我在一个节点上运行了logstash filebeat和elasticsearch。
我试图让logstash识别标记为" syslog"的日志。并将它们转储到一个名为" syslog"的索引中,但它似乎看不到标签,因为它们都进入"未分类" index(我的捕获所有默认索引)
这是我的节拍配置
iteritems()这是我的logstash配置文件
items()答案 0 :(得分:1)
查看输出(带有stdout {}节)会证实这一点,但我猜你错过了the doc的这一部分:
默认情况下,您在[字段'配置']中指定的字段将分组在a下 输出文档中的字段子字典。存储自定义 将字段设置为顶级字段,将fields_under_root选项设置为true。
答案 1 :(得分:1)
使用document_type配置选项在Filebeat中设置自定义type字段。
filebeat:
prospectors:
- paths:
- /var/log/messages
document_type: syslog
这会将@metadata.type字段设置为与Logstash一起使用,而自定义字段则不会。