我有一个redis服务器,logstash indexer服务器和一个elasticsearch服务器。如何让索引器服务器甚至发货人服务器在日志中包含 IP,以便更轻松地在 Kibana 中进行排序?或者这是在 elasticsearch 配置中完成的?
当您输入日志到 logstash 时,logstash 将创建一个事件并为事件添加主机名。Logstash 使用主机名而不是 IP,因为一台服务器将有多个 IP。例如,127.0.0.1、公共 IP 等,因此它不知道要使用哪个 IP。所以日志使用主机名。
做到了。我添加了这个:
filter {
dns {
add_field => [ "IPs", "Logs, from %{host}" ]
}
}
filter {
dns {
type => [ "MESSAGES" ]
resolve => [ "host" ]
action => [ "replace" ]
}
}
我使用双重过滤器的原因是,在"替换"覆盖 IP 地址的主机值后,我仍然能够保留主机名。