Создайте индекс на основе поля сообщения - appname

Question 1

****Код Logstash.conf *******

входные данные {

    stdin{
        type => "stdin-type"
    }

file{
    type => "json"
    path => [ "C:/prod/*.log", "C:/prod/*/**.log"]
    start_position => "beginning"
    tags => "prod"
    }

file{
    type => "json"
    path => [ "C:/dev/*.log", "C:/dev/*/**.log"]
    start_position => "beginning"
    tags => "dev"
    }

}

фильтр {

     grok {
    match => {
    "message" => [ "%{JSON:payload_raw} "]
    }
        pattern_definitions => {
        "JSON" => "{.*$"}

}

json {
    source => "payload_raw"
    target => "payload"
    }


mutate {
    remove_field => [ "payload_raw","message" ]
        }


date {
    match => [ "[payload][datetime]", "yyyy-MM-dd HH:mm:ss,SSS" ]
    target => "@timestamp"
    }

}

вывод {

    stdout {
    codec => rubydebug
    }
    elasticsearch {
    hosts => ["localhost:9200"]
    index => "%{tags}-logs"
    }

}

Пример журнала

{дата и время":"2021-08-10 04:11:37,825","servername":"VM-0001","serverip":"(null)","process":"2404","thread":"4","level":"DEBUG","appname":"Dev-Email","page":"Program.cs"}

Question 2

Учитывая образец документа, которым вы поделились, ваш elasticsearch вывод должен выглядеть следующим образом:

elasticsearch {
    hosts => ["localhost:9200"]
    index => "%{appname}-logs"
}

Также знайте, что имена индексов не должны содержать заглавные буквы, поэтому Dev-Email нужно будет записать в нижнем регистре (используяmutate/lowercase фильтр) перед использованием в качестве имени индекса.

Val · Answer 1 · 2021-11-12T12:24:12

0

Учитывая образец документа, которым вы поделились, ваш elasticsearch вывод должен выглядеть следующим образом:

elasticsearch {
    hosts => ["localhost:9200"]
    index => "%{appname}-logs"
}

Также знайте, что имена индексов не должны содержать заглавные буквы, поэтому Dev-Email нужно будет записать в нижнем регистре (используяmutate/lowercase фильтр) перед использованием в качестве имени индекса.

Val

2021-11-12 12:24:12

Мое требование-создать имя индекса значения поля appname(Dev-Email). Он должен создать значение поля имени приложения с несколькими индексами(Dev-Email).

Saini

Вы можете обновить свой вопрос с полной точной ошибкой, которую вы получили из журналов ES?

Val

На самом деле раньше я не мог полностью объяснить вам свой вопрос.

Saini

Мое требование-создать имя индекса значения поля appname(Dev-Email). Он должен создать значение поля имени приложения с несколькими индексами(Dev-Email). если значение имени приложения изменилось, то индекс должен быть создан с измененным значением

Saini

Мой комментарий выше все еще остается в силе, я хотел бы понять, почему вы получаете эти ошибки и что это такое.

Val

Извините за предыдущий комментарий. это не было ошибкой. теперь мое требование :---- Мое требование-создать имя индекса значения поля appname(Dev-Email). Он должен создать значение поля имени приложения с несколькими индексами(Dev-Email). если значение имени приложения изменилось, то индекс должен быть создан с измененным значением

Saini

Да, и мой ответ дает решение, которое вы ищете. Что происходит, когда вы это реализуете?

Val

После реализации этого, есть индекс по названию %{имя_приложения}-журналы, но когда я иду, чтобы создать индекс " и " поиск по названию %{имя_приложения}-журналы, он говорит, что фамилия не совпадает и собственную ценность, которая (Деви МАИ) поиск по имени, то это показывает же.

Saini

Создайте индекс на основе поля сообщения - appname

Вопрос

Лучший ответ

На других языках

Эта страница на других языках

Популярное в этой категории

Популярные вопросы в этой категории