我有以下2个配置文件:
电子邮件阅读器
input {
imap {
host => "imap.gmail.com"
user => "account@gmail.com"
password => "pass"
secure => true
port => 993
check_interval => 30
}
}
output{
elasticsearch {
hosts => ["localhost:9200"]
index => "mailbox-%{+YYYY.MM.dd}"
user => user
password => pass
}
}
防火墙 - 系统漫画
input{
syslog {
type => "syslog"
port => 55555
}
}
output{
elasticsearch {
hosts => ["localhost:9200"]
index => "fortigate-%{+YYYY.MM.dd}"
user => user
password => pass
}
}
我的问题是,由于未知原因,两个索引都会"混合"。含义"邮箱"的日志存储在邮箱索引和Fortigate索引中,并从" Fortigate"索引中存储并存储在Fortigate索引和邮箱索引中。我似乎以某种方式创建了一个重复索引,但我不知道这是怎么可能的。我试图重新创建"邮箱",但出现同样的问题。
弹性论坛上的某人最终帮助我弄清楚了。事实证明,LogStash需要调节才能将不同的数据转移到不同的索引。这是一个很好的例子:https://discuss.elastic.co/t/problem-with-enput-elasticsearch-data-data-data-duplicate-on-index/101981/5