gelf输出路由到graylog2服务器,elasticsearch_http输出存储到elasticsearch集群中。Syslog-NG,配置文件允许定义多个不同的输入,然后可以在分发之前单独处理它们;但是Logstash似乎不能这样做。即使可以使用两个特定的配置文件启动一个实例,所有日志都占用相同的通道并且应用相同的处理...我需要运行与不同日志类型相同数量的实例吗?
不需要!您只需运行一个实例来处理不同类型的日志。
在logstash配置文件中,您可以使用不同的type指定每个输入。 然后在筛选器中,您可以使用if来区分不同的处理方式, 并且在输出时,您还可以使用“if”输出到不同的目的地。
input {
file {
type => "technical"
path => "/home/technical/log"
}
file {
type => "business"
path => "/home/business/log"
}
}
filter {
if [type] == "technical" {
# processing .......
}
if [type] == "business" {
# processing .......
}
}
output {
if [type] == "technical" {
# output to gelf
}
if [type] == "business" {
# output to elasticsearch
}
}
希望这可以帮到你 :)
type属性(使用相同的type => "value"语法),这应该会减少配置文件中的额外格式化。示例:https://gist.github.com/fairchild/3030472 根据文档:将“type”字段添加到此输入处理的所有事件中。类型主要用于过滤器激活。类型存储为事件本身的一部分,因此您也可以使用类型在Web界面中搜索它。 - Tony Cesarotype => "value"时,会显示以下信息:“您正在使用在stdout中设置的已弃用的配置设置”type“。已弃用的设置将继续工作,但计划从logstash中删除。您可以使用新的条件语句来实现相同的行为,例如:`if [type] ==“sometype”{stdout {...}}”。"我收回之前的评论。 :) - Tony Cesarotype属性不会应用。这是一个特殊的属性,不会覆盖并且已经记录在案。我在Elastic中打开了一张工单,他们建议我使用tags或add_field代替type。 - BornToCode我使用了多文件输入的标签:
input {
file {
type => "java"
path => "/usr/aaa/logs/stdout.log"
codec => multiline {
...
},
tags => ["aaa"]
}
file {
type => "java"
path => "/usr/bbb/logs/stdout.log"
codec => multiline {
...
}
tags => ["bbb"]
}
}
output {
stdout {
codec => rubydebug
}
if "aaa" in [tags] {
elasticsearch {
hosts => ["192.168.100.211:9200"]
index => "aaa"
document_type => "aaa-%{+YYYY.MM.dd}"
}
}
if "bbb" in [tags] {
elasticsearch {
hosts => ["192.168.100.211:9200"]
index => "bbb"
document_type => "bbb-%{+YYYY.MM.dd}"
}
}
}
我认为logstash无法在输入部分读取超过2个文件。请尝试以下方法:
input {
file {
type => "technical"
path => "/home/technical/log"
}
file {
type => "business"
path => "/home/business/log"
}
file {
type => "business1"
path => "/home/business/log1"
}
}