📙
iLogtail用户手册
Pre-Release
Pre-Release1.3.01.2.11.1.11.1.01.4.01.5.01.6.01.7.11.8.42.0.4
Pre-Release
Pre-Release1.3.01.2.11.1.11.1.01.4.01.5.01.6.01.7.11.8.42.0.4
  • 关于
    • 什么是LoongCollector
    • 发展历史
    • 产品优势
    • 开源协议
    • 社区版和企业版的对比说明
  • 安装
    • 快速开始
    • Docker使用
    • Kubernetes使用
    • 守护进程
    • 目录结构说明
    • iLogtail 兼容模式使用指南
    • 支持的操作系统
    • 源代码
      • 下载
      • 编译
      • Docker镜像
      • 编译依赖
    • 发布记录
      • LoongCollector 发布记录
      • iLogtail 发布记录(2.x版本)
      • iLogtail 发布记录(1.x版本)
  • 配置
    • 采集配置
    • 系统参数
    • 日志
  • 插件
    • 概览
    • 版本管理
    • 输入插件
      • 什么是输入插件
      • 原生输入插件
        • 文本日志
        • 容器标准输出
        • eBPF网络可观测数据
        • eBPF进程安全数据
        • eBPF网络安全数据
        • eBPF文件安全数据
        • 自监控指标数据
        • 自监控告警数据
      • 扩展输入插件
        • 容器标准输出
        • 脚本执行数据
        • Kubernetes元信息采集
        • 主机Meta数据
        • 主机监控数据
        • MySQL Binlog
        • GO Profile
        • GPU数据
        • HTTP数据
        • Journal数据
        • Kafka
        • SqlServer 查询数据
        • OTLP数据
        • PostgreSQL 查询数据
        • 收集 SNMP 协议机器信息
        • Syslog数据
        • 【示例】MetricInput
        • 【示例】ServiceInput
        • 【Debug】Mock数据-Metric
        • 【Debug】Mock数据-Service
        • 【Debug】文本日志
    • 处理插件
      • 什么是处理插件
      • SPL处理插件
        • SPL 处理
      • 原生处理插件
        • 正则解析
        • 分隔符解析
        • Json解析
        • 时间解析
        • 过滤
        • 脱敏
      • 扩展处理插件
        • 添加字段
        • 追加字段
        • 添加云资产信息
        • 原始数据
        • 分隔符
        • 数据脱敏
        • 字段值映射处理
        • 丢弃字段
        • 字段加密
        • 条件字段处理
        • 日志过滤
        • 时间提取(Go 时间格式)
        • Grok
        • Json
        • 日志转SLS Metric
        • otel Metric格式转换
        • otel Trace格式转换
        • 字段打包
        • 日志限速
        • 正则
        • 重命名字段
        • 键值对
        • 多行切分
        • 字符串替换
        • 时间提取(strptime 格式)
    • 聚合插件
      • 什么是聚合插件
      • 基础聚合
      • 按上下文分组
      • 按Key分组
      • 按GroupMetadata分组
    • 输出插件
      • 什么是输出插件
      • 原生输出插件
        • SLS
        • 本地文件
        • 【Debug】Blackhole
        • 多Flusher路由
      • 扩展输出插件
        • ClickHouse
        • ElasticSearch
        • HTTP
        • KafkaV2
        • Kafka(Deprecated)
        • OTLP日志
        • Prometheus
        • Pulsar
        • 标准输出/文件
        • Loki
    • 扩展插件
      • 什么是扩展插件
      • BasicAuth鉴权
      • 协议解码/反序列化
      • 协议编码/序列化
      • 数据筛选
      • 请求熔断
  • 工作原理
    • 插件系统
  • 开发者指南
    • 开发环境
    • 代码风格
    • 数据模型(C++)
    • 数据模型(Golang)
    • 日志协议
      • 什么是日志协议
      • 协议转换
      • 增加新的日志协议
      • 协议
        • sls协议
        • 单条协议
        • raw协议
    • 自监控
      • 指标
        • 自监控指标说明
        • 如何收集自监控指标
        • 如何添加自监控指标
      • 告警
        • 自监控告警说明
    • 插件开发
      • 开源插件开发引导
      • 原生插件开发
        • 如何开发原生Input插件
        • 如何开发原生Flusher插件
      • 扩展插件开发
        • 如何开发扩展Input插件
        • 如何开发扩展Processor插件
        • 如何开发扩展Aggregator插件
        • 如何开发扩展Flusher插件
        • 如何开发Extension插件
        • 如何开发外部私有插件
        • 如何自定义构建产物中默认包含的插件
        • 插件配置项基本原则
      • 插件文档开发
        • 如何生成插件文档
        • 插件文档规范
      • 插件调试
        • Logger接口
        • Golang 自监控指标接口
        • 纯插件模式启动
    • 测试
      • 单元测试
      • E2E测试
      • E2E测试——如何添加新的测试行为
      • E2E测试——如何编写Subscriber插件
      • Benchmark测试
    • 代码检查
      • 检查代码规范
      • 检查文件许可证
      • 检查依赖包许可证
  • 贡献指南
    • 贡献指南
    • 开发者
    • 成就
  • 性能测试
    • 容器场景iLogtail与Filebeat性能对比测试
  • 管控工具
    • 使用介绍
    • 通信协议
    • 开发指南
  • 社区活动
    • 开源之夏 2024
      • 开源之夏 2024 活动介绍
      • 项目
        • iLogtail 社区项目介绍
        • iLogtail 数据吞吐性能优化
        • ConfigServer 能力升级 + 体验优化(全栈)
  • Awesome LoongCollector
    • 走近LoongCollector社区版
    • LoongCollector社区版开发使用经验
Powered by GitBook
On this page
  • 概述
  • 介绍
  • 原生插件
  • 扩展插件
  • SPL处理
  • 特性对比
  • 使用约束与限制
  • 原生处理插件支持的输入插件
  • 插件组合规则
  • 选型建议
  1. 插件
  2. 处理插件

什么是处理插件

概述

处理插件用于对采集到的数据进行解析、过滤和加工。LoongCollector 提供了三种处理模式,以满足不同场景的数据处理需求:

  • 原生插件(C++)

  • 扩展插件(Golang)

  • SPL处理

这三种处理模式可以灵活组合使用,通过统一的 Event 数据模型,支持处理包括日志、指标、追踪、事件、性能剖析等多种可观测数据。

介绍

原生插件

  • 采用C++实现,性能最优,资源开销极低

  • 提供常用的数据处理算子

  • 适用于大部分标准的数据处理场景

  • 推荐作为首选的处理方案

扩展插件

  • 采用Golang实现,性能和资源开销适中

  • 支持更丰富的处理功能

  • 开发门槛低,易于定制开发

  • 适用于复杂的数据处理场景

SPL处理

  • 基于C++实现的列式计算

  • 采用向量化执行,性能优异

  • 提供全面的数据处理算子

  • 支持管道式处理,可以灵活组合处理逻辑

  • 通过配置即可完成复杂数据处理,无需编码

特性对比

类型
实现语言
性能特点
功能特点
开发难度

原生插件

C++

性能最优 资源开销极低

常用算子 标准处理场景

中等 需要C++开发能力

扩展插件

Golang

性能适中 资源开销较低

丰富算子 支持复杂处理

较低 Golang开发门槛低

SPL处理

C++

性能优异 向量化执行

算子全面 管道式处理 配置驱动

极低 仅需编写SPL语句

使用约束与限制

原生处理插件支持的输入插件

下表列出了可以与原生处理插件组合使用的输入插件:

输入插件
说明

文本日志输入插件

容器标准输出插件

eBPF网络观测插件

文件安全监控插件

网络观测插件

网络安全监控插件

进程安全监控插件

插件组合规则

LoongCollector支持以下两种处理插件组合方式:

1. 单一插件模式

  • 原生插件模式:

    • 组合方式:仅使用原生处理插件

    • 限制: 仅支持原生输入插件

  • 扩展插件模式:

    • 组合方式:仅使用扩展处理插件

    • 支持所有类型输入插件

2. 级联模式

  • 组合方式: 原生处理插件后接扩展处理插件

  • 限制条件:

    • 仅支持原生输入插件

    • 原生处理插件必须位于扩展处理插件之前

选型建议

  • 追求性能: 优先使用原生插件

  • 处理复杂数据: 选择SPL处理

  • 需要定制开发: 使用扩展插件

  • 混合处理场景: 采用级联模式

Previous处理插件NextSPL处理插件

Last updated 4 months ago

更多输入插件说明请参考。

输入插件文档
input_observer_network
input_file
input_container_stdio
input_file_security
input_network_observer
input_network_security
input_process_security