【发布时间】:2015-03-20 04:15:06
【问题描述】:
我试图在我的logstash 配置中使用grok、mutate 和clone 将日志拆分为两个事件。 我的堆栈是非常标准的ELK(Elasticsearch、Logstash、Kibana)。
我正在创建一个格式如下的日志:
timestamp float integer
例如:
2015/01/19 21:48:12 24.7 32
2015/01/19 22:00:20 24.7 32
2015/01/19 22:01:11 24.7 32
2015/01/19 22:01:58 24.7 28
2015/01/19 22:02:28 23.7 28
(etc ...)
最后,我想要在 logstash 中发生两个事件,一个显然带有键 timestamp,type=sensorA 和 value=%{the value of the integer},另一个带有相同的时间戳和 value=%{value of the float} 和 type=sensorB。
到目前为止,我已经在logstash.conf 中提供了这个配置:
1.我的日志在我的输入中被标记为type=sensor:
input {
file {
path => "/var/log/sensors.log"
type => "sensor"
}
}
2.然后,我使用 grok、clone 和 mutate 来尝试拆分它们
if [type] == "sensor" {
# Extracts the values
grok {
match => { "message" => "(?<timestamp>%{YEAR}/%{MONTHNUM:month}/%{MONTHDAY:day} %{TIME}) %{NUMBER:sensorA:float} %{NUMBER:sensorB:int}" }
}
mutate {
update => [ "type", "sensorA" ]
}
# Clones the event
clone {
clones => ["sensorB"]
}
}
# So now I should have two events,
# one with type sensorA and one with type sensorB, no ? :
if [type] == "sensorA" {
mutate {
add_field => { "value" => "%{sensorA}" }
convert => ["value", "float"]
}
}
if [type] == "sensorB" {
mutate {
add_field => { "value" => "%{sensorB}" }
convert => ["value", "integer"]
}
}
但这并没有真正起作用,因为即使我得到两个不同类型的事件,它们都具有相同的值(始终是 sensorB 的值)。
怎么会?我感觉 logstash.conf 文件并没有真正以线性方式读取,但我找不到任何解决方案。
有什么提示吗?我在这里错过了一些非常明显的东西吗? 非常感谢
【问题讨论】:
标签: logging logstash logstash-grok