多個Filebeat輸入到Logstash設置不一樣的索引

時間 2020-06-12

標籤多個 filebeat 輸入 logstash 設置不一樣索引欄目日誌分析简体版

原文原文鏈接

需求

對每一臺機器上都裝一個filebeat，而後都指向同一個logstash，這時不一樣的filebeat傳輸的數據過來，須要輸出到不一樣的索引，nginx

辦法

在filebeat的配置文件裏添加 fields.service: nginx（可自定義）

filebeat.prospectors:
- type: log  
  enabled: true

  paths:
    - /var/log/nginx-json/access.log

  input_type: log
  fields.document_type: nginx
  fields.service: nginx
  tags: ["nginx"]

filebeat.config.modules:
 
  path: ${path.config}/modules.d/*.yml

  reload.enabled: false

output.logstash:
    hosts: ["10.0.0.5:5044"]

在Logstash的配置文件裏：添加 if [fields][service] == "nginx"{...}

output {
  if [fields][service] == "nginx"{
    elasticsearch {
       hosts => ["http://localhost:9200"]
       index => "h5-nginx-%{+YYYY.MM.dd}"
    }
  }
}

相關標籤/搜索