【问题标题】:Combine logs and query in ELK在 ELK 中结合日志和查询
【发布时间】:2015-04-10 08:43:24
【问题描述】:

使用 ELK (Elasticsearch-Logstash-Kibana) 堆栈,我将 syslog 日志从 *nix 盒子收集到 Logstash,并通过 Elasticsearch 将其发送到 Kibana。这是经典的一种场景。

我的 syslog 日志包括正常系统事件、squid 访问日志、captiveportal 登录日志等。 captiveportal 记录为

1423548430 2582 192.168.1.23 xx:ae:xx:e1:xx:99 mike.brown cc9aeb1210b39571 MTI= first

squid 访问日志记录为:

1423562965.228    482 192.168.1.23 TCP_MISS/200 1254 POST http://ad4.liverail.com/? - DIRECT/31.13.93.12 text/xml

在 Logstash 中,我过滤了强制门户日志,我得到了 client_ip="192.168.1.23"user_name="mike.brown",并且在 Logstash 配置中的不同过滤器中,我还过滤了 squid 访问日志,并且我得到了 src_ip="192.168.1.23"

我的问题是:如何查询获取用户名,其中 squid 访问日志的 client_ip 等于 Kibana 中强制门户的 src_ip?

【问题讨论】:

    标签: logging elasticsearch logstash kibana elastic-stack


    【解决方案1】:

    您不能在 elasticsearch 中进行连接。他们讨论了in this doc 的一些关系选项。

    【讨论】:

    • 这就是elasticsearch的弱点吗?我想是的,奇怪的是你有数据但你不能查询它。谢谢。
    • 我认为它是一个文档存储,而不是一个数据库。你会因为不能烤面包而责备自行车吗?
    • 你能把答案再扩展一点吗?这对我很重要 (stackoverflow.com/questions/33549171/…)
    猜你喜欢
    • 2017-05-13
    • 2018-07-02
    • 1970-01-01
    • 2016-06-21
    • 2020-03-19
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2020-03-02
    相关资源
    最近更新 更多