logstash输出elasticsearch-动态生成索引名称
[英]logstash output elasticsearch - generate index name dynamically
问题描述
我正在使用Elastic和Logstash版本6.2.4。
Logstash输入配置为从Azure EventHub读取数据
input
{
azureeventhub
{
key => ""
username => "ReadAccess"
namespace => "myeventhubs"
eventhub => "logstash"
partitions => 2
consumer_group => "logstash-cg"
}
}
我的事件是JSON消息,像这样
{
"log": {
"event": "....."
},
"header": {
"remoteName": "foobar"
}
}
我需要在elasticsearch中为每个remoteName创建一个索引,因此我尝试将输出配置为remoteName ,如下所示:
output {
elasticsearch {
hosts => ["localhost:9200"]
index => "log-%{header.remoteName}-%{+YYYY.MM.dd}"
}
stdout { codec => rubydebug }
}
我希望找到一个名为: log-foobar-2018-04-22的索引。 但是没有用。
在Elasticsearch中,我找到了一个名为: log-%{header.remoteName}-2018-04-22
是否可以动态创建索引? 我需要如何配置logstash输入?
1 个解决方案
解决方案1
0 已采纳 2018-04-22 17:03:17
请尝试以下操作:
index => "log-%{[header][remoteName]}-%{+YYYY.MM.dd}"
领域参考
能够按名称引用字段通常很有用。 为此,您可以使用Logstash字段引用语法。
访问字段的语法为[fieldname]。 如果要引用顶级字段,则可以省略[]并仅使用fieldname。 要引用嵌套字段,请指定该字段的完整路径:[顶级字段] [嵌套字段]。
https://www.elastic.co/guide/zh-CN/logstash/5.2/event-dependent-configuration.html
在 Logstash 中,如何限制在 Elasticsearch 中转换为索引字段的日志中 JSON 属性的深度?
[英]In Logstash, how do I limit the depth of JSON properties in my logs that are turned into Index fields in Elasticsearch?
Logstash + Elasticsearch模板映射无法添加到Elasticsearch
[英]Logstash + Elasticsearch template mapping fails to add to Elasticsearch
如何使用logstash将压缩的json导入elasticsearch?
[英]How to import zipped json into elasticsearch using logstash?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Logstash:无法将事件索引到 Elasticsearch
动态生成 object 名称
logstash动态解析json以在输出中添加新字段
在 Logstash 中,如何限制在 Elasticsearch 中转换为索引字段的日志中 JSON 属性的深度?
Logstash - 将嵌套的 JSON 导入 Elasticsearch
Logstash + Elasticsearch模板映射无法添加到Elasticsearch
Logstash输出不正确
Logstash字段名称以
logstash输入json删除根以进行Elasticsearch索引编制
如何使用logstash将压缩的json导入elasticsearch?
相关标签