- elasticsearch/
elasticsearch 使用elasticsearch插件logstash索引名中的字段
elasticsearch 使用elasticsearch插件logstash索引名中的字段
我尝试使用基于字段的elasticsearch索引,以便为每个源获取索引(允许安全访问每个索引) 我尝试了一些类似的方法
output {
stdout { codec => rubydebug }
elasticsearch {
index => [SERVER]"-%{+YYYY.MM.dd}"
}
}
output {
stdout { codec => rubydebug }
elasticsearch{
index => "[SERVER]-%{+YYYY.MM.dd}"
}
}
两者都不起作用:第一个错误,第二个尝试创建包含[SERVER]的索引,然后由于大写错误,这可能不受支持,因为我在文档中找不到它,但我想知道是否有人为自己的ELK堆栈获得了类似的函数?正确的语法是
“%{SERVER}-%{+YYYY.MM.dd}“我怎么会错过呢…smhi尝试了输出{stdout{codec=>rubydebug}弹性搜索{index=>“%{SERVER}-%{+YYYY.MM.dd}}}}}以上仍然不起作用,你确定它可以映射到字段吗?在我的情况下,它起作用了…你能提供更多信息=>这次发生了什么(错误,用错误的名称创建的索引…)?可能是您的配置?这是确切的输出配置,在我的筛选器中,我使用grok提取了一个名为SERVER的字段,它只是将整个字符串%{SERVER}发送到它应该替换的位置,导致ES拒绝它(该字段肯定存在,当我使用有效的索引名时,我可以在输出中看到它)