我正在尝试使用kubernetes集群的Kibana仪表板中的Fluentd来收集审核,文件拍和度量拍日志。我可以在Kibana仪表板中以特定的索引(例如filebeat- ,auditbeat-和metricbeat- *)的形式分别获取审计,文件拍和度量拍日志。
有人可以建议我吗?是否有可能在单个索引中获取以上3种类型的日志?
答案 0 :(得分:1)
是的,假设您是在谈论EFK堆栈而不是ELK堆栈。在您的Fluentd配置中,您可以具有以下内容:
<match *.**>
type copy
<store>
type elasticsearch
host localhost
port 9200
include_tag_key true
tag_key @log_name
logstash_format true
flush_interval 10s
index_name fluentd.common.%Y%m%d
</store>
</match>
与拥有fluentd.common.%Y%m%d相比,它们都将使用相同的索引index_name fluentd.${tag}.%Y%m%d。