elasticsearch 如何在最新的日志库中使用filter grok?
它用于解析使用以下配置的iptables日志:elasticsearch 如何在最新的日志库中使用filter grok?,elasticsearch,logstash,elasticsearch,Logstash,它用于解析使用以下配置的iptables日志: filter { grok { tags => [“iptables”] patterns_dir => “/etc/logstash/patterns” pattern => “%{IPTABLES}” } } 但是在将logstash更新到1.3.3版本后,它就不起作用了。如何在最新版本中使用这个 编辑:由于不推荐使用的标签,它似乎不起作用。但我已将上述代码重写为: filter { i
filter {
grok {
tags => [“iptables”]
patterns_dir => “/etc/logstash/patterns”
pattern => “%{IPTABLES}”
}
}
但是在将logstash更新到1.3.3版本后,它就不起作用了。如何在最新版本中使用这个
编辑:由于不推荐使用的标签,它似乎不起作用。但我已将上述代码重写为:
filter {
if "iptables" in [tags] {
grok {
patterns_dir => "/etc/logstash/patterns"
match => ["message", "%{IPTABLES}"]
}
}
}
我不再收到任何错误,但iptables日志也不会发生任何事情
我的iptables的beaver配置为:
[/var/log/iptables.log]
type: logstash:beaver
tags: iptables
它不工作,很难排除故障。如果您检查日志或使用-v运行,是否会看到任何有用的错误消息?我看到可能的问题:您的配置示例似乎使用了,而您使用的是,而不是。我已经更新了PostThank。日志事件是否即将到来?如果使用-v运行代理,每个输入/过滤/输出插件都会在事件通过管道运行时记录事件。除此之外,%{IPTABLES}模式是否捕获数据?因为,grok只返回命名的捕获模式,即:%{WORD}与%{WORD:some_field_name}。@rutter,是的,日志事件正在进入。过滤器的条件似乎不起作用: