我的用例是将日志文件从各种应用程序发送到 Elasticsearch,以便我可以从 Kibana 中查看它们。
我想知道 Filebeat 是否可以配置为 grok 表达式,以便应用程序团队可以在他们的末端管理他们的日志解析并且中央日志系统/部署不受影响?如果可以,那么对 Logstash 的需求是值得怀疑的。我可以看到 Filebeat 支持多行表达式,但是我可以通过解析消息来定义其他 grok 表达式并添加/删除字段吗?
问问题
470 次
1 回答
1
Filebeat 不执行 grok 处理。因此,您需要将数据发送到 Logstash 进行处理。
Elasticsearch 5.0 中有一个名为Ingest Node的新功能,它允许在不需要 Logstash 的情况下执行一些简单的 grok 处理(即 Filebeat -> Elasticsearch)。
于 2016-05-20T15:31:18.007 回答