3

我已将 logstash 配置为从一个 filebeat 端口获取输入。Filebeat 配置了两个不同的路径。是否可以将日志显示到两个不同的索引?

Logstash 输入部分:

input{
beats 
   {
     type => "stack"
     port => 5044
   }

Filebeat输入部分:

 prospectors:

  paths:
    - E://stack/**/*.txt
    - E://test/**/*.txt

现在我需要在一个索引中显示“堆栈”,在另一个索引中显示“测试”。如何配置logstash输出部分?

4

1 回答 1

1

您可以做的是使用type属性的知识来决定在哪个索引中存储正在处理的日志。

因此,您的elasticsearch输出可能看起来像这样,即根据type值,所选索引会有所不同。

output {
 elasticsearch {
   hosts => ["localhost:9200"]
   manage_template => false
   index => "%{type}"
 }
}
于 2016-03-15T09:18:21.140 回答