- elasticsearch/
elasticsearch Logstash/Elasticsearch:geoip.asn值的数字格式异常
elasticsearch Logstash/Elasticsearch:geoip.asn值的数字格式异常
试图在另一个字段中解析并使用
geoip.asn geoip {
default_database_type => "ASN"
source => "dst"
}
mutate {
add_field => { "[dst_asn]" => "%{[geoip][asn]}" }
# remove_field => [ "geoip" ]
}
"dst_asn": {"type": "integer"},
[2018-11-07T14:19:17,716][WARN ][logstash.outputs.elasticsearch] Could not index event to Elasticsearch. {:status=>400, :action=>["index", {:_id=>nil, :_index=>"my_index_raw_data-2018.11.07", :_type=>"_doc", :_routing=>nil}, #<LogStash::Event:0x5c30a50a>], :response=>{"index"=>{"_index"=>"my_index_raw_data-2018.11.07", "_type"=>"_doc", "_id"=>"Kcsc7mYBo99I6PWl0CVS", "status"=>400, "error"=>{"type"=>"mapper_parsing_exception", "reason"=>"failed to parse [dst_asn]", "caused_by"=>{"type"=>"number_format_exception", "reason"=>"For input string: \"%{[geoip][asn]}\""}}}}}
[2018-11-07T14:19:17716][WARN][logstash.outputs.elasticsearch]无法将事件索引到elasticsearch。目前状态=>400,:状态=>400,:行动=>400,:行动=>400,,,,,,,,,,,,,,,,,,,,,,,,,,:::::::,,,,:::::::,,,,:::,,::,,,,,,,,,,,,,,,,,,::::,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,由“=>输入字符串的{“type”=>“number\ u format\ u exception”,“reason”=>:\“%{[geoip][asn]}\”
#sudo dpkg-s logstash
包装:logstash
状态:安装正常已安装
优先权:额外
章节:默认
安装尺寸:25337
维护者:
建筑:全部
版本:1:6.4.2-1
档案:
/etc/logstash/jvm.options 762ae825205c9b1b2716093895b25022
/etc/logstash/log4j2.properties cf74034ff061d473fee9dc1c7eb07d16
/etc/logstash/logstash-sample.conf 4ef421e7ee74e023c9b07f200cc6010a
/etc/logstash/logstash.yml 41cb35d7b75bf4b76215b1ad393e6a5c
/etc/logstash/pipelines.yml f4fec5524ff51ccd6a5e7f686cb8c3f5
/etc/logstash/startup.options 63ffc442d4f1c1a56c178a1d8af85eb0
描述:一个可扩展的日志管道
许可证:弹性许可证
供应商:Elasticsearch
主页:http://www.elasticsearch.org/overview/logstash/
root@atlantis-服务器:/usr/share/logstash#bin/logstash插件列表——verbose | grep geoip
logstash过滤器geoip(5.0.3)
add_field => { "[dst_asn]" => "%{[geoip][asn]}" }
add_字段的定义不正确,应该是这样的:
add_field => { "[dst_asn]" => "%{[geoip][asn]}" }
我已经解决了这个问题(也更新了我的问题),但是仍然得到一些文档的number\u format\u exception
;您没有按照我的答案进行更新。请检查语法是否正确;-)是的,您是对的;修复了我的logstash
config和我的问题,但是我仍然得到完全相同的错误;您可以添加stdout吗{codec=>rubydebug}
在您的输出部分,并显示一个记录的示例事件?[2018-11-07T15:41:42090][WARN][logstash.outputs.elasticsearch]无法将事件索引到elasticsearch.{:status=>400,:action=>[“index”,{:\u id=>nil,:\u index=>“my_index_raw_data-2018.11.07”,:\u type=>“\u doc,:\u routing=>nil},],:response=>{“\u index”=>“my\u index\u raw\u data-2018.11.07”、“\u type”=>“\u doc”、“\u id”=>“C8NO7MYB1E9QUCTIQUE”、“status”=>400、“error”=>“mapper\u解析异常”、“原因”=>“解析[dst\u asn]失败”、“由”=>{“type”=>“number\u格式异常”引起”、“输入字符串的原因”\“%{[geoip][asn]}也修复了我的问题但是仍然得到一些文档的number\u format\u异常
;您没有按照我的答案进行更新。检查语法是否正确;-)是的,您是对的;修复了我的logstash
config和我的问题,但是我仍然得到完全相同的错误;您可以添加stdout{codec=>rubydebug}
在您的输出部分中,并显示一个记录的示例事件?[2018-11-07T15:41:42090][WARN][logstash.outputs.elasticsearch]无法将事件索引到elasticsearch.{:status=>400,:action=>[“index”,“id=>nil,:\u index=>“my\u index\u raw\u data-2018.11.07”,:\u type=>“\u doc,:{u routing=>nil},{我的索引原始数据-2018.11.07“,”类型“=>”文档“,”id“=>”C8NO7MMB1E9QUCTIQUER“,”状态“=>400,“错误“=>”,”类型“=>”映射程序解析异常“,”原因“=>”解析[dst\U asn]失败“,”由“=>”类型“=>”数字格式异常“,”输入字符串的原因“=>”\“%{[geoip][asn]}}