elasticsearch - 使用functionbeat.yml时如何提取cloudwatch日志组标签

问题描述

在 functionbeat.yml 中，有一个部分称为处理器：

例如

processors:
  - if:
      contains:
        log_group: "/aws/rds"
    then:
      - add_fields:
          target: ''
          fields:
            managed-service: rds

假设我的 functionbeat 触发器来自 kinesis 数据流，并且我的 cloudwatch 日志组被标记为这个键值对“env：dev”，我该如何做这样的事情：

processors:
  - if:
      contains:
        tag: "env=dev"
    then:
      - add_fields:
          target: ''
          fields:
            env: dev

标签： elasticsearchaws-lambdafunctionbeat