无法在索引中看到日志

时间:2020-01-03 20:19:23

标签: elasticsearch logstash elk

我创建了两个mutate过滤器,一个用于获取所有/ var / log / messages类型的安全性,另一个mutate过滤器用于获取来自一种类型主机的所有日志的类型> host_type。 我在host_type索引中看不到/ var / log / messages。

这是我正在使用的过滤器代码,请帮助我了解此处的情况。为什么我在apihost索引中看不到/ var / log / messages? 我在主机上设置了文件拍子,以将日志发送到logstash。

filter {
if [source] =~ //var/log/(secure|syslog|auth.log|messages|kern.log)$/ {
mutate {
replace => { "type" => "security" }
}
}
}

filter-apihost.conf
filter {
if (([host.name] =~ /(?i)apihost-/) or ([host] =~ /(?i)apihost-/)) {
mutate {
replace => { "type" => "apihost" }
}
}
}

1 个答案:

答案 0 :(得分:0)

实际上,我通过将克隆过滤器添加到我的logstash配置中解决了该问题。

相关问题
最新问题