在弹性搜索插件logstash

时间:2016-06-15 14:55:00

标签: elasticsearch logstash

我正在尝试使用基于字段的elasticsearch索引,因此我可以为每个源获取索引(允许对每个索引进行安全访问)。

我尝试了一些

的内容 
output {
    stdout { codec => rubydebug }
    elasticsearch {
       index => [SERVER]"-%{+YYYY.MM.dd}"
    }
}

以及

output {
    stdout { codec => rubydebug }
    elasticsearch{
       index => "[SERVER]-%{+YYYY.MM.dd}"
    }
}

并且都不起作用:第一个错误,第二个尝试用[SERVER]创建索引然后由于大写的错误,这可能不受支持,因为我无法在文档中的任何地方找到它,但我想知道是否任何人都有自己的ELK堆栈这样的功能吗?

1 个答案:

答案 0 :(得分:2)

正确的语法是"%{SERVER}-%{+YYYY.MM.dd}"

根据to the documentation

  

[要编写的索引]可以使用%{foo}语法进行动态处理。

相关问题
最新问题