Logging 在ELK中组合日志和查询_Logging_<img Src="//i.stack.imgur.com/RUiNP.png" Height="16" Width="18" Alt="" Class="sponsor Tag Img">elasticsearch_Logstash_Kibana_Elastic Stack

Logging 在ELK中组合日志和查询

logging logstash kibana

Logging 在ELK中组合日志和查询,logging,elasticsearch,logstash,kibana,elastic-stack,Logging,elasticsearch,Logstash,Kibana,Elastic Stack,使用ELK（Elasticsearch Logstash Kibana）堆栈，我将系统日志从*nix框收集到Logstash，并通过Elasticsearch发送到Kibana。这是一个经典的场景我的系统日志包括正常系统事件、squid访问日志、captiveportal登录日志等。 captiveportal登录为 1423548430 2582 192.168.1.23 xx:ae:xx:e1:xx:99 mike.brown cc9aeb1210b39571 MTI= first 及

使用ELK（Elasticsearch Logstash Kibana）堆栈，我将系统日志从*nix框收集到Logstash，并通过Elasticsearch发送到Kibana。这是一个经典的场景

我的系统日志包括正常系统事件、squid访问日志、captiveportal登录日志等。 captiveportal登录为

1423548430 2582 192.168.1.23 xx:ae:xx:e1:xx:99 mike.brown cc9aeb1210b39571 MTI= first

及

squid访问日志记录为：

1423562965.228    482 192.168.1.23 TCP_MISS/200 1254 POST http://ad4.liverail.com/? - DIRECT/31.13.93.12 text/xml

在Logstash中，我过滤了捕获门户日志，我得到了

client\u ip=“192.168.1.23”

，

user\u name=“mike.brown”

，在Logstash配置的不同过滤器中，我还过滤了squid访问日志，我得到了

src\u ip=“192.168.1.23”

我的问题是：如果squid访问日志的客户端ip等于Kibana中captive portal的src ip，我如何查询以获取用户名？

您不能在elasticsearch中进行连接。他们讨论了一些关系选择。

这是elasticsearch的弱点吗？我想是的，奇怪的是你们有数据，但你们不能查询。谢谢。我认为它是一个文档库，而不是一个数据库。你会因为自行车不会烤面包而责怪它吗？你能把答案再延长一点吗？这对我很重要（）