我有以下2个配置文件:
电子邮件阅读器
input {
imap {
host => "imap.gmail.com"
user => "account@gmail.com"
password => "pass"
secure => true
port => 993
check_interval => 30
}
}
output{
elasticsearch {
hosts => ["localhost:9200"]
index => "mailbox-%{+YYYY.MM.dd}"
user => user
password => pass
}
}
防火墙SYSLOG
input{
syslog {
type => "syslog"
port => 55555
}
}
output{
elasticsearch {
hosts => ["localhost:9200"]
index => "fortigate-%{+YYYY.MM.dd}"
user => user
password => pass
}
}
我的问题是,由于未知原因,两个索引都会混淆"混合"。含义来自"邮箱"存储在邮箱索引和强制索引中,并记录来自" fortigate"索引并存储在fortigate索引和邮箱索引中。 我似乎以某种方式创建了一个重复的索引,但我不知道这是怎么可能的。我试图重新创建邮箱"但同样的问题发生了。
答案 0 :(得分:0)
Elastic论坛的某位帮助我最终解决了这个问题。事实证明,Logstash需要调节才能将不同的数据转移到不同的索引。这是一个很好的例子: https://discuss.elastic.co/t/problem-with-output-elasticsearch-data-duplicate-on-index/101981/5