在logstash中使用Elasticsearch過濾器
[英]Using Elasticsearch filter in logstash
問題描述
我正在嘗試在 logstash 上使用彈性搜索過濾器來進行一些數據豐富。
我有兩個索引,我的目標是從其中一個獲取一些數據並將其添加到另一個中。
我配置了一個在我的 elasticsearch 中搜索的 logstash 過濾器,如果匹配,則輸出到索引。
但是我的過濾器無法正常工作,因為當我測試過濾器時出現此錯誤
[WARN ] 2020-10-02 19:23:09.536 [[main]>worker2] elasticsearch - Failed to query elasticsearch for previous event {:index=>"logstash-*", :error=>"Unexpected character ('%' (code 37)): expected a valid value (number, String, array, object, 'true', 'false' or 'null')\n
我認為模板中的變量和彈性搜索之間存在一些問題
我的 logstash 是 7.3.2,我的 ES 是 7.4.2
這是我的設置
Logstash.conf
input {
http{ }
}
filter {
elasticsearch {
hosts => ["127.0.0.1:9200"]
index => "logstash-*"
query_template => "search-by-ip.json"
fields => {
"id" => "[suscriberid]"
}
}
}
output {
stdout { codec => rubydebug }
}
-----------------
search-by-ip.json
{
"size": 1,
"query": { "match":{"IP": %{[ip]} } }
}
-------------------
testcase.sh
curl -XPOST "localhost:8080" -H "Content-Type: application/json" -d '{
"size": 1,
"query": { "match":{"ip": "192.168.1.4" }}
}'
```
Thanks!
1 個解決方案
解決方案1
0 2020-10-03 13:15:17
如果您曾經處理過沒有 [ip] 字段的事件,那么 sprintf 引用將不會被替換,您將收到該錯誤。
請注意,ip 和 IP 是不同的字段。 不確定 %{[ip]} 是否需要雙引號。
使用紅寶石過濾器的Logstash,如何控制ElasticSearch ID?
[英]Logstash using ruby filter, How are ElasticSearch id controll?
logstash-過濾日志並發送到不同的Elasticsearch集群
[英]logstash - filter logs and send to different elasticsearch cluster
發送到ElasticSearch之前,用logstash過濾特定的消息
[英]Filter specific Message with logstash before sending to ElasticSearch
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
在Logstash管道中使用Elasticsearch過濾器
使用紅寶石過濾器的Logstash,如何控制ElasticSearch ID?
Logstash elasticsearch https輸出過濾器
從Logstash過濾Elasticsearch的查詢
自定義GROK過濾器-Logstash-> Elasticsearch
使用grok的Logstash過濾器
Elasticsearch - 用逗號分割 - 分割過濾器 Logstash
logstash-過濾日志並發送到不同的Elasticsearch集群
發送到ElasticSearch之前,用logstash過濾特定的消息
使用logstash將文檔嵌套到elasticsearch
相關標簽