我使用syslog->logstash->elasticsearch->kibana来查看我的日志。到目前为止堆栈工作正常。我已经在elasticsearch中有几千个日志。现在我决定更换一些grok过滤器。有没有办法再次处理所有日志以匹配新过滤器?
我可以想到以某种方式导出数据库并将其添加为logstash的新输入,但这会有点复杂。 我正在寻找一个简单的单击解决方案,因为我可能会在将来更改某些过滤器。到目前为止,我找不到任何简单的解决方案。任何帮助表示赞赏。
答案 0 :(得分:0)
使用elasticsearch 5.0。然后,您可以通过ingest管道运行日志。