我在 AWS Elasticsearch 中设置了一个 ELK 堆栈。我正在将 Apache 日志摄取到 ELK 中,其中一个 apache 字段是虚拟主机。在 vhost 字段中,它将具有 www.domain.com 和 domain.com,我想将它们结合起来,以便我可以设置准确的搜索并通过 vhost 可视化数据。目前它将 www.domain.com 和 domain.com 分隔为单独的值。
123.456.7.89 - - [13/Feb/2017:18:56:19 +0000] thisdomain.com "GET /about.html HTTP/1.0" 200 1446 "-" "-" Server=aws8 SSL=- 634713 0
123.456.7.89 - - [13/Feb/2017:18:58:19 +0000] www.thisdomain.com "GET /services.html HTTP/1.0" 200 1446 "-" "-" Server=aws8 SSL=- 634713 0
我将这些数据输入到 AWS 中的 Elasticsearch 设置中,这给了我我的字段定义。也适用于 Cloudwatch。
[ip、用户、用户名、时间戳、虚拟主机、请求、状态码、字节、引用者、浏览器、服务器、ssl、timems、次]