Я пытаюсь отправить данные в Elasticsearch с помощью logagent, но, хотя кажется, что при отправке данных не возникает никаких ошибок, индекс не создается в ELK. Я пытаюсь найти индекс, создав новый шаблон индекса с помощью графического интерфейса Kibana, но индекс, похоже, не существует. Это мой logagent.conf прямо сейчас:
input:
# bro-start:
# module: command
# # store BRO logs in /tmp/bro in JSON format
# command: mkdir /tmp/bro; cd /tmp/bro; /usr/local/bro/bin/bro -i eth0 -e 'redef LogAscii::use_json=T;'
# sourceName: bro
# restart: 1
# read the BRO logs from the file system ...
files:
- '/usr/local/bro/logs/current/*.log'
parser:
json:
enabled: true
transform: !!js/function >
function (sourceName, parsed, config) {
var src = sourceName.split('/')
// generate Elasticsearch _type out of the log file sourceName
// e.g. "dns" from /tmp/bro/dns.log
if (src && src[src.length-1]) {
parsed._type = src[src.length-1].replace(/\.log/g,'')
}
// store log file path in each doc
parsed.logSource = sourceName
// convert Bro timestamps to JavaScript timestamps
if (parsed.ts) {
parsed['@timestamp'] = new Date(parsed.ts * 1000)
}
}
output:
stdout: false
elasticsearch:
module: elasticsearch
url: http://10.10.10.10:9200
index: bro_logs
Может быть, мне нужно создавать сопоставления индекса вручную? Я не знаю.
Спасибо за любой совет или понимание!