Logstash pipeline, разделение логов в различные индексы

Savai · September 23, 2021, 12:42pm

Подскажите пожалуйста
В сети есть компьютеры с установлеными winlogbeat(установлены на ОС Windows) и filebeat- они могут быть установлены как на ОС Linux так и на Windows, как в pipeline logstash правильно организовать запись трафика в соотвествующие индексы? Какой параметр использовать чтобы определить на какой операционной системе установлен beats?

input {
  beats {
    client_inactivity_timeout => 1200
    port => 5044
     }
}

output {
    if [type]=="winlogbeat" {
      elasticsearch
           {
            hosts => ["https://es01:9200"]
            user => logstash_writer
            password => passwd
            ssl_certificate_verification => false
            manage_template => true
            template_name => "winlogbeat"
            ilm_enabled => true
            ilm_rollover_alias => "winlogbeat"
            ilm_pattern => "{now/d}-000001"
            ilm_policy => "winlogbeat"
            }
            }
            else if [type]=="beats" and [OS]=="Windows"{     }
            else if [type]=="beats" and [OS]=="Linux"{     }
            }
}

Savai · September 24, 2021, 9:12am

Нашел решение, использую вот эти поля

 else if [@metadata][beat]=="filebeat" and [host][os][type]=="linux"

вдруг кому пригодится

system · October 22, 2021, 9:13am

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.

Topic		Replies	Views
Elastic и logstash на разных серверах Вопросы на русском языке	3	729	January 17, 2019
Filebeat на centos 7 настройка отправки логов Вопросы на русском языке	2	704	January 6, 2020
Не приходят логи Вопросы на русском языке	8	3780	November 8, 2019
Проблема с Logstash Вопросы на русском языке	2	557	May 14, 2020
Не создается индекс после обновления metricbeat и winlogbeat до версии 6.3.2 Вопросы на русском языке	3	773	September 11, 2018

Logstash pipeline, разделение логов в различные индексы

Related topics