我有一个logstash代理监控我们自动测试的日志转储-
在每一批测试开始时,都会启动一个代理,侦听一个特定的文件夹,最后应该停止
问题就在最后-我需要以某种方式向logstash代理发出信号,表明测试已经完成,然后自杀
我该怎么做?
如何配置代理,使其在看到来自测试的特定日志消息时自杀
我的配置文件:
input {
file {
type => "cloudify-logs"
path => "<path_to_test_class_folder>
通过设置ElasticSearch:,当ElasticSearch位于不同的机器中时,Kibana3可以成功工作:http://different_machine_ip:9200“在Kibana3的config.js中
现在,我想在我的本地机器上运行这三个测试。我正在使用Windows7和Chrome浏览器。我在Tomcat7上安装了Kibana 3。我从LogStashjar文件启动了嵌入式ElasticSearch。
我将ElasticSearch位置设置为“localhost:9200”或
基于此问题和答案“”
我已经能够从我们的Apache日志中收集唯一IP地址的单个计数,但是,我实际上想要做的是能够显示单个IP地址的计数,即有多少个唯一的访问者
我想我需要使用terms_stats方面来实现这一点,但我不知道将什么设置为“value_字段”
对于当前版本的kibana,这是不可能的
但我所做的就是创建自定义直方图面板
要创建自定义直方图面板,只需复制现有直方图并修改config.js、module.js以更改新面板的所有路径引用
重写doSearch函数以使用查询
并更新结果解
我有一个logstash代理运行良好:
我的配置文件包含一个带有文件夹路径的输入文件,它将所有数据发送到我的elasticsearch数据库
但我想让我的经纪人更“先进”。我希望有一个外部配置文件或任何其他文件,您可以在其中指定要解析的日志文件夹的路径或路径列表,并在运行时自动对其进行logstash解析
基本上,是否可以有这样的配置:
input
{
path=>external parameter given by the user (example : "c:/users/xxx
我正在使用Logstash,我的一个应用程序向我发送如下字段:
[message][UrlVisited]
[message][TotalDuration]
[message][AccountsProcessed]
我希望能够折叠这些字段,同时删除顶级消息。因此,上述字段将变为:
[UrlVisited]
[TotalDuration]
[AccountsProcessed]
在Logstash中有这样做的方法吗?假设预先知道所有这些子字段的名称,您可以使用:
或者,使用a(即使您不知道字段
我有一个logstash elasticsearch kibana本地设置,在保存kibana仪表盘时遇到问题。选择“保存”选项会出现以下错误:“保存失败的仪表板无法保存到Elasicsearch”我正在使用Kibana附带的logstash仪表板,经过一些修改后,我试图保存仪表板,但出现此错误
起初,我认为我的用户和密码不正确,我可能忘记了同样的内容。然后,我通过以下命令更改了我的用户和密码:-
在文件中给出了
sudo htpasswd -c /etc/nginx/conf.d/kibana
我的应用程序生成没有时间戳的日志。
在logstash中是否有一种方法可以在处理时将时间戳附加到日志中
大概
mutate {
add_field => { "timestamp" => "%{date}" }
}
默认情况下,Logstash会添加一个@timestamp字段。您不需要设置任何其他内容。Logstash将花费接收事件的时间,并为您添加字段
例如,如果您尝试此命令:
LS_HOME/bin/logstash -e 'input { stdin {} }
我想为特定索引中的所有记录更新logdate列。从我到目前为止读到的情况来看,这似乎是不可能的?我是对的
以下是一个文档示例:
{
"_index": "logstash-01-2015",
"_type": "ufdb",
"_id": "AU__EvrALg15uxY1Wxf9",
"_score": 1,
"_source": {
"mess
我是Logstash的新手,我正在使用它解析特定目录中500MB的日志文件,目前当我启动Logstash时,它没有显示任何进度条,显示它已完成解析日志文件的百分比。是否有任何方法可以查看日志解析完成的进度?否,Logstash没有内置的进度条功能。大多数情况下,这没有任何意义,因为Logstash旨在连续处理不断增长的日志,而实际上没有任何“完成”
您可以将sincedb文件的内容与相应文件的文件大小关联起来。sincedb文件是Logstash在文件中存储当前偏移量的位置。文件格式的确切描述见
我的日志存储服务将日志作为每日索引发送到elasticsearch
elasticsearch {
hosts => [ "127.0.0.1:9200" ]
index => "%{type}-%{+YYYY.MM.dd}"
}
Elasticsearch是否提供API在特定日期前查找索引
例如,我如何获得在2015-12-15之前创建的索引?我想您正在寻找索引查询看看
以下是一个例子:
GET /_search
{
"query": {
我已经设置了logstash,正在使用“默认”系统日志过滤器,如下所示:
filter {
if [type] == "syslog" {
grok {
match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDAT
我试图解析日志,并使用logstash将其放入弹性搜索中
我的日志文件的格式如下
[18-Aug-2016 02:28:46,537][ERROR][thread1][package.name] there is error in line 52
\[%{GREEDYDATA:date} %{GREEDYDATA:time}\]\[%{LOGLEVEL:log_type}\]\[%{GREEDYDATA:thread_name}\]\[%{GREEDYDATA:package}\](%{GRE
我有一个主机名字段,它通过filebeat进入我的logstash实例,并被传递到ElasticSearch,在那里它被视为一个分析字段。这导致了问题,因为字段本身需要在其整体中报告
示例:了解有多少请求到达“prd-awshst-x-01”,而不是将这些请求拆分为prd、awshst、x、01
有没有人有一种轻量级的方法可以用于可视化
谢谢,根据您文章的标题,您已经知道需要将字段映射更改为“未分析”
您应该设置一个模板,以便将来的索引包含此映射
如果要保留现有数据,必须使用新映射将其重新索引到
我第一次使用Logstash。我在Windows 10上
我尝试从如下输入/文件夹访问多行json文件:
input
{
file
{
codec => multiline
{
pattern => '^/{'
negate => true
what => previous
}
p
在过去的两天里,我在谷歌上搜索,在www.elastic.co上寻找信息,但我仍然感到困惑。以下是我的实际情况:
我在上个月学习并建立了麋鹿服务。我通过logstash将我的日志导入elasticsearch
但我在制作可视化图表时遇到了一个问题,我需要求和一个字段来完成此操作,但我得到了一个错误:
this field type is string,need number to sum!
计算总和需要一个数字,这很有意义,因此我尝试将字段类型从string更改为number(long)
我
我的logstash过滤器在调试器中是正确的,但在搜索我在kibana中测试的确切消息时不显示字段。这是我的过滤器:
filter {
if [type] == "syslog" {
grok {
match => { 'message' => '%{SYSLOG5424LINE}' }
}
syslog_pri {
syslog_pri_field_name => 'syslog5424_pri'
}
date {
我正在使用相同版本5.4.0和filbeat版本5.4.1的EL和LS。这是配置。
--------------elasticsearch.yml
cluster.name: elasticsearch
node.name: node1
node.attr.rack: r1
path.data: /path/to/data
path.logs: /path/to/logs
bootstrap.memory_lock: true
network.host: 0.0.0.0
http.port: 9
这两个选项的有效日志存储配置是什么
else if [pipeline] == "tomcat_all" {
grok {
match => [ "message", "%{MONTH}%{SPACE}%{MONTHDAY},%{SPACE}%{YEAR}%{SPACE}%{HOUR}:?%{MINUTE}(?::?%{SECOND})%{SPACE}(?:AM|PM)%{SPACE}%{NOTSPACE:class}%{SPACE}%{NOTSPACE:type_log}%{
我已经使用zip文件启动了logstash、kibana和elasticsearch。我正在将一个csv文件从logstash接收到elastic search
input {
file {
path => "D:\tls202_part01\tls202_part01.csv"
start_position => "beginning"
}
标签:elasticsearch Logstash
elastic-stackfilebeat
我使用filebeat从远程服务器获取日志,并将其发送到logstash,这样它就可以正常工作。
但是,当新日志追加到源日志文件中时,filebeat从一开始就读取这些日志,并将其发送到logstash和logstash,将所有日志与elasticsearch中的旧日志一起追加到elasticsearch中,即使我们已经在elasticsearch中添加了这些旧日志,因此这里会重复日志
所以我的问题是如何将新添加的日志只发送到logstash。一旦新的日志行追加到日志文件中,那么这些新文件应发送
我使用Logstash将数据发送到Elasticsearch,使用jdbc作为输入,从MySQL表中获取数据。一切都很好,但我有一个问题,每当我删除索引时,我都不会得到与该索引中相同的数据。
Logstash是否像Filebeat一样维护注册表文件
我如何取回数据?有办法吗
任何帮助都将不胜感激。在日志存储输入中尝试clean_run=>true。这将将sql_last_值设置为1970年1月1日或0。在日志存储输入中尝试clean_run=>true。这将sql_last_值设置为1970年1
我想从logstash调用rest api,并想将其发送到elastic search,以在kibana仪表板中显示数据。但im gettig error-
[2019-12-23T16:55:24,887][ERROR][logstash.agent ] Failed to execute action {:action=>LogStash::PipelineAction::Create/pipeline_id:main, :exception=>"LogSt
标签: Logstash
python-3.7elastic-stackpopen
我目前正在尝试让一些Python代码使用Popen打开Filebeats子进程,处理一些数据,并将处理后的数据写入Filebeats子进程
然而,由于Popens stdin写入/通信需要二进制而不是字符串,我最终也会写入b。这会导致Logstash为无法识别的标记“b”抛出错误:应为('true'、'false'或'null')
是否可以卸下b?是否有更好的替代方案可以从python写入filebeats
from subprocess import Popen, PIPE
filebeats
我正在使用Metricbeat查询我的数据库并将结果发送到Logstash。其中一个查询返回一个日期列,该列可能包含空值,我们将其称为“records\u last\u failure”
我在logstash中得到以下错误:
[2020-12-29T15:45:59,077][WARN ][logstash.outputs.elasticsearch][my_pipeline] Could not index event to Elasticsearch. {:status=>400, :
我正在尝试将logstash(1.3.3)与ubuntu12上的elasticsearch(0.9+)连接起来。我没有使用嵌入式选项(它可以工作)。我正在尝试使独立设置正常工作。我可以启动elasticsearch。我已尝试通过logstash.conf文件连接到elasticsearch(尝试了0.0.0.0和127.0.0.1),但连接似乎不起作用。任何关于故障排除的想法都会有帮助
logstash.conf
output {
stdout {codec => rubydebug
在我的日志文件中,我有如下条目:
2014-06-25 12:36:18,176 [10] ((null)) INFO [s=(null)] [u=(null)] Hello from Serilog, running as "David"! [Program]
2014-06-25 12:36:18,207 [10] ((null)) WARN [s=(null)] [u=(null)] =======MyOwnLogger====== Hello from log4net, runni
我有一个复杂的grok过滤器表达式。。。是否可以获取此筛选器转换为的正则表达式?您可以使用一个简单的Perl脚本来读取模式文件,并将%{PATTERN}内容替换为它所基于的实际正则表达式--您需要对其进行一些自定义,但它显示了如何执行此操作:
#!/usr/bin/perl
# this is the path to your grok-patterns file
open(F,"patterns/grok-patterns");
while (<F>) {
chomp;
如果同一台机器上有两个弹性搜索实例,那么URL是什么?例如,一个Logstash配置文件重定向到嵌入式弹性搜索,另一个指向同一台机器上的外部ES实例。
如何区分两者
默认情况下,我们使用URL:http://:9292访问KIBANA。到目前为止,如果这两个elasticsearch实例不在同一集群中,KIBANA 3不支持这一点。因此,您必须为每个elasticsearch实例设置两个kibana
您可以按照此操作了解所需的功能
我试图在Ubuntu12.04中启动Kibana4作为一项服务。请任何人帮助如何设置为服务
我引用了这些链接来编写脚本,但它不起作用
init脚本中似乎有一个小错误。PID_文件变量使用$NAME变量,但直到稍后才定义名称。将NAME变量移到PID_文件变量之前。初始化脚本中似乎有一个小错误。PID_文件变量使用$NAME变量,但直到稍后才定义名称。将NAME变量移到PID_文件变量之前。下面的代码适用于我
#!/bin/sh
KIBANA_EXEC="/opt/kibana/bin/kiban
我已尝试在centOS 6.6上安装ELK stack
我不能继续了,我被困在旋涡里了
无法连接到主机
你没有提供太多的信息来作为回答的依据,所以给你任何具体的帮助都有点困难。您应该重新开始安装,仔细地逐步完成每个需求。我建议将以下指南作为起点,其中包括一些疑难解答提示:
如果您编辑您的问题以准确解释您的问题所在,我可以修改我的答案以解决任何具体问题。Elasticsearch正在运行吗?它是否在本地主机上运行?你能从你的机器上用telnet/nc连接到那个端口吗?我能在机器上安装腻子。我禁用了
我已经安装了ELK并在我的机器中工作,但现在我想根据事件消息进行更复杂的过滤和字段添加
具体来说,我想根据消息模式设置“id_error”和“descripcio”
我已经在“logstash.conf”文件中尝试了很多代码组合,但无法获得预期的行为
有人能告诉我我做错了什么,我必须做什么,或者这是不可能的吗?提前谢谢
这是我的“logstash.conf”文件,以及我所做的最后一次测试,没有在Kibana中捕获任何事件:
input {
file {
path =&g
我正在使用logstash进行集中式日志记录。我在shipper节点上使用logstash forwarder,在collector节点上使用ELK stack。我想知道日志在elasticsearch中的存储位置。我没有看到在日志存储位置创建的任何数据文件。有人知道这一点吗
登录到运行Elasticsearch的服务器
如果是ubuntu框,请打开/etc/elasticsearch/elasticsearch.yml
查看path.data配置
文件存储在该位置
祝你好运。我同意@Tomer
我使用logstash解析了两个access日志文件,在命令提示符中显示了正在解析的两个日志文件。当我在“任意请求”选项卡中检查elasticsearch头时,它也显示了所有解析的日志
但是当我试图在Kibana上查看它时,它只显示第一个文件的日志。如何查看其他文件的日志
这是我的.conf
input {
file {
path => ["G:/logstash-1.5.0/bin/tmp/*_log"]
start_position => "beginning
我对Logstash一无所知。谁能告诉我要添加到配置文件中的过滤器,以便使用Logstash分隔以下日志行
“2011/08/10 09:47:23.449598,0.001199,udp,203.136.22.3715306,147.32.84.22913363,CON,0,0,2317,64,流量=背景udp已建立”
我希望上面的行返回一个JSON对象,如下所示:
{
TimeStamp: 2011/08/10 09:47:23.449598
Value: 0.001199
protocol
我有以下索引:
POST /cars/transactions/_bulk
{ "index": {}}
{ "price" : 10000, "color" : "red", "make" : "honda", "sold" : "2014-10-28" }
{ "index": {}}
{ "price&
我刚开始学习弹性搜索,并尝试通过logstash将IIS日志转储到ES,看看它在Kibana中的效果。
已成功设置所有3个代理,并且它们运行时没有错误。但是,当我对存储的日志文件运行logstash时,这些日志不会显示在Kibana中。
(我使用的ES5.0没有“head”插件)
这是我在logstash命令中看到的输出
Sending Logstash logs to C:/elasticsearch-5.0.0/logstash-5.0.0-rc1/logs which is now
我有一个来自日志文件的时间戳,比如{ts:1486418325.948487}
我的基础架构是filebeat 5.2.0->elasticsearch 5.2
我尝试将ts映射到date-epoch_second,但在filebeat中es写入失败
PUT /auth_auditlog
{
"mappings": {
"auth-auditlogs": {
"properties": {
"ts": {
"type": "date
我正在解析一组日志,其中一个字段给了我问题。
格式是
标题、日期等字段1=数据,字段2=数据,字段3=数据,字段4=数据
我有一个通用的解析器,它读起来像
match => [ "message","%{DATA:..header..} %{DATA}=%{DATA:service},%{DATA}=%{DATA:roles}],%{DATA}=%{DATA:macaddress},%{DATA}=%{DATA:nasip}"]
有时,角色字段的值部分如下所示
值,[Admin]。这由%
标签:elasticsearch Logstash
logstash-groklogstash-configuration
我让filebeat将文件发送到Logstash。
我在仓库里有一些过滤器。看起来是这样的:
filter {
if [message] =~ /user/{
mutate {
gsub => ["message", "user \[(.*?)] was", "user [] was"]
}
}
}
它基本上删除了用户数据,因为我不希望它们出现在日志中。因此,它执行以下操作:
使用者[myemail@email.com]-
我的输入看起来像:
"message" => "ERROR | [default task-55] my.package.className(Class.java:184) | - logstash-ERROR LOG\r",
我的日志存储配置:
filter {
grok {
match => {"message" => "%{WORD:logLevel} | %{WORD:task} %{W
如果在日志中打印给定点的纬度和经度,如何捕获这些信息,以便在弹性搜索中将其作为地理空间数据处理
下面我展示了Elasticsearch中与日志行对应的文档示例:
{
"_index": "memo-logstash-2018.05",
"_type": "doc",
"_id": "DDCARGMBfvaBflicTW4-",
"_version": 1,
"_score": null,
"_source": {
"type": "elktest",
"m
是否可以使用过滤器部分中的logstash从redis获取密钥值
比如说
我有一个包含用户名的日志文件。在logstash的filter部分,我可以解析我的日志事件并从中提取用户名
现在我还有一个redis服务器,它以键值格式保存用户角色,其中我的用户名是键,角色是值
是否可以使用logstash连接到redis,并在logstash的filter部分为用户获取相关角色。因为在角色的基础上,我必须做其他的转换
基本上,我想为redis从logstash发出get命令
配置示例:
input {
我的计划是使用Logstash过滤特定IP的日志文件
我从一个简单的IP过滤器开始,它应该删除所有非有效IP的行,然后删除
grok {
match => [ "ip_filter" , " %{IPV4:clientip}" ]
tag_on_failure => [ "_todelete" ]
}
所以每一个IP无效的行都应该被标记为delete,但是在Kibana我看到每一行都被标记为delete。你知道为什么吗
我的下一步将是删除所有带有“\u todelete”标记的行
我有一个项目,需要我把索引数据从elasticsearch拉到Splunk。可能吗
我提出了一个名为Elasticseach data integrator的工具,但它没有返回我在Splunk中查询的任何事件,我猜你指的是位于的Splunk应用程序。如果你按照那里的文档配置了应用程序,你可以联系开发人员寻求支持。在应用程序页面上有一个链接。By“Elasticsearch data integrator“我想你指的是位于的Splunk应用程序”。如果您已经按照文档中的说明配置了应用程序,您可以联
标签: Logstash
elastic-stacklogstash-configuration
我是个新手,不知道如何做下面的事情。
我有一个样本数据如下:
Column:Type
Incident Response P3
Incident Resolution L1.5 P2
...
我想将“响应”和“解决”两个词提取到一个新的列“SLA类型”
我正在寻找与以下SQL语句非常相似的内容:
case when Type like '%Resolution%' then Resolution
when Type like '%Response%' then Response
end a
我在ubuntu服务器上安装了ElasticSearchLogstash和kibana。在我启动这些服务之前,CPU利用率低于5%,在下一分钟启动这些服务之后,CPU利用率超过85%。我不知道为什么会这样。有人能帮我解决这个问题吗
提前谢谢 你的问题中没有足够的信息给你一个具体的答案,但我将指出一些可能的情况以及如何处理它们
你等得够久了吗?有时,在所有服务注册并完成引导之前,预热会消耗更高的CPU。如果你有一个相当小的机器,它可能会消耗更高的CPU,并需要更长的时间来完成
文件夹写入权限。如果
我使用logstash将JSON格式的事件转发给Elasticsearch,以启用临时日志分析。我需要识别和查看未编制索引的事件/日志消息。(“无法将事件索引到Elasticsearch”,主要原因是分析错误、数据中的动态映射不匹配。)
是否有办法将错误消息配置为包含源文件和偏移量,以便将错误链接到特定事件
或者,“跟踪”级调试提供所需的详细级别。(错误消息和事件)是否有方法仅为那些无法索引的事件提供跟踪级别的详细信息?(即,对于已成功索引的数百万个事件,避免记录该级别的日志。)或者将错误消息和
我有一个简单的Json文件日志,需要将其传递到elasticsearch。它包含与此类似的结构
{
"component_name": "abc",
"abc": "this is abc",
"component_action": "action"
}
在传递到elasticsearch时,我需要根据“component_name”字段的值将列名列入白名单。在上
是否有一个grok模式从这个字符串中提取时间戳和日期
21:11:51:569/UTC(11/5/2015)
?
我能够分别使用grok模式日期和时间。但不是在一起
下面的模式有效
%{TIME:time} -- 21:11:51:569/UTC
%{DATE_US:date} -- (11/5/2015)
但是,完整的字符串21:11:51:569/UTC(11/5/2015)没有使用%{TIME:TIME}|%{DATE\u US:DATE}进行评估,我想你问了6个问题;我们看看我能不能把
标签:elasticsearch Logstash
logstash-configuration
我仍然需要解决一些问题,如何告诉Logstash基于文档字段发送动态索引。此外,必须对该字段进行转换,以便在最后获得“真实”索引。
假设有一个字段“time”(是UNIX时间戳)。此字段已通过“日期”筛选器转换为弹性的DateTime对象。
此外,它还应作为索引(YYYYMM)提供服务器。索引不应从@Timestamp派生,因为@Timestamp未被触及
例如:
{…,“时间”:1453412341,}
将转到索引:201601
我使用以下配置:
filter {
date {
m
上一页 1 2 3 4 5 6 ...
下一页 最后一页 共 77 页