我想为两个不同的系统创建两个单独的索引,这两个系统将数据发送到udp的logstash服务器设置-syslog。在Elasticsearch中,我创建了一个名为CiscoASA01的索引和另一个名为CiscoASA02的索引。如何配置Logstash来过滤来自第一个设备的所有事件进入CiscoASA01索引,以及将来自第二个设备的事件纳入第二个索引?谢谢。
最佳答案
您可以使用if分隔日志。假设您的第一台设备是CiscoASA01,第二台是CiscoASA02。
这是输出
output {
if [host] == "CiscoASA01"
{
elasticsearch {
host => "elasticsearch_server"
index => "CiscoASA01"
}
}
if [host] == "CiscoASA02"
{
elasticsearch {
host => "elasticsearch_server"
index => "CiscoASA02"
}
}
}
[host]是logstash事件中的字段。您可以使用它将日志分隔到不同的输出。希望这可以帮到你。
关于elasticsearch - Logstash索引,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27933414/