elasticsearch 日志存储UDP问题,elasticsearch,logstash,elasticsearch,Logstash" /> elasticsearch 日志存储UDP问题,elasticsearch,logstash,elasticsearch,Logstash" />
Fatal编程技术网

elasticsearch 日志存储UDP问题

logstash

elasticsearch 日志存储UDP问题,elasticsearch,logstash,elasticsearch,Logstash,我有一个简单的logstash配置,其中我基于beat主机名将日志路由(传送)到辅助logstash,下面是主/辅助logstash配置。我在这里屏蔽了IP,但是主日志库没有将任何日志发送到辅助日志库 1) Is it the if condition needs to have [host] or [agent][hostname] in primary logstash? 2) On secondary do I need to receive for UDP or TCP ? 我试图检查

我有一个简单的logstash配置,其中我基于beat主机名将日志路由(传送)到辅助logstash,下面是主/辅助logstash配置。我在这里屏蔽了IP,但是主日志库没有将任何日志发送到辅助日志库

1) Is it the if condition needs to have [host] or [agent][hostname] in primary logstash?
2) On secondary do I need to receive for UDP or TCP ?
我试图检查主服务器和辅助服务器上的netstat o/p。它不在主节点上显示任何结果,而在次节点上显示任何结果

sudo netstat-ulpat | grep 8011

我的主要日志存储配置

input {
  beats {
    port => 5044
  }
}
output {
    elasticsearch {
      hosts => ["http://<ip1>:9200","http://<ip2>:9200","http://<ip3>:9200"]
    }
  }
#  stdout { codec => rubydebug }
}
output {
  if [host] =~ "moaf-iws" {
    udp {
      host => "XX.XXX.XXX.XXX"
      port => "8011"
    }
  }
}

输入{
击败{
端口=>5044
}
}
输出{
弹性搜索{
主机=>[“http://:9200”、“http://:9200”、“http://:9200”]
}
}
#stdout{codec=>rubydebug}
}
输出{
如果[主机]=“moaf iws”{
udp{
主机=>“XX.XXX.XXX.XXX”
端口=>“8011”
}
}
}
二次原木储藏

input {
  beats {
    port => 5044
  }
}

input {
  udp {
         port => 8011
      }
}
output {
    elasticsearch {
      hosts => ["http://<ip1>:9200","http://<ip2>:9200"]
    }
  }
  stdout { codec => rubydebug }

输入{
击败{
端口=>5044
}
}
输入{
udp{
端口=>8011
}
}
输出{
弹性搜索{
主机=>[“http://:9200”,“http://:9200”]
}
}
stdout{codec=>rubydebug}
使用
--debug
标记并发布结果运行日志存储管道您的日志存储和Beats版本是什么?您是否有
host
字段?由于Filebeat版本6.3中的
host
字段是一个json对象,因此主机名位于
host.name
字段中。用stdout运行输出,看看在哪个字段中有主机名。@leandrojmp-Beats版本是7.2,当我运行stdout时,我只能看到代理主机名。您应该在输出条件中使用字段agent.hostname,然后只需将if改为
if[agent][hostname]=“moaf iws”