elasticsearch 如何在最新的日志库中使用filter grok?,elasticsearch,logstash,elasticsearch,Logstash" /> elasticsearch 如何在最新的日志库中使用filter grok?,elasticsearch,logstash,elasticsearch,Logstash" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 如何在最新的日志库中使用filter grok?

elasticsearch 如何在最新的日志库中使用filter grok?

logstash

elasticsearch 如何在最新的日志库中使用filter grok?,elasticsearch,logstash,elasticsearch,Logstash,它用于解析使用以下配置的iptables日志: filter { grok { tags => [“iptables”] patterns_dir => “/etc/logstash/patterns” pattern => “%{IPTABLES}” } } 但是在将logstash更新到1.3.3版本后,它就不起作用了。如何在最新版本中使用这个 编辑:由于不推荐使用的标签,它似乎不起作用。但我已将上述代码重写为: filter { i

它用于解析使用以下配置的iptables日志:

filter {
  grok {
    tags => [“iptables”] 
    patterns_dir => “/etc/logstash/patterns”
    pattern => “%{IPTABLES}”
  }
}
但是在将logstash更新到1.3.3版本后,它就不起作用了。如何在最新版本中使用这个

编辑:由于不推荐使用的标签,它似乎不起作用。但我已将上述代码重写为:

filter {
  if "iptables" in [tags] {
    grok {
       patterns_dir => "/etc/logstash/patterns"
       match => ["message", "%{IPTABLES}"]
    }
  }
}
我不再收到任何错误,但iptables日志也不会发生任何事情

我的iptables的beaver配置为:

[/var/log/iptables.log]
type: logstash:beaver
tags: iptables
它不工作,很难排除故障。如果您检查日志或使用-v运行,是否会看到任何有用的错误消息?我看到可能的问题:您的配置示例似乎使用了,而您使用的是,而不是。我已经更新了PostThank。日志事件是否即将到来?如果使用-v运行代理,每个输入/过滤/输出插件都会在事件通过管道运行时记录事件。除此之外,%{IPTABLES}模式是否捕获数据?因为,grok只返回命名的捕获模式,即:%{WORD}与%{WORD:some_field_name}。@rutter,是的,日志事件正在进入。过滤器的条件似乎不起作用: