기술 및 비즈니스 로그와 같이 매우 다른 두 가지 유형의 로그가 있고 다음을 원한다고 가정 해 보겠습니다.
gelf출력을 사용하여 graylog2 서버로 라우팅됩니다 .elasticsearch_http출력을 사용하여 elasticsearch 클러스터에 저장됩니다 .내가 가진 것을 알고 Syslog-NG예를 들어, 구성 파일이 다음 파견되기 전에 별도로 처리 할 수있는 몇 가지 별개의 입력을 정의 할 수 있습니다; 어떻게 Logstash할 수없는 것 같다. 두 개의 특정 구성 파일로 하나의 인스턴스를 시작할 수 있더라도 모든 로그는 동일한 채널을 사용하고 동일한 처리를 적용하고 있습니다.
다른 유형의 로그가있는만큼 많은 인스턴스를 실행해야합니까?
답변:
다른 유형의 로그가있는만큼 많은 인스턴스를 실행해야합니까?
아니! 다른 유형의 로그를 처리하기 위해 하나의 인스턴스 만 실행할 수 있습니다.
logstash 구성 파일에서 다른 유형으로 각 입력을 지정할 수 있습니다 . 그런 다음 필터에서 if 를 사용 하여 다른 처리를 구별 할 수 있으며 출력에서도 "if"출력을 다른 대상으로 사용할 수 있습니다.
input {
file {
type => "technical"
path => "/home/technical/log"
}
file {
type => "business"
path => "/home/business/log"
}
}
filter {
if [type] == "technical" {
# processing .......
}
if [type] == "business" {
# processing .......
}
}
output {
if [type] == "technical" {
# output to gelf
}
if [type] == "business" {
# output to elasticsearch
}
}
이것이 당신을 도울 수 있기를 바랍니다 :)
type속성 (동일한 type => "value"구문)을 사용할 수도 있습니다 . 예 : gist.github.com/fairchild/3030472 문서 별 :이 입력으로 처리되는 모든 이벤트에 'type'필드를 추가합니다. 유형은 주로 필터 활성화에 사용됩니다. 유형은 이벤트 자체의 일부로 저장되므로 유형을 사용하여 웹 인터페이스에서 검색 할 수도 있습니다.
type => "value"출력에서 사용할 때 다음 메시지가 표시됩니다. "표준 출력에서 사용되지 않는 구성 설정"유형 "을 사용하고 있습니다. 사용되지 않는 설정은 계속 작동하지만 향후 logstash에서 제거 될 예정입니다. 다음과 같은 새 조건부에서도 이와 동일한 동작이 발생합니다 if [type] == "sometype" { stdout { ... } }. " 이전 댓글을 철회합니다. :)
type이미 입력에서 유형 필드가 있다면 속성이 적용되지 않습니다. 이것은 재정의되지 않는 특수 속성이며 문서화되어 있습니다. 나는 탄성에서 티켓을 오픈하고 사용하라고 권장 tags또는 add_field대신에type
여러 파일 입력에 태그를 사용했습니다.
input {
file {
type => "java"
path => "/usr/aaa/logs/stdout.log"
codec => multiline {
...
},
tags => ["aaa"]
}
file {
type => "java"
path => "/usr/bbb/logs/stdout.log"
codec => multiline {
...
}
tags => ["bbb"]
}
}
output {
stdout {
codec => rubydebug
}
if "aaa" in [tags] {
elasticsearch {
hosts => ["192.168.100.211:9200"]
index => "aaa"
document_type => "aaa-%{+YYYY.MM.dd}"
}
}
if "bbb" in [tags] {
elasticsearch {
hosts => ["192.168.100.211:9200"]
index => "bbb"
document_type => "bbb-%{+YYYY.MM.dd}"
}
}
}