我在一台服务器上设置了一个 ELK 堆栈,在另外两台服务器上设置了 filebeat,以将数据直接发送到 logstash。
设置工作正常,我根据需要获得了日志结果,但是当我看到 Kibana UI(左侧)上的字段部分时,我看到“host.hostname”字段有两个服务器 fqdns(即“ip-113-331-116-35.us-east-1.compute.internal”, “ip-122-231-123-35.us-east-1.compute.internal” )
我想分别设置别名或将这些值重命名为 Production-1 和 Production-2 以显示在 kibana UI 上
如何在不破坏任何内容的情况下更改这些值
如果你需要任何代码sn-p,请告诉我
【问题讨论】:
您可以在 logstash 管道的过滤器块中使用 translate 过滤器来重命名这些值。
filter {
translate {
field => "[host][hostname]"
destination => "[host][hostname]"
dictionary => {
"ip-113-331-116-35.us-east-1.compute.internal" => "Production-1"
"ip-122-231-123-35.us-east-1.compute.internal" => "Production-2"
}
}
}
【讨论】:
由于字段 host.hostname 是 ECS 字段,我不建议重命名此特定字段。
在我看来你有两个选择:
1.) 在 Logstash 中创建管道
您可以在 Logstash 中设置一个简单的管道,在其中使用 mutate 过滤器插件并执行 add_field 操作。这将在您的活动中创建一个新字段,其值为 host.hostname。这是一个简单的例子:
filter{
if [host][hostname]{
mutate{
add_field => { "your_cool_field_name" => "%{[host][hostname]}" }
}
}
}
2.) 设置自定义映射/索引模板
您可以在自定义映射中定义字段别名。我推荐阅读this article about field aliases
【讨论】: