Запись событий FileBeat в разные индексы

d1gger · October 15, 2019, 12:50pm

Прошу не судить строго. С ELK только начинаю знакомиться, а есть одна срочная задача, которую нужно решить.
Я собираю с МЭ Cisco ASA NetFlow и SysLog с помощью соответствующих модулей FileBeat и пишу их напрямую в Elastic.
При этом все собираемых логи пишутся по умолчанию в индекс filebeat-7.4.0-2019.10.14-000001, новые индексы по датам не создаются.
Мне бы хотелось не только разбивать индексы по датам, но и писать отдельные события в отдельные индексы
например netflow в индекс filebeat-7.4.0-netflow-date
syslog ASA в индекс filebeat-7.4.0-asa-syslog-date

Заранее спасибо.

Igor_Motov · October 16, 2019, 8:21am

Это можно задать в параметре output.elasticsearch в конфигурации filebeat.

d1gger · October 16, 2019, 11:13am

В файле Filebeats.yml я вставил следующие строки

#-------------------------- Elasticsearch output ------------------------------
output.elasticsearch:
  hosts: ["localhost:9200"]
index: "Filebeat-%{[event.module]}-%{[agent.version]}-%{+yyyy.MM.dd}"

В разделе

#==================== Elasticsearch template setting ==========================
setup.template.settings:
index.number_of_shards: 1
setup.template.name: "filebeat-new"
setup.template.pattern: "Filebeat-*"
setup.template.overwrite: true

Результата анологичный. Индексы создаются как и прежде.
В логах вижу следующее:

2019-10-16T14:08:11.964+0300 INFO template/load.go:108 Try loading template filebeat-7.4.0 to Elasticsearch
2019-10-16T14:08:12.054+0300 INFO template/load.go:100 template with name 'filebeat-7.4.0' loaded.

Igor_Motov · October 16, 2019, 11:18am

Вы не могли бы отформатировать здесь фрагменты из файлов конфигурации с помощью символов ``` перед и после каждого фрагмента. В yaml пробелы имеют большое значение и без форматирование, вся эта информация теряется.

d1gger · October 16, 2019, 11:59am

отредактировал.

Igor_Motov · October 16, 2019, 12:08pm

Я имел ввиду так:
```
Отформатированный
многострочный
текст
```

На экране он будет выглядить так

Отформатированный
    многострочный
        текст

Igor_Motov · October 16, 2019, 5:37pm

Пробелы важны. В elasticsearch output пробелов перед index: ...... не хватает, а elasticsearch template setting перед index.number_of_shards: 1

Забыл сказать, что если вы используете ILM, то надо index задавать там а не в output.elasticsearch, где этот параметр игнорируется.

system · November 13, 2019, 5:37pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.

Topic		Replies	Views
Не создаются дневные индексы при отправке IIS лога из filebeat в Elasticsearch Вопросы на русском языке	3	706	August 7, 2019
В кибане не оттображается документы индекса Вопросы на русском языке	13	1504	July 5, 2018
Filebeat, Logstash и ротация логов Вопросы на русском языке	3	4798	February 14, 2018
Отправка логов по следующей цепочке filebeat->logstash->elasticsearch Вопросы на русском языке	3	1286	January 24, 2019
Создание индекса в logstash Вопросы на русском языке	2	1082	February 28, 2020

Запись событий FileBeat в разные индексы

Related topics