我在logstash里开了两个syslog端口,接收不同应用的日志。
/etc/logstash/conf.d/ouyu-sip_log.conf
/etc/logstash/conf.d/ouyu-conf_log.conf
只打开ouyu-conf_log.conf的时候,应用日志是正常的。但是同时打开ouyu-conf_log.conf 和 ouyu-sip_log.conf的时候,来自index名称为sip_logs的日志会出现在ouyu-conf_logs这个index下,不知道是什么原因导致两个index下的日志出现在同一个index下,请教如何解决,谢谢。
在kibana里建立的index分别是ouyu-conf_logs* 和 sip_logs*,是不是这两个index设置的有问题?
/etc/logstash/conf.d/ouyu-sip_log.conf
input {
tcp {
port => 10514
type => syslog
}
udp {
port => 10514
type => syslog
}
}
output {
elasticsearch {
hosts => ["127.0.0.1:9200"]
action => "index"
codec => line
index => "sip_logs"
}
}/etc/logstash/conf.d/ouyu-conf_log.conf
input {
tcp {
port => 10515
type => syslog
}
udp {
port => 10515
type => syslog
}
}
output {
elasticsearch {
hosts => ["127.0.0.1:9200"]
action => "index"
codec => line
index => "ouyu-conf_logs"
}
}只打开ouyu-conf_log.conf的时候,应用日志是正常的。但是同时打开ouyu-conf_log.conf 和 ouyu-sip_log.conf的时候,来自index名称为sip_logs的日志会出现在ouyu-conf_logs这个index下,不知道是什么原因导致两个index下的日志出现在同一个index下,请教如何解决,谢谢。
在kibana里建立的index分别是ouyu-conf_logs* 和 sip_logs*,是不是这两个index设置的有问题?
3 个回复
medcl - 今晚打老虎。
赞同来自: sailershen
sailershen
赞同来自: medcl
观察了一下日志,两个index的日志不再重复了,各自只显示来自相应syslog的数据,达到我的目的了,非常感谢 @medcl。
ziyou - 一个学习ELK的Java程序员
赞同来自: sailershen
1、在input里面添加一个indexName 字段,然后把两个输出合并成一个,输出才索引使用根据字段配置,示例如下:
2、第二个是和第一个异曲同工的做法,就是在日志lim里面直接加这个indexindexName字段,然后输出同上。
我们项目是使用的filebeat作为采集器的,我们在采集器中添了indexName字段,所有的日志收集到logstash里面的时候就带有这个字段,然后我们根据这个字段输出到不同的索引中。
PS:如果这个对你有帮助,请感谢、给赞啊,我的积分不多了。