Фильтрация входного файла с использованием информации из другого входного файла

slapp · January 10, 2019, 11:37am

Добрый день!

Развернул на ELK мониторинг DNS. Заметил, что накапливается большое количество записей рекламных доменов и доменов метрики яндекс и гугл. Решил отфильтровать все записи с помощью списка таких доменов из текстового файла.
Вопрос: можно ли как то сравнить в logstash два входных файла, один из которых является файлом лога DNS-сервера, а второй файл со списком рекламных доменов, и в новый индекс записать отфильтрованные данные, при этом оставив и старый индекс с полными данными?

Заранее спасибо)

Igor_Motov · January 10, 2019, 2:35pm

A сколько записей в этом списке?

slapp · January 11, 2019, 5:25am

Около 3 тысяч, но если количество принципиально, могу и сократить его до, например, 100 самых назойливых доменов
Я так понимаю, такое сравнение/фильтрацию можно только через руби плагин сделать?

Igor_Motov · January 11, 2019, 2:57pm

Можно воспользоваться reindex api с фильтром terms завернутым в must_not

slapp · January 16, 2019, 11:58am

Спасибо! Использовал terms c must_not, только в aliases. Мне нужно было, чтобы в новом индексе данные динамически обновлялись.

Может кому пригодится. Тут фильтр из двух термов, походу их можно добавлять сколько угодно через запятую.

POST /_aliases
     {
       "actions": [
         {
           "add": {
             "index": "dns-*",
             "alias": "filter",
             "filter": {
               "bool": {
                 "must_not": {
                   "terms": { "Query": ["mc.yandex.ru","yandex.ru"] }
                }
               }
             }
           }
         }
       ]
     }

Igor_Motov · January 16, 2019, 10:21pm

"сколько угодно" - это небольшое преувеличение

system · February 13, 2019, 10:22pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.