个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我正在尝试使用ELK分析我们的日志文件。按照可用的文档,设法在我的电脑中设置堆栈。现在,我面临着 flex 搜索索引创建的问题。以前我使用filebeat-> logstash-> elasticsearch-> kibana组合,并且使用以下logstash.conf文件能够将数据发送到elasticsearch
input {
beats {
port => 5044
type => "log"
}
}
output {
elasticsearch {
hosts => "localhost:9200"
manage_template => false
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
document_type => "%{[@metadata][type]}"
}
}
"filebeat-*"
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
input {
file
{
path => "C:\logs\application.log"
start_position => "beginning"
codec =>
multiline {
charset => "ISO-8859-1"
pattern => "^%{TIMESTAMP_ISO8601}"
max_lines => 1000
negate => true
what => "previous"
}
}
}
filter {
mutate {
gsub => [ "message", "\r", "" ]
}
grok {
patterns_dir => "./patterns"
match => {"message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL1:loglevel} %{THREAD:thread} %{IP5:remoteipaddress} %{JAVA:logclass} %{GREEDYDATA:details}"}
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
}
date {
match => [ "timestamp", "yyyy-MM-dd HH:mm:ss,SSS" ]
remove_field => [ "timestamp" ]
}
}
output {
elasticsearch {
hosts => "localhost:9200"
manage_template => false
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
document_type => "%{[@metadata][type]}"
}
file {
path => "C:\logs\output.txt"
}
}
http://localhost:9200/_plugin/head/
%{[@metadata][beat]}-
最佳答案
某些logstash插件利用元数据来传输您不想存储在文档中的字段。在您的第一个示例中,beats输入是设置某些元数据,稍后在elasticsearch输出中使用该元数据来设置索引和类型。由于文件输入未设置这些元数据字段,logstash将输出变量名称而不是空白字符串,因此为什么要设置索引“%{[@@ metadata] [beat]}-2016.04.05”(日期)已知,但元数据字段拍不知道。
如果仅将elasticsearch输出保留为默认设置,则应该可以正常工作:elasticsearch {
hosts => "localhost:9200"
}
如果将manage_template保留为false,则它也不会应用logstash-模板,并且字段映射可能会有些偏离,因此我建议再次将其保留为默认值(true)。
关于elasticsearch - ELK Stack-Elasticsearch索引创建(logstash),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35733265/
26
4
0
我正在尝试代理运行 ELK 的后端服务器。这是我的环境信息: root@proxy:~# root@proxy:~# cat /etc/*release DISTRIB_ID=Ubuntu DISTR
我正在尝试为 Elasticsearch 设置 Shield,但遇到了一些问题 当我尝试像这样启动 Elasticsearch 时: /usr/share/elasticsearch/bin/elas
我知道有很多解决方案,但我找不到最佳解决方案。 我正在使用ELK ** 5.x,**我正在尝试将Kibana配置为依赖于日志文件中的时间戳而不是插入时间戳中的时间戳 这是来自日志文件的示例: {"@t
我们在 K8S pod 中部署了应用程序,并且所有日志都在 ELK 堆栈中进行监控。现在我们有一个使用外部 *.jar 的应用程序,它正在将日志写入容器路径本地的一个文件中。我如何将此日志发送到 ku
我正在使用ELK watcher进行2.2版警报,我的查询输出是这样的 { "took": 549, "timed_out": false, "_shards": {
我有一个使用 Lumen 5.8 制作的微服务,我需要将所有日志发送到 Logstash,以便将它们保存在 ElasticSearch 中。 我需要尝试配置流明日志,但没有任何效果。 我在 loggi
我的系统记录请求。 如果以及何时到达响应,我希望将其与请求对象一起记录。 意思是,当我查询ElasticSearch的 Activity 时,我将为每个请求获得一行,其中要么包含响应,要么不包含响应。
我正在尝试在Kibana上创建带有GEO定位点的Tile map 。 由于某些原因,当我尝试创建 map 时,我在Kibana上收到以下消息: No Compatible Fields: The "l
我的集群中索引很少 索引_2019-01-01 index_2019-01-02 索引_2019-01-03 索引_2019-01-04 索引_2019-01-05 索引_2019-01-06 有两个
重新编制 flex 搜索索引的最佳实践是什么? This帖子有几个步骤,涉及在重新索引索引之前停止logstash索引器,但是作为生产服务器,这不是我的选择。 我有一个问题,因为缺少默认的映射模板,索
在遵循此tuto(https://www.bmc.com/blogs/elasticsearch-logs-beats-logstash/)以使用logstash分析某些日志文件之后,我的索引在第一次
我已经设置了本地ELK。一切正常,但是在尝试编写自己的GROK模式之前,我想知道Winston风格的日志已经存在了吗? 这对于Apache样式日志非常有用。 我需要一些适合Winston风格的东西。我
或者是我搜索能力真的很差,或者App Insights和ELK stack之间没有详细的比较? 所有监控都将用于简单的 Web API,将有大量端点,但用户流量不应太高。 所以我的问题.. 在 ELK
已关闭。此问题旨在寻求有关书籍、工具、软件库等的建议。不符合Stack Overflow guidelines .它目前不接受答案。 我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题,以
我正在尝试用ELK搭建一个日志分析系统。我看到很多以不同方式使用 ELK 的架构。其中之一是 Logstash->Redis->Logstash->Elasticseach->Kibana 第一个Lo
将 NLog 与 Elasticsearch target 一起使用将日志转发到 AWS Elasticsearch as a Service Kibana 中的可视化集群。 这工作正常,但由于 ES
根据logstash-logs,我正在使用https://hub.docker.com/r/sebp/elk/的Docker ELK容器,一切正常且正在运行。 现在,我尝试从Kafka接收数据并使用以
关于轮询/存储日志文件,我有两难选择。 情况是,我们需要监视Cloudhub中的日志,将它们与Logstash聚合并存储(可能与ElasticSearch一起存储)。 Anypoint Runtime
我正在尝试寻找一种在kibana 5.3上解析UserAgent的方法,以便获得以下响应: "aws-sdk-java/1.11.76 Mac_OS_X/10.12.5" "aws-sdk-java/
我已经使用ELK套件处理了日志文件,现在可以在Kibana上查看我的日志了。 我已经在Internet上搜索过,似乎找不到从几个月前在Kibana中可见的所有旧日志删除的方法。 (我的解释很好)。我只
我是一名优秀的程序员,十分优秀!