Ich habe Logstash eingerichtet, um ein eingebettetes Elastichearch zu verwenden.
Ich kann Ereignisse protokollieren.
Mein logstash conf sieht so aus:
Ссылка
Nun möchte ich einen weiteren udp-Eingang hinzufügen und diese Eingabe in einem anderen Index indizieren lassen.
Ist das irgendwie möglich? Ich würde es tun, um die Berichterstellung zu vereinfachen, sodass ich Systemprotokollereignisse in einem Index und Geschäftsprotokollereignisse in einem anderen Index haben könnte.
Verwenden Sie eine if Bedingung in Ihrem Ausgabeabschnitt, basierend auf z. Der Nachrichtentyp oder ein beliebiges Nachrichtenfeld ist für die Auswahl des Index von Bedeutung.
Oder, wenn der Nachrichtentyp direkt in den Indexnamen gehen kann, können Sie eine einzige Ausgabe-Deklaration haben:
%Vor%Tags und Links elasticsearch logstash