我想用logstash和elasticsearch索引我的日志。
这是我的问题:
我有两种环境:
我想使用一个elasticsearch集群存储我的日志。如何将这两组日志分开?
例如,如果我在端口9092(例如)上打开logstash web ui,我希望能够从我的prod环境中查找日志,如果我在端口9093上打开logstash web ui(例如)我想要能够从我的环境中查找日志。
请您告诉我如何实施此建议?
答案 0 :(得分:3)
群集日志的最简单方法是为每个日志附加一个标记,无论它是属于生产单位还是用户接受单位。
您可以通过以下方式在logstash中执行此操作:
add_tag => [“production / useracceptance”]基于它满足的正则表达式的类型。
答案 1 :(得分:2)
将自定义标记应用于日志,因为它们通过grok放入elasticsearch中。然后,从您的网络ui,您只需过滤这些标记,只显示带有这些标记的日志。