У меня есть простая конфигурация logstash, в которой я маршрутизирую (отправляю) журналы на вторичный logstash на основе имени хоста ритма, ниже приведена конфигурация основного / вторичного logstash. Я замаскировал здесь IP-адрес, но первичный logstash не отправляет какие-либо журналы на вторичный сервер.
1) Is it the if condition needs to have [host] or [agent][hostname] in primary logstash?
2) On secondary do I need to receive for UDP or TCP ?
Я попытался проверить o / p netstat на первичном и вторичном. На первичном узле не отображаются какие-либо результаты, а на вторичном узле отображаются.
sudo netstat -ulpat | grep 8011
Моя основная конфигурация logstash
input {
beats {
port => 5044
}
}
output {
elasticsearch {
hosts => ["http://<ip1>:9200","http://<ip2>:9200","http://<ip3>:9200"]
}
}
# stdout { codec => rubydebug }
}
output {
if [host] =~ "moaf-iws" {
udp {
host => "XX.XXX.XXX.XXX"
port => "8011"
}
}
}
Вторичное хранилище журнала
input {
beats {
port => 5044
}
}
input {
udp {
port => 8011
}
}
output {
elasticsearch {
hosts => ["http://<ip1>:9200","http://<ip2>:9200"]
}
}
stdout { codec => rubydebug }