0

このチュートリアルに従って ELK スタックをセットアップしようとしています: https://www.digitalocean.com/community/tutorials/how-to-install-elasticsearch-logstash-and-kibana-elk-stack-on-ubuntu-14- 04

ただし、Logstash には問題があります。たとえば、出力セクションにパターンがある場合、サービスが停止します。 index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"

ただし、定数文字列を使用すると、問題なく機能します。index => "nginx_web"

問題のある部分を確認するために、filebeat から受信したデータをトレースする方法はありますか?

ログスタッシュ 2.3.2、ファイルビート 1.2.3

完全な logstash.conf は次のとおりです。

input {
  beats {
    port => 5044
    ssl => true
    ssl_certificate => "/path/to/certs/logstash.crt"
    ssl_key => "/path/to/private/logstash.key"
  }
}

filter {
  grok {
    match => {
        "message" => "%{IPORHOST:hostname} %{IPORHOST:clientip} \[%{HTTPDATE:timestamp}\] \"(?:%{WORD:verb} %{DATA:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})\" %{INT:response} (?:%{INT:bytes}|-) \"%{NOTSPACE:referrer}\" %{QS:useragent} %{NUMBER:resptime}"
    }
    remove_field => [ "message", "fields", "@timestamp", "input_type", "host", "request" ]
  }
  mutate {
    gsub => [ "useragent", "\"{1}", "" ]
  }
}

output {
  elasticsearch {
    hosts => ["localhost:9200"]
    manage_template => false
    index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
    document_type => "%{[@metadata][type]}"
  }
}

前もって感謝します!

4

1 に答える 1

1

このフィールドはインデックス名@timestampの一部に使用されるため、削除しないでください。%{+YYYY.MM.dd}

絶対にフィールドを削除したい場合は、@timestampフィールドを削除する前に、インデックス名の新しいフィールドを追加する別の方法があり@timestampます。

これを前に追加しますremove_field

add_field => { "index" => "beat-%{+YYYY.MM.dd}"}

そして、出力で使用%{index}しますelasticsearch

于 2016-06-02T10:35:12.143 に答える