0

我有相同类型的日志文件,它使用相同的 grok 模式进行匹配,但是它们位于不同的文件夹中,我想相应地标记它们。我该怎么办?

像这样的工作:

    filebeat.inputs:
    - type: log
      enabled: true

      paths:
        - /opt/IBM/WebSphere/server_one/SystemOut.log
      tags: ["server_one"]
        
      paths:
        - /opt/IBM/WebSphere/server_two/SystemOut.log
      tags: ["server_two"]
4

2 回答 2

0

您可以向事件添加自定义字段,然后在 Logstash 中使用条件过滤。

为此,您需要在 Filebeat 配置中定义多个探矿者。现在,将需要相同处理的文件分组到同一个探查器下,以便可以添加相同的自定义字段。

更多参考:https ://www.elastic.co/guide/en/beats/filebeat/1.1/multiple-prospectors.html

于 2021-03-03T16:01:39.550 回答
0

具有不同标签的多个日志条目有效。

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /opt/IBM/WebSphere/server_one/SystemOut.log
  tags: ["server_one"]

- type: log
  enabled: true        
  paths:
    - /opt/IBM/WebSphere/server_two/SystemOut.log
  tags: ["server_two"]
于 2021-03-04T11:13:19.267 回答