logstash dns过滤器错过

时间:2015-06-09 13:05:12

标签: dns logstash logstash-configuration elastic-stack

我在我的ELK堆栈环境中使用logstash 1.5。 使用以下过滤器配置:

filter {
   mutate {
      add_filed => { "src_ip" => "%{src}" }
      add_filed => { "dst_ip" => "%{dst}" }
   }
   dns {
      reverse => [ "src", "dst" ]
      action => "replace"
   }
}

我有两个问题:

  • 过滤器丢失或跳过许多日志上的dns反向过程 - 我的意思是过滤器进程中的每个日志,或者dst和src字段都反转或者根本没有,并保留在ip (当我用nslookup测试时,所有ip字段都在dns中有名字。)
  • 我不知道如何以及为什么但是我的一些日志有多个值,我收到以下错误:
  

DNS:跳过反向,无法处理多个值,:field =>“src”   ,:value => [“10.0.0.1”,“20.0.0.2”],:level =>警告

看起来我的(ELK)logstash无法处理大量日志并足够快地解决它们。还看起来他从不同的日志中创建了多个值的数组键。

任何想法? 也许你们遇到这个问题?

1 个答案:

答案 0 :(得分:0)

我注意到您的配置中存在拼写错误 - add_filed应为add_field

相关问题
最新问题