harue
November 25, 2019, 8:00am
1
再度質問を失礼させて頂きます。
S3→SQS→Filebeat→Logstash→Elasticsearchの連携時、
以下の定義情報の元、疎通すると意図しないインデックスデータが登録されます。
filebeat.yml
#=========================== Filebeat inputs =============================
filebeat.inputs:
- type: s3
enabled: true
queue_url: https://XXX/XXX/TEST-001
access_key_id: XXX
secret_access_key: XXX
aws.s3.bucket.name: "test-001"
aws.s3.object.key: "test1.log"
tags:
- "companyA_1"
- type: s3
enabled: true
queue_url: https://XXX/XXX/TEST-001
access_key_id: XXX
secret_access_key: XXX
aws.s3.bucket.name: "test-002"
aws.s3.object.key: "test2.log"
tags:
- "companyB_1"
#----------------------------- Logstash output --------------------------------
output.logstash:
# The Logstash hosts
hosts: ["XX.XXX.XX.XX:5044","XX.XXX.XXX.XXX:5044"]
loadbalance: false
Logstashのconfig
input {
beats {
port => 5044
}
}
filter{
}
output{
if "companyA_1" in [tags] {
elasticsearch{
proxy => "http://XXX:XXX@XXXX:XXXX"
hosts => "https://XXX.XXX.XXX.XXX.XX:XXX"
user => "XXX"
password => "XXX"
index => "test-a-1"
}
}
if "companyB_1" in [tags] {
elasticsearch{
proxy => "http://XXX:XXX@XXXX:XXXX"
hosts => "https://XXX.XXX.XXX.XXX.XX:XXX"
user => "XXX"
password => "XXX"
index => "test-b-1"
}
}
}
indexデータ
▼登録データ
▼想定データ
原因について御存知の方がいらっしゃいましたらお手数ですが返信をお願い致します。
tsgkdt
November 27, 2019, 5:56am
2
いくつか不明なところがあったので、確認させてもらえますか?
- type: s3
enabled: true
queue_url: https://XXX/XXX/TEST-001 # ←①
access_key_id: XXX
secret_access_key: XXX
aws.s3.bucket.name: "test-002" # ←②
aws.s3.object.key: "test2.log" # ←②
tags:
- "companyB_1"
①
②https://www.elastic.co/guide/en/beats/filebeat/master/filebeat-input-s3.html
あとは、問題の切り分けのためにLogstashをいったん切り離してfilebeatのstdoutのoutputで確認するのも良いかもしれません。この時点でindexが逆転していれば、Logstashには問題がないと言えそうですし。
harue
December 2, 2019, 2:47am
3
tsgkdt様
回答頂きありがとうございます。
①はい、2つのinputともに同じSQSキューを指定しています。
②aws.s3.bucket.name や aws.s3.object.keyは設定項目として必要だと認識しています。
実現したい構成図は以下の通りです。
あとは、問題の切り分けのためにLogstashをいったん切り離してfilebeatのstdoutのoutputで確認するのも良いかもしれません。
気になったのが、何度もS3からのアップロードを行ったところ
恐れ入りますが、再度返信頂けますと幸いです。
tsgkdt
December 2, 2019, 4:03am
4
②のaws.s3.bukect.name、aws.s3.object.keyについて確認させてください。
filebeat.reference.ymlを見ても、この設定項目がなく、ドキュメント にも記載がないため、どこかに書いてありましたでしょうか?
# Beta: Config options for AWS S3 input
#- type: s3
#enabled: false
# AWS Credentials
# If access_key_id and secret_access_key are configured, then use them to make api calls.
# If not, s3 input will load default AWS config or load with given profile name.
#access_key_id: '${AWS_ACCESS_KEY_ID:""}'
#secret_access_key: '${AWS_SECRET_ACCESS_KEY:""}'
#session_token: '${AWS_SESSION_TOKEN:"”}'
#credential_profile_name: test-s3-input
# Queue urls (required) to receive queue messages from
#queue_urls: ["https://sqs.us-east-1.amazonaws.com/1234/test-s3-logs-queue"]
# The duration (in seconds) that the received messages are hidden from subsequent
# retrieve requests after being retrieved by a ReceiveMessage request.
#visibility_timeout: 300
テストとして、以下のような設定で、test.log以外の ファイルをアップしても、filebeatでinput処理されました。
- type: s3
queue_url: https://sqs.ap-northeast-1.amazonaws.com/***********/sqs-test
access_key_id: himitsunoid
secret_access_key: himitsunokey
aws.s3.bucket.name: "temp.work"
aws.s3.object.key: "test.log"
tags:
- "companyA_1"
このことからすると、aws.s3.bucket.nameなどでフィルタリング処理されているわけではないように考えています。
つまり、結果としてどちらのS3 inputでも処理される可能性があり、意図しない方のS3インプットに入って処理されると、逆のタグ設定がされ、
ドキュメント上、実際の挙動からみてaws.s3.bukect.name、aws.s3.object.keyといった設定はできない(あくまでも処理した結果が格納されるOutputのフィールドな)のではないでしょうか。
harue
December 2, 2019, 6:57am
5
→ドキュメントには記載されていません。(個人的に可能かなと思い試してみました)
上記について理解しました。
system
December 30, 2019, 6:58am
6
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.
