我的用例是将各种应用程序的日志文件发送到Elasticsearch,以便我可以从Kibana查看它们。
我想知道可以为grok表达式配置Filebeat,以便应用程序团队可以在其末端管理日志解析并且中央日志记录系统/部署不受影响吗?如果可以,那么对Logstash的需求是值得怀疑的。我可以看到Filebeat支持多行表达式,但是我可以通过解析消息来定义其他grok表达式并添加/删除字段吗?
答案 0 :(得分:1)
Filebeat不执行grok处理。因此,您需要将数据发送到Logstash进行处理。
Elasticsearch 5.0中有一个名为Ingest Node的新功能,可以在不需要Logstash的情况下执行一些简单的grok处理(即Filebeat - > Elasticsearch)。