안녕하세요 고수님들의 고견을 기다립니다.
로그스태시에서 SNMP를 수집하여 다시 키바나로 보내는 형태입니다.
보시다시피 저렇게 보기 어려운 Json 형태로 데이터를 받게 되는데,
저런 항목들을 discover에서 각각의 필드로 보여지게 하려면 어떻게 할 수 있을까요?
syslog는 grok 패턴을 걸어서 그렇게 만들었는데, 이건 그렇게 하기도 어렵고
좋은 방법이 있을까요?
interfaces 필드 안에 있는 JSON 객체들을 분리하여 각각 하나의 도큐먼트로 생성하시려는 건가요?
Input과 output 예시를 상세히 알려주시면 좋겠습니다.
하나의 도큐먼트라는 개념을 제가 잘 모르겠습니다만,
제가 원하는 것은 위와 같이 json으로 보여지는 항목들을 아래와 같이
필터링 가능한 필드로 보여줄 수 있게끔 하고 싶은 것입니다.
Syslog는 아래와 같이 grok 패턴을 걸어서, 각각의 필드로 보여지게 만들었는데,
SNMP는 Json 형태로 되어있다보니 이렇게 하기가 어려울거 같아서 한번 여쭤봅니다.
먼저, 엘라스틱서치가 데이터를 어떻게 저장하는지 정확하게 이해를 해야 데이터를 어떻게 정제할지 기준을 세울 수 있을 것으로 보입니다.
도큐먼트는 엘라스틱서치 인덱스에 저장되는 하나의 레코드 개념입니다. 제가 보기에는 한 도큐먼트에 저장된 interfaces 필드에 여러 JSON 객체 기준으로 도큐먼트를 분리해야, 각 JSON 객체의 필드들이 필터링이 가능해집니다. 로그스태시 필터 중 split 필터를 검토해보시기 바랍니다.
구글링해보니 비슷한 요청이 있어서 공유드립니다. 한번 테스트해보시기 바랍니다.
https://www.reddit.com/r/elasticsearch/comments/fle3y0/comment/flct8qf/?utm_source=reddit&utm_medium=web2x&context=3
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.