Возникли проблемы при создании условных выходных данных с помощью logstash с использованием полей метаданных

Question

Я хочу отправить данные winlogbeat в отдельный индекс, чем мой основной индекс. Я настроил winlogbeat для отправки его данных на мой сервер logstash, и я могу подтвердить, что я получил данные.

Вот чем я сейчас занимаюсь:

output {
  if [@metadata][beat] == "winlogbeat" {
    elasticsearch {
                                hosts => ["10.229.1.12:9200", "10.229.1.13:9200"]
                                index => "%{[@metadata][beat]}-%{+YYYY-MM-dd}"
                                user => logstash_internal
                                password => password
    stdout { codec => rubydebug }
       }
  else {
     elasticsearch {
                                hosts => ["10.229.1.12:9200", "10.229.1.13:9200"]
                                index => "logstash-%{stuff}-%{+YYYY-MM-dd}"
                                user => logstash_internal
                                password => password
                   }
       }
   }
}

Однако я не могу запустить logstash, используя эту конфигурацию. Если я удаляю операторы if и использую только один вывод эластичного поиска, который обрабатывает обычные данные logstash, он работает.

Что я здесь не так делаю?

Answer 1

У вас проблемы с скобками из вашей конфигурации. Чтобы исправить свой код, пожалуйста, смотрите ниже:

output {
    if [@metadata][beat] == "winlogbeat" {

        elasticsearch {
            hosts => ["10.229.1.12:9200", "10.229.1.13:9200"]
            index => "%{[@metadata][beat]}-%{+YYYY-MM-dd}"
            user => logstash_internal
            password => password
        }
        stdout { codec => rubydebug }

    } else {

        elasticsearch {
            hosts => ["10.229.1.12:9200", "10.229.1.13:9200"]
            index => "logstash-%{stuff}-%{+YYYY-MM-dd}"
            user => logstash_internal
            password => password
        }

    }
}

Надеюсь, это решит вашу проблему.