это немного перефразированная версия:
Я использую filebeat для сбора журналов из кучи контейнеров докеров, а затем отправляю их на вход graylog beats. используя tcpdump, я могу видеть сообщения, поступающие на входной порт, включая полный набор полей метаданных docker и aws в json:
0x10e0: 223a 7b22 7265 6769 6f6e 223a 2265 752d ":{"region":"eu-
0x10f0: 6365 6e74 7261 6c2d 3122 2c22 6176 6169 central-1","avai
0x1100: 6c61 6269 6c69 7479 5f7a 6f6e 6522 3a22 lability_zone":"
0x1110: 6575 2d63 656e 7472 616c 2d31 6122 2c22 eu-central-1a","
0x1120: 696e 7374 616e 6365 5f69 6422 3a22 692d instance_id":"i-
0x1130: 3034 6237 3133 3630 3633 6436 6165 3064 04b7136063d6ae0d
0x1140: 6122 2c22 6d61 6368 696e 655f 7479 7065 a","machine_type
0x1150: 223a 226d 342e 6c61 7267 6522 2c22 7072 ":"m4.large","pr
0x1160: 6f76 6964 6572 223a 2265 6332 227d 7d2c ovider":"ec2"}},
однако в сообщениях в сером журнале отсутствует большинство из них, присутствует только самый минимум полей (см. изображение ниже). Мне интересно, как я могу показать остальных? или, скорее, как я могу контролировать, что на самом деле хранится в сообщении?
на самом деле, я просто ошибался насчет того, чего ожидал от Graylog. однако сейчас это устарело. перезаписанный ввод ударов в Graylog 3 обрабатывает эти поля так же, как я и хотел.