Como dividir o evento Logstash contendo várias vezes o mesmo padrão

Estou lendo uma entrada formatada em xml e estou tentando extrair cada linha de uma tabela html como um evento separado. Por exemplo, se minha entrada for: <xml> <table> <tr> <td> 1 </td> <td> 2 </td> </tr> <tr> <td> 3 </td> <td> 4 </td> </tr> ...

Configurando o Elasticsearch Analyzer para novos campos no logstash

Usando

logstash + elasticsearch: recarrega os mesmos dados

Analisando JSON no Logstash

Eu tenho alguns arquivos de log gerados porLog4J2 [http://logging.apache.org/log4j/2.x/]. Estou produzindo os logs em um arquivo .json usando o JSONLayout no arquivo de configuração log4j2.xml. Meu JSONLayout é definido assim: <JSONLayout ...

Extraindo campos do logstash do caminho do arquivo de entrada?

Quero ler meus arquivos de log de vários diretórios, como:Server1, Server2... Server1 possui subdiretórios comocron, auth... dentro desses subdiretórios é olog file respectivamente. Então, estou pensando em ler arquivos como este: input{ file{ ...

Atualizando a configuração padrão number_of_replicas do índice para novos índices

Tentei atualizar o número de réplicas da seguinte maneira, de acordo com o documentação [http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/indices-update-settings.html] curl -XPUT 'localhost:9200/_settings' -d ' { "index" : { ...

O logstash pode ler diretamente do log remoto?

Eu sou novo no logstash e estou lendo sobre isso a partir de alguns dias. Como a maioria das pessoas, estou tentando ter um sistema de registro centralizado e armazenar dados na pesquisa elástica e, posteriormente, usar o kibana para visualizar ...

logstash _grokparsefailure issues

Estou tendo problemas com a análise do grok. No ElasticSearch / Kibana, as linhas que eu correspondo aparecem com a tag _grokparsefailure. Aqui está minha configuração do logstash: input { file { type => logfile path => ["/var/log/mylog.log"] } ...

Logstash - Uso do plugin Memorize

Tentando usar o plug-in "memorizar" da seguinte maneira: if [message] =~ /matching event/ { grok { match => [ "message", "%{mymatch:datetime}" ] } memorize { field => [datetime] } } if [message] =~ /another event/ { mutate { add_field => { ...

Faça com que o logstash inclua entradas diferentes em índices diferentes

Eu configurei o logstash para usar um elastisearch incorporado. Eu posso registrar eventos. Meu logstash conf parece assim: https://gist.github.com/khebbie/42d72d212cf3727a03a0 [https://gist.github.com/khebbie/42d72d212cf3727a03a0] Agora eu ...