无法在索引中看到日志
Not able to see logs in the index
我创建了两个变异过滤器,一个是让所有 /var/log/messages 键入 > 安全,另一个变异过滤器是从一种主机中获取所有日志以键入 > host_type。
我无法在 host_type 索引中看到 /var/log/messages。
这是我正在使用的过滤器代码,请帮助我了解这里发生了什么。为什么我在 apihost 索引中看不到 /var/log/messages?
我在主机上设置了 filebeat 以将日志发送到 logstash。
filter {
if [source] =~ //var/log/(secure|syslog|auth.log|messages|kern.log)$/ {
mutate {
replace => { "type" => "security" }
}
}
}
filter-apihost.conf
filter {
if (([host.name] =~ /(?i)apihost-/) or ([host] =~ /(?i)apihost-/)) {
mutate {
replace => { "type" => "apihost" }
}
}
}
实际上,我通过将克隆过滤器添加到我的 logstash 配置中解决了这个问题。
我创建了两个变异过滤器,一个是让所有 /var/log/messages 键入 > 安全,另一个变异过滤器是从一种主机中获取所有日志以键入 > host_type。 我无法在 host_type 索引中看到 /var/log/messages。
这是我正在使用的过滤器代码,请帮助我了解这里发生了什么。为什么我在 apihost 索引中看不到 /var/log/messages? 我在主机上设置了 filebeat 以将日志发送到 logstash。
filter {
if [source] =~ //var/log/(secure|syslog|auth.log|messages|kern.log)$/ {
mutate {
replace => { "type" => "security" }
}
}
}
filter-apihost.conf
filter {
if (([host.name] =~ /(?i)apihost-/) or ([host] =~ /(?i)apihost-/)) {
mutate {
replace => { "type" => "apihost" }
}
}
}
实际上,我通过将克隆过滤器添加到我的 logstash 配置中解决了这个问题。