我正在尝试使用logagent向Elasticsearch发送数据,但是在发送数据时似乎没有任何错误,因此未在ELK中创建索引。我试图通过Kibana GUI创建一个新的索引模式来找到索引,但索引似乎不存在。这是我现在的logagent.conf:
input:
# bro-start:
# module: command
# # store BRO logs in /tmp/bro in JSON format
# command: mkdir /tmp/bro; cd /tmp/bro; /usr/local/bro/bin/bro -i eth0 -e 'redef LogAscii::use_json=T;'
# sourceName: bro
# restart: 1
# read the BRO logs from the file system ...
files:
- '/usr/local/bro/logs/current/*.log'
parser:
json:
enabled: true
transform: !!js/function >
function (sourceName, parsed, config) {
var src = sourceName.split('/')
// generate Elasticsearch _type out of the log file sourceName
// e.g. "dns" from /tmp/bro/dns.log
if (src && src[src.length-1]) {
parsed._type = src[src.length-1].replace(/\.log/g,'')
}
// store log file path in each doc
parsed.logSource = sourceName
// convert Bro timestamps to JavaScript timestamps
if (parsed.ts) {
parsed['@timestamp'] = new Date(parsed.ts * 1000)
}
}
output:
stdout: false
elasticsearch:
module: elasticsearch
url: http://10.10.10.10:9200
index: bro_logs
也许我必须手动创建索引映射?我不知道。
感谢您提出任何建议或见解!
答案 0 :(得分:0)
我发现确实存在错误。我试图通过名为“auth”的字段发送一些身份验证,但这不存在。我可以做url: https://USERNAME:PASSWORD@10.10.10.10:9200。