ELK:设置logstash ELK堆栈的多个http输入

时间:2017-11-10 08:14:50

标签: elasticsearch logstash kibana elastic-stack logstash-configuration

问题:

  • 如何设置logstash ELK堆栈的多个http输入

我已经拥有的内容:

input {
  http {
        host => "0.0.0.0"
        port => "5000"
    }
}

output {
  elasticsearch {
      hosts => "elasticsearch:9200"
  }
}
  • 我可以使用网址上的邮递员轻松发送我的组件日志(作为JSON):http://localhost:5000

我需要什么:

  • 多个http输入,因为我有多个组件 - 类似(但第二个输入不听取请求):
input {
  http {
        host => "0.0.0.0"
        port => "5000"
  }
  http {
      host => "0.0.0.0"
      port => "7070"
  }
}
  • 我必须在Kibona中区分这些组件

2 个答案:

答案 0 :(得分:8)

您可以为每个输入设置一个类型,并使用该类型生成索引名称:

input {
  http {
    host => "0.0.0.0"
    port => "5000"
    type => "A"
  }

  http {
    host => "0.0.0.0"
    port => "5001"
    type => "B"
  }
}

使用该类型可能就足够了,因为您可以使用它来过滤记录。但是您可能还需要将每种类型的记录存储在不同的索引中,因为每种类型可能对同一字段使用不同的类型。这会导致映射冲突。

output {
  elasticsearch {
    hosts => "elasticsearch:9200"
    index => "%{[type]}-%{+YYYY.MM.dd}"
  }
}

答案 1 :(得分:2)

我已经解决这个。

我需要在 logstash:部分的 docker-compose.yml 文件中添加端口,例如:

ports:
  - "5000:5000"
  - "7070:7070"

type => "A"

很好用。