我想为两个不同的系统创建两个单独的索引,这些系统将数据发送到 udp 的 logstash 服务器设置 - syslog。在 Elasticsearch 中,我创建了一个名为 CiscoASA01 的索引和另一个名为 CiscoASA02 的索引。如何配置 Logstash 以过滤来自第一台设备的所有事件进入 CiscoASA01 索引,以及来自第二台设备的事件进入第二个索引?谢谢你。
问问题
581 次
1 回答
2
您可以使用if来分隔日志。假设您的第一个设备是 CiscoASA01,第二个是 CiscoASA02。
这是输出
output {
if [host] == "CiscoASA01"
{
elasticsearch {
host => "elasticsearch_server"
index => "CiscoASA01"
}
}
if [host] == "CiscoASA02"
{
elasticsearch {
host => "elasticsearch_server"
index => "CiscoASA02"
}
}
}
这[host]是 logstash 事件中的字段。您可以使用它将日志分隔到不同的输出。
希望这可以帮到你。
于 2015-01-14T01:31:55.187 回答