Vytvořit index založený na pole zprávy - appname

Question 1

****Logstash.conf kód *******

input {

    stdin{
        type => "stdin-type"
    }

file{
    type => "json"
    path => [ "C:/prod/*.log", "C:/prod/*/**.log"]
    start_position => "beginning"
    tags => "prod"
    }

file{
    type => "json"
    path => [ "C:/dev/*.log", "C:/dev/*/**.log"]
    start_position => "beginning"
    tags => "dev"
    }

}

filtr {

     grok {
    match => {
    "message" => [ "%{JSON:payload_raw} "]
    }
        pattern_definitions => {
        "JSON" => "{.*$"}

}

json {
    source => "payload_raw"
    target => "payload"
    }


mutate {
    remove_field => [ "payload_raw","message" ]
        }


date {
    match => [ "[payload][datetime]", "yyyy-MM-dd HH:mm:ss,SSS" ]
    target => "@timestamp"
    }

}

výstup {

    stdout {
    codec => rubydebug
    }
    elasticsearch {
    hosts => ["localhost:9200"]
    index => "%{tags}-logs"
    }

}

Vzorek log

{datetime":"2021-08-10 04:11:37,825","servername":"VM-0001","serverip":"(null)","process":"2404","thread":"4","level":"DEBUG","appname":"Dev-Email","page":"Program.cs"}

Question 2

Vzhledem k vzorku dokumentu sdílené, vaše elasticsearch výstup musí vypadat takto:

elasticsearch {
    hosts => ["localhost:9200"]
    index => "%{appname}-logs"
}

Také víme, že index názvy nesmí obsahovat velká písmena, takže Dev-Email bude muset být lowercased (pomocí mutate/lowercase filtr) předtím, než je použit jako index jméno.

Val · Answer 1 · 2021-11-12T12:24:12

0

Vzhledem k vzorku dokumentu sdílené, vaše elasticsearch výstup musí vypadat takto:

elasticsearch {
    hosts => ["localhost:9200"]
    index => "%{appname}-logs"
}

Také víme, že index názvy nesmí obsahovat velká písmena, takže Dev-Email bude muset být lowercased (pomocí mutate/lowercase filtr) předtím, než je použit jako index jméno.

Val

2021-11-12 12:24:12

Můj požadavek je vytvořit index název appname hodnota pole(Dev-E-mail). To by mělo vytvořit více index appname hodnota pole(Dev-E-mail).

Saini

Můžete aktualizovat vaši otázku s plnou přesná chyba, kterou dostal od ES protokoly?

Val

Vlastně dříve jsem nemůže plně vysvětlit o mou Otázku.

Saini

Můj požadavek je vytvořit index název appname hodnota pole(Dev-E-mail). To by mělo vytvořit více index appname hodnota pole(Dev-E-mail). pokud appname hodnotu změnit, pak index by měl být vytvoření se změněnou hodnotu

Saini

Můj výše uvedený komentář stále platí, rád bych se pochopit, proč jste stále ty chyby a to, co oni jsou.

Val

Omlouvám se za předchozí komentář. to nebyla chyba. teď můj požadavek je :---- Můj požadavek je vytvořit index název appname hodnota pole(Dev-E-mail). To by mělo vytvořit více index appname hodnota pole(Dev-E-mail). pokud appname hodnotu změnit, pak index by měl být vytvoření se změněnou hodnotu

Saini

Ano, a moje odpověď poskytuje řešení, které jste hledali. Co se stane, když se rozhodnete, že?

Val

Po provedení tohoto, tam je index na název %{appname}-protokoly, ale když jsem se jít vytvořit index a vyhledávání podle názvu z %{appname}-protokoly, to říká, že název není zápas a svou vlastní hodnotu, která je (Devi mai), vyhledávání podle názvu, pak to ukazuje to samé.

Saini

Vytvořit index založený na pole zprávy - appname

Otázka

Nejlepší odpověď

V jiných jazycích

Tato stránka je v jiných jazycích

Populární v této kategorii

Oblíbené položky v této kategorii