是否可以使用Logstash从2个单独的日志文件中连接2行日志

时间:2017-01-27 16:20:40

标签: elasticsearch logstash elastic-stack logstash-grok grok

我有两个单独的IIS日志文件(高级和简单)

他们需要加入,因为高级日志缺少简单编写的信息,但它们具有相同的时间戳。

input { file {
    path => "C:/Logs/*.log"
    start_position => "beginning"}
}
filter {
    grok {
        break_on_match => "true"
        match => ["message", '%{TIMESTAMP_ISO8601:log_timestamp} \"%{DATA:s_computername}\"']
        match => ["message", "%{TIMESTAMP_ISO8601:log_timestamp}  %{NOTSPACE:uriQuery} "]
    }
    output {
        elasticsearch {
            hosts => "localhost:9200"
        }
    }
}

简化版。我希望elasticsearch有一个包含log_timestamps_computernameuriQuery的条目。

使用多行编解码器,如果这些行彼此相邻,则可以合并它们。因为他们在单独的文件中,我还没有找到办法做到这一点。是否可以使用相同的时间戳将两者合并为唯一标识符?

0 个答案:

没有答案
相关问题
最新问题