我打算集中所有来自操作系统的日志,某人提供的应用程序(nginx,sshd等)和我自己的应用程序。
所有日志最终都存储在/var/log中的某个文件中,因此我计划使用Beats将其内容转发到Logstash。我希望解析遵循决策树:
process是myownapp.py➜消息的内容是一个JSON字符串➜转发给Elasticsearch,还要合并上面提取的字段process是anotherofmyapps➜消息的内容遵循模式➜将其填充到字段中,请添加第一步的提取字段➜发送给ES process是其他内容,➜将所有字段(包括原始消息)发送给ES 在这种情况下,根据以前提取的字段将过滤器链接起来是可行的吗?