異なるログが1つのインデックスに混在して入ってしまっているため出来ない、という背景だと
理解しましたがあってますでしょうか。
であれば、こんなアプローチにすれば可能となると思いますがどうでしょうか?
ログの構造も内容も違うとのことなので、Timelionで見るなら別Indexにしておくplan1の方がよさそうに感じています。
plan 1
firewallのログとプロキシのログを別々のindexに入れるようにする。
例えば、プロキシのログだったら index名を proxylogs-yyyyMMddにする
https://www.elastic.co/guide/en/logstash/current/plugins-outputs-elasticsearch.html#plugins-outputs-elasticsearch-index
output {
elasticsearch {
hosts => [ "localhost:9200" ]
index => "proxylogs-%{+YYYY.MM.dd}"
}
}
Timelioneでの可視化の際には、indexを指定して他のログとの混在しないようにする
https://www.elastic.co/guide/en/kibana/current/timelion-inline-help.html
plan 2
indexはプロキシとfirewallと同じにするが、ログの種別が識別できるようなフィールドを持たせておく。
for example
input {
stdin {
add_field => ["log_type", "firewall_logs"]
}
}
Timelionでの指定するときは、q=`log_type:firewall_logs’ となるようなイメージです。