Logstash delete type and keep _type

У меня есть клиент и сервер logstash.
Клиент отправляет лог-файлы с выходом udp логсташа на сервер, и сервер также запускает logstash для получения этих журналов. На сервере у меня есть json-фильтр, который вытаскивает форматированное сообщение json в полях фактического журнала, так что elasticsearch может их индексировать.Logstash delete type and keep _type

Вот мой код с сервера:

input{ 
    udp{} 
} 

filter{ 
    json { 
    source => "message" 
    } 
} 

output{ 
    elasticsearch{ 
    } 
}

И от клиента:

input{ 
    file{ 
    type => "apache-access" 
    path => "/var/log/apache2/access.log" 
    } 
} 

output{ 
    udp{ 
    host => "192.168.0.3" 
    } 
}

Этот код работает отлично, за исключением одной вещи:
В некотором смысле я получаю поле type дважды , один раз как type и один раз как _type, у них одинаковое содержание.

Я пытался удалить type -поле с mutate k-фильтра, как это:

mutate{ 
    remove_field => [ "type" ] 
}

, но этот фильтр удаляет как type поля (_type поле устанавливается по умолчанию: журналы).

Как сохранить поле _type и удалить поле type?

источник

2015-07-20 Klaus

хороший вопрос .... –

Можете ли вы дать полный файл конфигурации logstash ... –

@AnilkumarBathula Это все что важно, в полном файле конфигурации есть только больше входов, другой udp-порт и фильтр, который не связан с этой проблемой: 'mutate {add_field => {" program "=>" apache "}}' – Klaus

Это работает для меня таким образом:

input { 
    file { 
     add_field => { "[@metadata][type]" => "apache-access" } 
     path => "/var/log/apache2/access.log" 
    } 
} 

filter { 
    ...... 
    if [@metadata][type] == "xxx" { 

    } 
    ...... 
} 
output { 
    elasticsearch { 
     hosts => ["localhost:9200"] 
     index => "logstash-%{+YYYY.MM.dd}" 
     document_type => "%{[@metadata][type]}" 
    } 
}

@metadata и document_type

источник

2017-06-23 05:35:31 Carson

Logstash delete type and keep _type

ответ

Смежные вопросы