从filebeat索引日志时,我在Elasticsearch上获得了Mapper解析错误。
我尝试了两个Filebeat - > Elasticserach和Filebeat - > Logstash - >弹性搜索方法。
我已经按照他们自己的文档,按照指示安装了filebeat模板,并从Loading the Index Template in Elasticsearch | Filebeat Reference验证了
我的弹性搜索通常与我的其他数据索引工作正常,我在Kibana上测试了它们。它是一个官方码头Docker Hub | Elasticsearch安装。
在没有任何运气的情况下搜索了很多内容,感谢任何帮助。
更新1:
ES版本:2.3.3(我相信最新版本)
模板文件是filebeat附带的默认文件。
{
"mappings": {
"_default_": {
"_all": {
"norms": false
},
"dynamic_templates": [
{
"fields": {
"mapping": {
"ignore_above": 1024,
"type": "keyword"
},
"match_mapping_type": "string",
"path_match": "fields.*"
}
}
],
"properties": {
"@timestamp": {
"type": "date"
},
"beat": {
"properties": {
"hostname": {
"ignore_above": 1024,
"type": "keyword"
},
"name": {
"ignore_above": 1024,
"type": "keyword"
}
}
},
"input_type": {
"ignore_above": 1024,
"type": "keyword"
},
"message": {
"norms": false,
"type": "text"
},
"offset": {
"type": "long"
},
"source": {
"ignore_above": 1024,
"type": "keyword"
},
"type": {
"ignore_above": 1024,
"type": "keyword"
}
}
}
},
"order": 0,
"settings": {
"index.refresh_interval": "5s"
},
"template": "filebeat-*"
}
更新2: 你说得对,见
#/usr/share/filebeat/bin/filebeat --version
filebeat version 5.0.0-alpha2 (amd64), libbeat 5.0.0-alpha2
虽然这是将apache日志发布到logstash。但我无法以正确的格式获取此vhost_combined日志
sub1.example.com:443 1.9.202.41 - - [03/Jun/2016:06:58:17 +0000] "GET /notifications/pendingCount HTTP/1.1" 200 591 0 32165 "https://sub1.example.com/path/index?var=871190" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
"message" => "%{HOSTNAME:vhost}\:%{NUMBER:port} %{COMBINEDAPACHELOG}"
答案 0 :(得分:20)
您不能将"type": "keyword"与ES 2.3.3一起使用,因为这是ES 5中的新数据类型(目前在alpha3中)
您需要使用
替换所有这些事件"type": "string",
"index": "not_analyzed"
您需要改为使用filebeat.template-es2x.json。