问题标签 [logstash-configuration]

我已经为 logstash 转发器配置文件添加了多个路径。但只有第一个有效。它不发送第二条路径的日志。我的配置文件。

我知道我可以在第一个路径块中将它们添加在一起并且它会起作用，但是我想添加两种不同的类型，我想这不能在一个路径块中完成。

我正在尝试使用 logstash 将整个文本文件作为消息提供给 ElasticSearch。我正在尝试使用多行编解码器，但我无法弄清楚我必须使用什么模式。((.|\n)*) 此正则表达式匹配所有文本，但这不适用于logstash。

}

我应该使用什么模式来匹配文本文件的所有内容？

我成功地使用logstash来解析json格式的事件并将它们发送到elasticsearch。每个事件都在单独的文件中创建。每个带有 .json 扩展名的文件一个事件。

当我使用“vi mydoc.json”创建文件时，Logstash 正确拾取文件，粘贴内容并保存。但是，如果我 cp 或 mv 文件，它不会被接收。

目标是自动将文件复制到目录，然后通过logstash解析它们。每个文件都有不同的名称和大小。我尝试查看 logstash 代码以找出它使用的属性，但找不到相关代码。我也尝试删除 .sincedb 文件，但也没有帮助。

输入配置如下：

我怎样才能让 logstash 拾取复制的文件？它使用什么文件统计属性来检查文件是否是新文件？

谢谢

我正在使用 ELK 和 Logstash-forwarder。我正在尝试使用一个 logstash 实例将数据发送到多个 elasticsearch clusters。我的伐木工人输出配置看起来像

当我这样写第二个elasticsearch块时，它会淹没我的logstash日志

{:timestamp=>"2015-07-22T00:02:53.274000+0000", :message=>"Lumberjack 输入：管道被阻塞，暂时拒绝新连接。", :level=>:warn}

如本 Logstash 讨论线程中所述。我发现只有这个旧的谷歌小组讨论有一个类似的案例，但评论中只有一个提到它应该有效。我检查了输出插件的文档，但据我所知，没有提到在一个输出插件 conf 文件中使用相同的输出块。

我错过了一些明显的东西吗？

假设我有这个日志文件：

我可以实现哪些过滤器/grok 方法将它们分成不同的字段？如果我使用分号作为分隔符，最后一行数据会有所不同，因为分号比其他行多。我应该使用 If else 语句将其分开吗？

这是我的 logstash.conf 文件。我正在尝试使用 logstash-output-zabbix 插件进行警报。但是得到这个错误......

我有一个ELK在 zabbix 服务器中命名的主机，它带有一个log_getter项目并hello作为密钥（Zabbix 陷阱）。

我的日志文件是这样的：

这是我运行的配置文件：

在我的 Kibana 中，我的字段与我指定的字段有些不同。此外，它的时间戳是我使用配置文件启动 logstash 的时间。有一个领域是

从我的 grok 中，我已经过滤了它。我需要变异来添加字段吗？抱歉，我不是 ELK 的专家，我有兴趣了解并了解更多信息。

我有一个 Logstash 配置，我一直在使用它来转发电子邮件中的日志消息。它使用jsonandjson_encode来解析和重新编码 JSON 日志消息。

json_encode用于漂亮地打印 JSON，这使得电子邮件看起来非常漂亮。不幸的是，随着最近的 Logstash 升级，它不再漂亮了。

有什么方法可以将漂亮的事件形式放入可用于电子邮件正文的字段中？我可以使用 JSON、Ruby 调试或大多数其他人类可读格式。

我有一个这样的logstash配置：

我有一吨

数据都应该按顺序进入同一个文件，因此应该在更新之前创建内容。这不会发生在所有项目上，但有很多。我希望没有这些错误。

这是因为不同的flush_sizes吗？尽管项目在原始文件中是按顺序排列的，这意味着 INSERT 总是在 UPDATE 之前。

任何想法将不胜感激！

我需要删除键为 404 的条目。我当前的过滤器似乎不起作用。

我只需要删除该字段而不是整行。