU.6"
            ],
            "groups" : [
              "ossec"
            ],
            "mail" : false,
            "gpg13" : [
              "10.1"
            ]
          },
          "id" : "1639484264.4555795",
          "fileset" : {
            "name" : "alerts"
          },
          "full_log" : "ossec: Ossec started.",
          "location" : "wazuh-monitord",
          "tags" : [
            "beats_input_codec_plain_applied"
          ],
          "host" : {
            "name" : "lbw-ThinkPad"
          },
          "log" : {
            "file" : {
              "path" : "/var/ossec/logs/alerts/alerts.json"
            },
            "offset" : 6903410
          },
          "agent" : {
            "name" : "lbw-ThinkPad",
            "id" : "000"
          },
          "decoder" : {
            "name" : "ossec"
          },
          "filetype" : "sdtalerts666",
          "manager" : {
            "name" : "lbw-ThinkPad"
          },
          "service" : {
            "type" : "wazuh"
          },
          "@timestamp" : "2021-12-14T12:17:45.653Z",
          "ecs" : {
            "version" : "1.11.0"
          },
          "timestamp" : "2021-12-14T20:17:44.530+0800",
          "event" : {
            "dataset" : "wazuh.alerts",
            "module" : "wazuh"
          },
          "@version" : "1"
        }
      },
      {
        "_index" : "sdtalerts111-2021.12.14",
        "_type" : "_doc",
        "_id" : "EC3guH0BS36tsJnhov6A",
        "_score" : 1.0,
        "_source" : {
          "input" : {
            "type" : "log"
          },
          "rule" : {
            "level" : 7,
            "description" : "Host-based anomaly detection event (rootcheck).",
            "id" : "510",
            "firedtimes" : 1,
            "groups" : [
              "ossec",
              "rootcheck"
            ],
            "gdpr" : [
              "IV_35.7.d"
            ],
            "mail" : false
          },
          "id" : "1639484266.4556047",
          "fileset" : {
            "name" : "alerts"
          },
          "full_log" : "File '/usr/local/zeek/spool/tmp/post-terminate-standalone-2021-07-14-19-01-55-25928-crash/.startup' is owned by root and has written permissions to anyone.",
          "location" : "rootcheck",
          "tags" : [
            "beats_input_codec_plain_applied"
          ],
          "host" : {
            "name" : "lbw-ThinkPad"
          },
          "agent" : {
            "name" : "lbw-ThinkPad",
            "id" : "000"
          },
          "log" : {
            "file" : {
              "path" : "/var/ossec/logs/alerts/alerts.json"
            },
            "offset" : 6903891
          },
          "decoder" : {
            "name" : "rootcheck"
          },
          "filetype" : "sdtalerts666",
          "data" : {
            "title" : "File is owned by root and has written permissions to anyone.",
            "file" : "/usr/local/zeek/spool/tmp/post-terminate-standalone-2021-07-14-19-01-55-25928-crash/.startup"
          },
          "manager" : {
            "name" : "lbw-ThinkPad"
          },
          "service" : {
            "type" : "wazuh"
          },
          "@timestamp" : "2021-12-14T12:17:46.653Z",
          "ecs" : {
            "version" : "1.11.0"
          },
          "timestamp" : "2021-12-14T20:17:46.536+0800",
          "event" : {
            "dataset" : "wazuh.alerts",
            "module" : "wazuh"
          },
          "@version" : "1"
        }
      },

kibana显示的字段:

使用prune：


input {
  beats {
    port => 5044
  }
}
filter {
       json {
        source => "message"
        remove_field => "message"
       }
       prune {
        whitelist_names => [ "^agent" ]
       }
}
output {
  if [filetype] == "wazuh_alert"{
  elasticsearch {
    hosts => ["127.0.0.1:9200"]
    index => "wazuhalert111-%{+YYYY.MM.dd}"
    #user => "elastic"
    #password => "changeme"
  }

没有数据传送，显示结果没有数据：

这应该如何修改呢。

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除
收藏举报

3条回答默认最新

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
喜之助� 2021-12-14 21:29
关注
output 处少写了一个大括号

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

logstash用tcp接收数据走不同的配置 elk
2022-11-03 09:30

回答 1 已采纳你看下这篇博客吧, 应该有用👉 ：Logstash之TCP插件
求助!用logstash将oracle中的数据导入elasticsearch中出现如下错误 elasticsearch
2019-08-07 17:31

回答 1 已采纳这多半是数据库连接的问题 https://blog.csdn.net/zl570932980/article/details/77864157
filebeat+logstash无法输出到多个索引filebeat设置fields，在logstash中设置if()语句，我在实践中logstash能够获取，如何解决？ elk
2022-09-23 11:31

回答 2 已采纳实际是可以通过filebeat 的fields 字段来区分的。注意YML文件的输入格式，这点很重要，实际这个问题不存在。结题。
Logstash：使用 Logstash 的 prune 过滤器功能将指定字段列入白名单
2020-08-09 15:18

Elastic 中国社区官方博客的博客 Logstash 的 prune 滤器插件可以利用白名单，以确保仅从 Logstash 输出特定的所需字段，并删除所有其他字段。在此博客文章中，我们演示了在索引到 Elasticsearch 之前，如何使用 Logstash 将所需字段和所需子文档...
关于logstash 的timestamp格式化问题
2017-06-09 07:21

回答 2 已采纳看我博客里面有，转换@timestamp，好用记得采纳谢谢
在logstash中，使用kafka作为输入源，内存溢出
2017-09-11 02:23

回答 1 已采纳这个问题在logstash的bin目录下logstash.bin.sh脚本里修改LS_HEAP_SIZE="${LS_HEAP_SIZE:=4g}"这个值就ok了，默认是512m
Logstash csvparsefailure和dateparsefailure php
2017-02-20 03:53

回答 1 已采纳 Your problem can be solved very simply by changing the name of your timestamp variable since @time
logstash-filter-jdbc_streaming:可以使用数据库中的数据丰富事件的 Logstash 过滤器
2021-05-30 11:15

Logstash插件这是的插件。它是完全免费和完全开源的。许可证是 Apache 2.0，这意味着您可以随意以任何方式使用它。 JDBC 流过滤器插件已移动这个 JDBC Streaming Filter Plugin 现在是的一部分；在可能的情况...
为什么我配置的filebeat不能向logstash或elasticseartch输出信息？ elasticsearch elk
2022-08-08 21:31

回答 1 已采纳我在尝试使用和你一样的配置可以正常输出，你可以尝试修改filebeat的配置注释调不需要的output，然后output logstash的hosts使用127.0.0.1:5044防止DNS污染问题
安装logstash.bat闪退 elasticsearch lucene 中文分词全文检索搜索引擎
2019-07-25 23:20

回答 1 已采纳这个帖子可以解决你的问题 https://github.com/elastic/logstash/issues/8901
logstash 同步MySQL数据库到es中，时间转化问题 java
2021-12-28 15:11

回答 1 已采纳 type"=>"illegal_argument_exception", "reason"=>"For input string: "2021-12-28T14:40:16.000Z"
Logstash：运用 jdbc_streaming 来丰富我们的数据
2019-10-10 12:40

Elastic 中国社区官方博客的博客当物联网数据传到我们的数据平台时，我们希望对采集上来的数据进行数据的丰富，比如我们对物联网的数据加上它所在的位置等信息，这将对我们的数据分析非常有用。这些需要丰富的数据通常会存放于一个关系数据库的表格...
logstash启动出现Faild to elasticsearch
2020-03-05 17:31

回答 1 已采纳版本不合适。把版本换成mysql-connector-java-8.0.15.jar吧。
Java中lastValue_在Logstash中为sql_last_value使用表的ID？
2021-03-17 11:46

迷失的憨批的博客我jdbc在logstash输入的插件中有这样的MySQL语句。statement => "SELECT * from TEST where id > :sql_last_value"我的表没有任何date或datetime字段。因此，我尝试通过使用来检查scheduler每一分钟，以更新...
Logstash——Logstash从MySQL中收集数据并输出
2020-04-22 21:15

大·风的博客之前介绍过如何使用文件系统通过Logstash将数据推送至elasticsearch来实现日志的线上分析。而Logstash这次介绍通过logstash 将MySql数据同步至elasticsearch Logstash-MySql数据源配置最开始先看下MySQL作为数据...
没有解决我的问题, 去提问

问题事件

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
系统已结题 12月22日
关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
创建了问题 12月14日

悬赏问题

¥30 这是哪个作者做的宝宝起名网站
¥60 版本过低apk如何修改可以兼容新的安卓系统
¥25 由IPR导致的DRIVER_POWER_STATE_FAILURE蓝屏
¥50 有数据，怎么建立模型求影响全要素生产率的因素
¥50 有数据，怎么用matlab求全要素生产率
¥15 TI的insta-spin例程
¥15 完成下列问题完成下列问题
¥15 C#算法问题, 不知道怎么处理这个数据的转换
¥15 YoloV5 第三方库的版本对照问题
¥15 请完成下列相关问题！

logstash使用prune{whielist_names}无数据

3条回答 默认 最新

问题事件

悬赏问题

3条回答默认最新