Fatal编程技术网

Logstash 日志中的标签

logstash

Logstash 日志中的标签,logstash,filebeat,Logstash,Filebeat,如何将后缀日志定向到索引后缀? 在logstash配置中 input { beats { port => 5044 } } filter { grok { } } output { if "postfix" in [tags]{ elasticsearch { hosts => "localhost:9200" index => "postfix-%{+YYYY.

如何将后缀日志定向到索引后缀? 在logstash配置中

input {
  beats {
    port => 5044
  }
}

filter {
     grok { 
}
}     
output {
if "postfix" in [tags]{
        elasticsearch {
            hosts    => "localhost:9200"
            index    => "postfix-%{+YYYY.MM.dd}"
        }
}
}
在filebeat.yml中

filebeat.inputs:
- type: log
  enabled: true
  paths:
      - /var/log/maillog*
  exclude_files: [".gz$"]
tags: ["postfix"]
output.logstash:
  hosts: ["10.50.11.8:5044"]
在原木里藏了很多

[WARN ][logstash.outputs.elasticsearch] Could not index event to Elasticsearch. {:status=>400, :action=>["index", {:_id=>nil, :_index=>"newrelicdata", :_type=>"_doc", :routing=>nil}, #<LogStash::Event:0x4ceb504a>], :response=>{"index"=>{"_index"=>"newrelicdata", "_type"=>"_doc", "_id"=>"V7x2z20Bp3jq-MOqpNbt", "status"=>400, "error"=>{"type"=>"mapper_parsing_exception", "reason"=>"failed to parse field [host] of type [text] in document with id 'V7x2z20Bp3jq-MOqpNbt'. Preview of field's value: '{name=mail.domain.com}'", "caused_by"=>{"type"=>"illegal_state_exception", "reason"=>"Can't get text on a START_OBJECT at 1:521"}}}}}

[WARN][logstash.outputs.elasticsearch]无法将事件索引到elasticsearch。{:status=>400,:action=>[“index”],{:{u id=>nil,:{u index=>“newrelicata”,:{u type=>“\u doc”,:routing=>nil},}],:response=>{“index”=>“newrelicata”,“\u type”=>“\u doc”,“\u id”=>“V7x2z20Bp3jq MOqpNbt”,“status”=>400,“error”=>“type”=>“per-mapu解析失败的原因”=>,[host]字段解析失败]在id为'V7x2z20Bp3jq MOqpNbt'。字段值预览:“{name=mail.domain.com}'”的文档中,“由“=>{”type“=>”非法状态异常“,”原因“=>”无法在1:521”处获取开始对象上的文本
为什么来自mail.domain.com的日期尝试获取不在索引后缀中?数据试图进入所有的索引?任何帮助

我认为日志包含字段名“host”,因此它抛出了一个错误“未能解析[text]类型的字段[host]”

当我尝试用下面的filebeat.yml配置发送日志时

filebeat.inputs:
  - type: log
    enabled: true
  paths:
  - /home/varsha/ELK7.4/logs/*.log
  tags: ["postfix"]
 output.logstash:
  hosts: ["localhost:5044"]
通过以上配置,您与我共享的文件工作正常,并获得了预期的结果,请登录

对不起,我不明白。这是完整的配置日志stash postfix.conf你需要一个postfix日志样本吗?是的,我需要一个postfix日志样本,你能分享一下吗。我想在test ELK中注意到的Postfix日志中没有其他索引Postfix索引是创建的。将此发送给我patterns/etc/logstash/patterns文件一个或两个文件有一个文件有这样的内容对不起,我应该检查什么?我在postifx与之冲突的索引中找到了,例如在映射中,有一个主机。如何更改索引后缀,而不是主机字段是服务器字段? 
filebeat.inputs:
  - type: log
    enabled: true
  paths:
  - /home/varsha/ELK7.4/logs/*.log
  tags: ["postfix"]
 output.logstash:
  hosts: ["localhost:5044"]