Разделение логов по индексам в Filebeat

Ivan_Bykov · June 29, 2020, 2:19pm

Есть два типа логов
/var/log/1.log и 2.log
Подскажите пожалуйста, как настроить правильно filebeat чтобы каждому и этих логов соответствовал свой индекс для logstash + elastic?

В конфиге у меня сейчас вот так:

filebeat.inputs:

# Each - is an input. Most options can be set at the input level, so
# you can use different inputs for various configurations.
# Below are the input specific configurations.

- type: log

  # Change to true to enable this input configuration.
  enabled: true

  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    - /opt/xxxx/logs/xxx.log
    #- c:\programdata\elasticsearch\logs\*

output.logstash:
  # The Logstash hosts
  hosts: ["192.168.0.xxx:5044"]
  protocol: "https"
  index: "index-%{[beat.version]}-%{+yyyy.MM.dd}"
  setup.template.name: "index"
  setup.template.pattern: "*-index-%{[beat.version]}-*"
  setup.template.enabled: true
  compression_level: 9

Т.е. если я просто добавлю еще один paths:
- /opt/xxxx/logs/xxx2.log
то он будет соответствовать index, а хотелось бы чтобы у него был свой index2 для logstash.
Подскажите как сделать или где почитать пожалуйста.

Igor_Motov · June 29, 2020, 2:41pm

Только этот пост старый, теперь prospectors завутся inputs. Остальное должно работать.

Ivan_Bykov · June 29, 2020, 3:01pm

Т.е. получается

paths:
    - /opt/xxxx/logs/test1.log
   - /opt/xxxx/logs/test2.log

output.logstash:
  # The Logstash hosts
  hosts: ["192.168.0.xxx:5044"]
  protocol: "https"
  fields: type: "test1"
fields: type: "test2"
  filebeat.inputs: '%{[test1]}-%{+yyyy.MM.dd}'
  filebeat.inputs: '%{[test2]}-%{+yyyy.MM.dd}'
  index: "index-%{[beat.version]}-%{+yyyy.MM.dd}"
  setup.template.name: "index"
  setup.template.pattern: "*-index-%{[beat.version]}-*"
  setup.template.enabled: true
  compression_level: 9

Так?

Igor_Motov · June 29, 2020, 3:49pm

Не так. Вам надо создать два объекта input, как во втором примере на этой странице. Каждый input будет иметь свое поле, и это поле пойдет как часть %{[fields.type]:other} в поле index в output.

system · July 27, 2020, 3:49pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.

Topic		Replies	Views
Два хоста filebeat +ELK Вопросы на русском языке	10	1520	August 4, 2020
Не приходят логи Вопросы на русском языке	8	3780	November 8, 2019
Подскажите по разделению на два типа лога в разные индексы через filebeat -> logstash -> elastic Вопросы на русском языке	4	1847	October 10, 2019
Проблема с Logstash Вопросы на русском языке	2	557	May 14, 2020
Как писать напрямую из filebeat в elasticsearch в индекс с кастомным именем (не filebeat-*) Вопросы на русском языке	2	904	October 16, 2021

Разделение логов по индексам в Filebeat

Related topics