Question

Я создаю ELK Setup и он работает нормально, однако я попадаю в ситуацию, когда хочу удалить определенные поля из данных системного журнала при обработке через logstash, например remove_field & remove_tagкоторый я определил в своем файле конфигурации logstash, но он не работает.

Требуются какие-либо оценки и советы экспертов для исправления конфигурации, чтобы она работала, большое спасибо за продвинутый уровень.

Мой файл конфигурации logstash:

[root@sandbox-prd~]# cat /etc/logstash/conf.d/syslog.conf
input {
  file {
    path => [ "/data/SYSTEMS/*/messages.log" ]
    start_position => beginning
    sincedb_path => "/dev/null"
    max_open_files => 64000
    type => "sj-syslog"
 }
}

filter {
  if [type] == "sj-syslog" {
    grok {
      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp } %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
      add_field => [ "received_at", "%{@timestamp}" ]
      remove_field => ["@version", "host", "_type", "_index", "_score", "path"]
      remove_tag => ["_grokparsefailure"]
    }
    syslog_pri { }
    date {
      match => [ "syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]
  }
 }
}
output {
        if [type] == "sj-syslog" {
        elasticsearch {
                hosts => "sandbox-prd02:9200"
                manage_template => false
                index => "sj-syslog-%{+YYYY.MM.dd}"
                document_type => "messages"
  }
 }
}

Образец данных, отображаемый на портале Kibana

syslog_pid:6662 type:sj-syslog syslog_message:(root) CMD (LANG=C LC_ALL=C /usr/bin/mrtg /etc/mrtg/mrtg.cfg --lock-file /var/lock/mrtg/mrtg_l --confcache-file /var/lib/mrtg/mrtg.ok) syslog_severity:notice syslog_hostname:dbaprod01 syslog_severity_code:5 syslog_timestamp:Feb 11 10:25:02 @timestamp:February 11th 2019, 23:55:02.000 message:Feb 11 10:25:02 dbaprod01 CROND[6662]: (root) CMD (LANG=C LC_ALL=C /usr/bin/mrtg /etc/mrtg/mrtg.cfg --lock-file /var/lock/mrtg/mrtg_l --confcache-file /var/lib/mrtg/mrtg.ok) syslog_facility:user-level syslog_facility_code:1 syslog_program:CROND received_at:February 11th 2019, 10:25:03.353 _id:KpHo2mgBybCgY5IwmRPn _type:messages
_index:sj-syslog-2019.02.11 _score: -

МОЙ Подробности ресурса:

ОСверсия : Linux 7

Версия Logstash : 6.5.4

leandrojmp · Answer 1 · 11 февраля 2019

Вы не можете удалить _type и _index, это те поля метаданных, которые необходимы для работыasticsearch, они содержат информацию о вашем имени индекса и отображении ваших данных, поле _score также является полем метаданных, сгенерированный во время поиска, его нет в вашем документе.

Удаление ненужных полей в файле конфигурации Logstash

Мой файл конфигурации logstash:

Образец данных, отображаемый на портале Kibana

МОЙ Подробности ресурса:

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Удаление ненужных полей в файле конфигурации Logstash

Мой файл конфигурации logstash:

Образец данных, отображаемый на портале Kibana

МОЙ Подробности ресурса:

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы