我在AWS Elasticsearch中设置了一个ELK堆栈。我正在将Apache日志提取到ELK中,其中一个apache字段是vhost。在vhost字段中它将包含www.domain.com和domain.com,我想将它们组合在一起,这样我就可以通过vhost设置准确的搜索和可视化数据。目前,它将www.domain.com和domain.com分开为单独的值。
123.456.7.89 - - [13 / Feb / 2017:18:56:19 +0000] thisdomain.com“GET /about.html HTTP / 1.0”200 1446“ - ”“ - ”Server = aws8 SSL = - 634713 0
123.456.7.89 - - [13 / Feb / 2017:18:58:19 +0000] www.thisdomain.com“GET /services.html HTTP / 1.0”200 1446“ - ”“ - ”Server = aws8 SSL = - 634713 0
我将此数据输入到AWS中的Elasticsearch设置中,该设置为我提供了字段定义。也适用于Cloudwatch。
[ip,user,username,timestamp,vhost,request,status_code,bytes,referrer,browser,server,ssl,timems,times]