我正在使用Filebeat将我的本地txt文件中的日志数据发送到Elasticsearch,和
我想将message行中的一些字段添加到事件中 - 如时间戳和日志级别。例如,这是我的一个日志行:
2016-09-22 13:51:02,877 INFO 'start myservice service'
我的问题是:我可以通过Filebeat做到吗 - > Elasticsearch还是我必须通过Logstash?
答案 0 :(得分:7)
您可以使用Filebeat - > Elasticsearch如果您使用Elasticsearch 5.0中的Ingest Node功能。否则,是的,您需要使用Logstash。
在这两种情况下,您都可以使用grok filter将message行解析为结构化数据。此外,您还希望使用date来解析和标准化日期。