我是 Logstash 新手,我正在尝试了解输入、过滤器和输出如何协同工作。我知道有各种各样的输入、过滤器和输出,但我不明白 Logstash 内部如何处理消息。
假设我配置了一个 syslog 输入,并且我希望将 syslog 事件作为 GELF 发送到日志索引。我可以使用 syslog 输入,也可以使用 GELF 输出。但是,我是否有责任(使用过滤器)根据 syslog 事件的值填充正确的 GELF 字段?
我是否应该将事件(来自输入过滤器)视为具有命名字段(类似于键:值数组)的实体,然后使用过滤器来确保输出可以获得正确的数据?