我计划集中来自操作系统的所有日志,由某人(nginx,sshd,...)和我自己的应用程序提供的应用程序。
所有日志最终都落在/var/log
的某个文件中,因此我计划使用Beats将其内容转发给Logstash。我希望解析遵循决策树:
process
是myownapp.py
➜消息的内容是一个JSON字符串➜转发到Elasticsearch,但也合并上面提取的字段
如果process
是anotherofmyapps
➜消息的内容遵循一种模式➜将其删入字段,添加第一步的提取字段➜发送到ES
如果process
是其他任何东西➜发送所有字段(包括原始消息)到ES是否存在根据以前提取的字段进行链接的情况?
如果在配置中创建了一个字段,则该配置的其余部分可以使用该字段,因此您可以在以后的条件表达式中使用它。