Logstash pipeline, разделение логов в различные индексы

Elastic In Your Native Tongue Вопросы на русском языке
1

Подскажите пожалуйста
В сети есть компьютеры с установлеными winlogbeat(установлены на ОС Windows) и filebeat- они могут быть установлены как на ОС Linux так и на Windows, как в pipeline logstash правильно организовать запись трафика в соотвествующие индексы? Какой параметр использовать чтобы определить на какой операционной системе установлен beats?

input {
  beats {
    client_inactivity_timeout => 1200
    port => 5044
     }
}

output {
    if [type]=="winlogbeat" {
      elasticsearch
           {
            hosts => ["https://es01:9200"]
            user => logstash_writer
            password => passwd
            ssl_certificate_verification => false
            manage_template => true
            template_name => "winlogbeat"
            ilm_enabled => true
            ilm_rollover_alias => "winlogbeat"
            ilm_pattern => "{now/d}-000001"
            ilm_policy => "winlogbeat"
            }
            }
            else if [type]=="beats" and [OS]=="Windows"{     }
            else if [type]=="beats" and [OS]=="Linux"{     }
            }
}
2

Нашел решение, использую вот эти поля

 else if [@metadata][beat]=="filebeat" and [host][os][type]=="linux"

вдруг кому пригодится

3

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.