ElastAlert教程9章：filebeat输出内容详解

上一课，我们收集了一些日志，并得到了一些filebeat的输出，为进一步了解filebeat输出数据的意思，我们对输出数据的每一个字段做一些详细解释，为方便阅读，直接写在注释中：

{
  # 时间戳，收集这条日志的时间
  "@timestamp": "2021-01-17T04:05:26.743Z",
  # 元数据，这条日志是filebeta收集的，filebeat的版本是7.1.1
  "@metadata": {
    "beat": "filebeat",
    "type": "_doc",
    "version": "7.1.1"
  },
  # 日志的内容
  "message": "aaa",
  # 日志的输入类型
  "input": {
    "type": "log"
  },
  "ecs": {
    "version": "1.0.0"
  },
  # 日志产生那台机器的机器名
  "host": {
    "name": "my-node"
  },
  # filebeat的名字和版本
  "agent": {
    # filebeat的版本
    "version": "7.1.1",
    # 用filebeat收集的哦
    "type": "filebeat",
    "ephemeral_id": "0079d729-6696-405c-b850-78ad3143404f",
    # 收集日志的机器的美名
    "hostname": "my-node",
    # 这条日志唯一的UUID
    "id": "ae9b8e29-1935-4551-8e13-e1f38c74ee45"
  },
  # 日志所在的文件
  "log": {
    "file": {
      "path": "/root/logs/a.log"
    },
    # 从日志的这个位置开始读日志的。
    "offset": 36
  }
}

这里面最关键的就是message了，因为他是真正的日志。