質問を失礼させて頂きます。
S3→SQS→Filebeat→Logstash→Elasticsearchの連携時、
filebeat.ymlでS3バケット名・ファイル名を条件にindex名を振り分けたい場合、記述内容は以下で合っていますでしょうか。
#現状、filebeat→Logstashの連携時にエラーが出力されています。
#別処理にてfilebeat→Logstashの疎通はとれており、ymlを編集したところ疎通出来なくなったため質問いたしました。
filebeat.yml
#=========================== Filebeat inputs =============================
filebeat.inputs:
- type: s3
enabled: true
queue_url: https://XXX/TEST-001
access_key_id: XXX
secret_access_key: XXX
#==================== Elasticsearch template setting ==========================
setup.template.name: "test"
setup.template.pattern: "test*"
setup.template.settings:
index.number_of_shards: 1
#----------------------------- Logstash output --------------------------------
output.logstash:
# The Logstash hosts
hosts: ["XX.XXX.XX.XX:5044"]
loadbalance: false
indices:
- index: "test-%{[aws.s3.bucket.name]}-a"
when.contains:
aws.s3.object.key: "test1.log"
- index: "test-%{[aws.s3.bucket.name]}-b"
when.contains:
aws.s3.object.key: "test1.log"
setup.ilm.rollover_alias: "test"
filebeatのエラーログ
#011ERROR#011logstash/async.go:256#011Failed to publish events caused by: write tcp XX.XXX.XXX.XXX:34726->XX.XXX.XX.XX:5044: write: connection reset by peer
#011DEBUG#011[logstash]#011logstash/async.go:116#011close connection
Logstashのエラーログ
[DEBUG][org.logstash.beats.BeatsHandler] [local: XX.XXX.XX.XX:5044, remote: XX.XXX.XXX.XXX:34770] Received a new payload
[DEBUG][org.logstash.beats.BeatsHandler] [local: XX.XXX.XX.XX:5044, remote: XX.XXX.XXX.XXX:34770] Sending a new message for the listener, sequence: 1
[DEBUG][org.logstash.beats.BeatsHandler] 2debffee: batches pending: false
お手数ですが、回答頂けますと幸いです。