我具有以下格式的Nginx日志文件。
192.168.1.17 - - [10/Nov/2017:16:17:20 +0000] "GET /admin/pages/data HTTP/1.1" 404 199 "http://192.157.1.29/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"
在nginx模块中,我在/usr/share/filebeat/modules/nginx/access/ingest/defaults.json
{
"grok": {
"field": "message",
"patterns": [
"%{IPORHOST:remote_ip} - %{DATA:user_name} \[%{HTTPDATE:access_time}\] \"%{WORD:http_method} %{DATA:url} HTTP/%{NUMBER:http_version}\" %{NUMBER:response_code} %{NUMBER:body_sent_bytes} \"%{DATA:referrer}\" \"%{DATA:agent}\""
],
"",
"ignore_missing": true
}
},
使用这种模式,在elasticsearch索引中,我只能看到消息字段。无法将所有其他字段作为索引文档的一部分?在这里,我们如何获得ES索引中的所有模式值作为单独的字段?有什么建议吗?