Кто ест мои поля? (или: как я могу получить больше пользовательских полей из моего сообщения битов в graylog)

Я собираю логи с докерских вычислительных узлов и отправляю их в плагин beats из graylog.

я использую filebeat 6.4.3 с конфигурацией, как это:

filebeat.autodiscover:
  providers:
    - type: docker
      hints.enabled: true
      templates:
        - condition:
            not.contains:
              docker.container.labels.log_enabled: "false"
          config:
            - type: docker
              containers.ids:
                - "${data.docker.container.id}"
              json.message_key: log  
              json.keys_under_root: true
              json.add_error_key: false
processors:
 - add_cloud_metadata: ~
 - add_docker_metadata: ~ 
output.logstash: 
    hosts: ["${LOGSTASH_HOST}:${LOGSTASH_PORT}"]
    bulk_max_size: 1024

это работает хорошо. Что касается Graylog, я использую Graylog 2.4.x, и я запустил плагин Beats с почти всеми настройками по умолчанию.

я получаю сообщения просто отлично, но ни одно из полей метаданных, которые я могу видеть в сообщениях журнала, когда я делаю

output.file

вместо

output.logstash

включен в сообщение, которое я вижу в Graylog. я почти уверен, что упускаю что-то важное здесь - но я даже не уверен, где искать. Конечно, я хотел бы, чтобы эти метаданные были доступны, но конфигурацию какого компонента мне нужно изменить, чтобы получить их? индексатор? вход?

поиск документации не очень полезен, поскольку плагин beats, включаемый в сам Graylog, является чем-то новым...

Я был бы счастлив, если бы кто-нибудь дал мне несколько советов по этому вопросу.

С уважением

.rm