Ich bekomme über Mapper Parsing Error auf Elasticsearch beim Indizieren von Log von Dateibeat.
Ich habe beide Filebeat - & gt; Elasticserach und Filebeat - & gt; Logstash - & gt; ElasticSearch-Ansatz.
Ich habe ihre eigenen Dokumentationen verfolgt, ich habe die Dateibeat-Vorlage gemäß den Anweisungen installiert und verifiziert von Laden der Indexvorlage in Elasticsearch | Dateibezugsreferenz
Mein elasticsearch funktioniert normalerweise gut mit meiner anderen Datenindizierung und ich habe sie auf Kibana getestet. Es ist ein offizieller Hafenarbeiter Docker Hub | Elasticsearch Installation.
Viel gegoogelt ohne Glück, so wird jede Hilfe geschätzt.
UPDATE 1:
ES Version: 2.3.3 (ich glaube die letzte)
Vorlagendatei ist der Standard, der mit Dateibeat ausgeliefert wird.
%Vor%UPDATE 2: Du hast Recht, siehe
#/usr/share/filebeat/bin/filebeat --version
filebeat version 5.0.0-alpha2 (amd64), libbeat 5.0.0-alpha2
Obwohl das Apache-Protokoll in logstash geschrieben wird. Aber ich kann dieses vhost_combined Protokoll nicht im richtigen Format bekommen
sub1.example.com:443 1.9.202.41 - - [03/Jun/2016:06:58:17 +0000] "GET /notifications/pendingCount HTTP/1.1" 200 591 0 32165 "https://sub1.example.com/path/index?var=871190" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.102 Safari/537.36"
"message" => "%{HOSTNAME:vhost}\:%{NUMBER:port} %{COMBINEDAPACHELOG}"
Sie können "type": "keyword" nicht mit ES 2.3.3 verwenden, da dies ein neuer Datentyp in ES 5 ist (derzeit in alpha3)
Sie müssen alle diese Vorkommen durch
ersetzen %Vor% Sie müssen stattdessen filebeat.template-es2x.json verwenden.
Tags und Links elasticsearch logstash elk-stack filebeat