主页 / server / 问题 / 576479
Accepted
Eric
Asked: 2014-02-19 07:13:03 +0800 CST

ElasticSearch 多索引和路由

  • 772

目前我有以下设置。

系统日志 --> Logstash --> ElasticSearch --> Kibana

Logstash 正在创建一个每日索引“/etc/elasticsearch/data/test-elasticsearch/nodes/0/indices/logstash-2014.02.04”,我正在通过 Kibana 查看所有日志。我们希望使用 kibana-authentication-proxy 设置来设置一些基于用户的访问控制,因为它支持 Per-user kibana 索引。现在您可以将索引 kibana-int-userA 用于用户 A,将 kibana-int-userB 用于用户 B log”被发送到 unix-2014.02.04 的新索引,而不是 logstash 索引。这样我就可以使用 Kibana auth 代理让我的 UNIX 用户只访问他们的日志。我已经阅读了一些有关创建映射的内容,但不确定如何将它们联系在一起。

谢谢,

埃里克

logging

1 个回答

  1. Best Answer

    我发现您可以使用输入和输出过滤器在 logstash 配置中执行此操作。新的 if 方式如下所示,但我还没有让它工作。

    input {
  file { 
    type => "unixlogs"
    path => "/var/log/UNIX/*.log"
  } 
}

output {
  if [type] == "unixlogs" {
    elasticsearch { 
      host => "localhost"
      index => "unix-%{+YYYY.MM.dd}"
    }
  }
}

    以下是我开始工作的旧方法。

    file {
    type => "syslog"
    exclude => ["*.gz"]
    start_position => "end"
    path => [ "/var/logs/Security/*.log"]
  }

file {
    type => "unix-syslog"
    exclude => ["*.gz"]
    start_position => "end"
    path => [ "/var/logs/UNIX/*.log"]
  }

output {
    elasticsearch {
    type => "unix-syslog"
    embedded => "false"
    host => "X.X.X"
    cluster => "my-elasticsearch"
    index => "unix-%{+YYYY.MM.dd}"
  }
    elasticsearch {
    embedded => "false"
    host => "X.X.X"
    cluster => "my-elasticsearch"
 }
}

    使用顶级方式,它只会写入您告诉它的一个索引。使用底部方式,UNIX 日志将写入 unix 索引和通用索引,因为它不是 if,只是 and。

    • 2

相关问题