代码之家  ›  专栏  ›  技术社区  ›  Andrew

如何修改logstash.conf以获得所需的字段?

logstash-configuration nginx
  •  0
  • Andrew  · 技术社区  · 6 年前

    我使用ELK+Filebeat,所有版本都是6.4.3,操作系统是Windows10

    我在filebeat.yml中添加了自定义字段,键名是log_type,log_type的值是nginx access

    enter image description here

    logstash.conf的内容是: 

    input {
    beats { 
       host => "0.0.0.0"
       port => "5544"
  } 
} 

filter {

mutate { 
  rename => { "[host][name]" => "host" } 
}   

if [fields][log_type] == "nginx-access" {
    grok {
                  match => { "message" => ["%{IPORHOST:[nginx][access][remote_ip]} - %{DATA:[nginx][access][user_name]} \[%{HTTPDATE:[nginx][access][time]}\] \"%{WORD:[nginx][access][method]} %{DATA:[nginx][access][url]} HTTP/%{NUMBER:[nginx][access][http_version]}\" %{NUMBER:[nginx][access][response_code]} %{NUMBER:[nginx][access][body_sent][bytes]} \"%{DATA:[nginx][access][referrer]}\" \"%{DATA:[nginx][access][agent]}\" \"%{DATA:[nginx][access][x_forwarded_for]}\" %{NUMBER:[nginx][access][request_time]}"] }
            }

mutate {
     copy => { "[nginx][access][request_time]" => "[nginx][access][requesttime]" }
  }

mutate {
      convert => {
      "[nginx][access][requesttime]" => "float"
    }
  }
}
}

output {
      stdout { 
       codec => rubydebug { metadata => true }
      }

      elasticsearch { 
        hosts => ["localhost:9200"] 
      } 
    }


    logstash.bat  -f  logstash.conf

    输出为:

    enter image description here

    上面红色框中的字段是“requesttime”和“request_time”,我想要的是nginx.access.requesttime和nginx.access.request_time不是requesttime和request_time如何修改logstash.conf以实现我的目标?

    问题2:

    当我使用上面的logstash.conf时,kibana管理界面的字段只是“request_time”字段。

    图为: enter image description here

    如果我希望“nginx.access.requesttime”字段也出现在Kibana管理界面的字段中,我应该如何修改logstash.conf?

    1 回复  |  直到 6 年前
        1
  •  1
  •   Gal S    6 年前

    问题1:

    我相信你要找的是 

    mutate {
   copy => { "[nginx][access][request_time]" => "nginx.access.requesttime" }
}

    问题2:

    是否存在关键字由Elasticsearch中的模板字段映射确定。尝试上述选项,查看问题是否已解决。

    This issue in elastic forum 我可以帮你。

    推荐文章
    user8981307  ·  logstash平原错误。日志无法创建管道
    6 年前
    KARAN SHAH  ·  使用Logstash解析XML文件
    6 年前
    Shivanshu Bagga  ·  在logstash中加密/保护Elasticsearch的密码。conf文件
    7 年前
    Jo frey  ·  Azure上的ElasticSearch-如何记录和安装插件?
    7 年前
    TheHorizon  ·  ELK:设置logstash ELK堆栈的多个http输入
    7 年前
    Olivier  ·  Logstash:TZInfo::解析JDBC列Logstash时出现歧义异常
    7 年前
    loki  ·  如何使用logstash制作索引json文件?
    7 年前
    kitz  ·  在logstash筛选器条件中使用ruby变量
    7 年前
    Mehmet KILIÇ  ·  我无法读取Logstash中的拆分字段
    7 年前
    rohansingh  ·  如何在Logstash配置文件中包含过滤器?
    8 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号