Logstash 索引
Logstash Indexing
我想为两个不同的系统创建两个单独的索引,这两个系统将数据发送到 udp - syslog 的 logstash 服务器设置。在 Elasticsearch 中,我创建了一个名为 CiscoASA01 的索引和另一个名为 CiscoASA02 的索引。我如何配置 Logstash 以过滤来自第一个设备的所有事件进入 CiscoASA01 索引以及来自第二个设备的事件进入第二个索引?谢谢。
您可以使用if 来分隔日志。假设您的第一台设备是 CiscoASA01,第二台是 CiscoASA02。
这是输出
output {
if [host] == "CiscoASA01"
{
elasticsearch {
host => "elasticsearch_server"
index => "CiscoASA01"
}
}
if [host] == "CiscoASA02"
{
elasticsearch {
host => "elasticsearch_server"
index => "CiscoASA02"
}
}
}
[host]是logstash事件中的字段。您可以使用它将日志分离到不同的输出。
希望对您有所帮助。
我想为两个不同的系统创建两个单独的索引,这两个系统将数据发送到 udp - syslog 的 logstash 服务器设置。在 Elasticsearch 中,我创建了一个名为 CiscoASA01 的索引和另一个名为 CiscoASA02 的索引。我如何配置 Logstash 以过滤来自第一个设备的所有事件进入 CiscoASA01 索引以及来自第二个设备的事件进入第二个索引?谢谢。
您可以使用if 来分隔日志。假设您的第一台设备是 CiscoASA01,第二台是 CiscoASA02。
这是输出
output {
if [host] == "CiscoASA01"
{
elasticsearch {
host => "elasticsearch_server"
index => "CiscoASA01"
}
}
if [host] == "CiscoASA02"
{
elasticsearch {
host => "elasticsearch_server"
index => "CiscoASA02"
}
}
}
[host]是logstash事件中的字段。您可以使用它将日志分离到不同的输出。
希望对您有所帮助。