問題タブ [logstash-grok]

Logstash と Elastic Search のログ分析環境を構築しました。ハードウェア環境はハイエンドですが、logstash のパフォーマンスは遅いです。現在の目標は、入力、フィルター、または出力に時間がかかる次の領域を見つけることです。そのため、監視することにしました。現在のところ、Java スレッド ダンプ分析を使用するという 1 つのオプションがあります。これが唯一の方法ですか、それとも他に利用可能なオプションがありますか。

conf ファイルの詳細

syslog の管理に logstash を使い始めました。テストするために、リモート マシンから簡単なメッセージを送信し、logstash で解析しようとしています。

コマンドライン経由で使用される唯一の Logstash 構成:

ログを受け取り、それらは正しく解析されます (whoフィールドが生成されます)。同時に、tags含まれています_grokparsefailure。

送信するテスト ログは ですhello rambo3。私はそれを次のように見ています

grok デバッガーも同意します。

_grokparsefailureがタグに追加されるのはなぜですか?

興味深いことに、ピュア経由で送信された同じデータはtcp、同じフィルターによって正しく解析されます (_grokparsefailureタグにはありません)。

logstash 出力から目的のタイム スタンプ形式を取得しようとしています。syslog でこの形式を使用すると、それを取得できません

Yyyy-mm-ddThh:mm:ss.sssZ 形式のような _source フィールドにある他の形式への変換についての考えを共有してください。

このコードをsyslogファイルで使用しています

ありがとう

syslog が受信するイベントのフィールドを、フォーマットに従っている場合、自動的にマップすることはできますfield1=value1 field2=value2 ...か? 例は

(フィールドは異なり、常に存在するとは限らないことに注意してください)

私が検討している解決策の 1 つは、syslog の「メッセージ」部分を JSON として送信することですが、それを自動的に解析できるかどうかはわかりません (残りのログが syslog 形式の場合)。私の現在のアプローチは失敗しますが_jsonparsefailure、試し続けます