|
剛接手elk就被這個問題困惑過,,或許仔細閱讀官方文檔是最佳方式 提到的場景,F(xiàn)ilebeat 雖然能讀取不同的日志目錄,,但是在 Logstash 這邊,或者是 Elasticsearch 這邊,,怎么區(qū)分不同 application server 的日志數(shù)據(jù)呢,?
解決方案:Filebeat 的配置項 fields 或者 配置tags 可以實現(xiàn)不同日志來源的區(qū)分 filebeat.yml tags: ["tomcat-a"] fields:
log_source: tomcat-a
在logstash添加判斷條件 if "tomcat-a" in [tags] {
elasticsearch {
hosts => ["localhost:9200"]
index => "log1-%{index_date}"
}
}
|
|
|
