Logstash 在內部如何處理消息/事件？

我是 Logstash 的新手，我正在嘗試了解輸入、過濾器和輸出如何協同工作。我知道有多種輸入、過濾器和輸出，但我不知道 Logstash 如何在內部處理消息。

假設我配置了一個 syslog 輸入，並且我希望將 syslog 事件作為 GELF 發送到日誌索引。我可以使用 syslog 輸入，也可以使用 GELF 輸出。但是，我是否有責任（使用過濾器）根據來自 syslog 事件的值填充正確的 GELF 欄位？

我是否應該將事件（來自輸入過濾器）視為具有命名欄位（某種鍵：值數組）的實體，然後使用過濾器來確保輸出可以獲取正確的數據？

正如 Jordan Sissel 所說，將其視為類固醇上的管道，在輸入和輸出之間，您可以對事件做您想做的事情，您可以使用grok將部分消息與欄位名稱匹配，或者您可以使用mutate刪除欄位，正則表達式樣式文本替換，添加或刪除標籤。一旦您將數據格式化為您想要的格式，您就可以將其發送到您的輸出。

引用自：https://serverfault.com/questions/658049