0
當我試圖使用logstash通讀配置文件時,我想出了地圖解析錯誤。logstash映射分析錯誤狀態400
:響應=> { 「指數」=> { 「_指數」=> 「logstash-2016年6月7日」, 「_type」=> 「TXT」, 「_id」=>零, 「狀態」 => 400, 「error」=> {「type」=>「mapper_parsing_exception」,「r eason」=>「無法對 解析映射[默認]:映射定義爲[數據]具有 不支持的參數: ignore_above:1024]「, 」causes_by「=> {」type「=>」mapper_parsing_exception「,」reason「=>」映射 [data]的定義不支持參數:[ignore_above: 1024]「}}}} },:level =>:warn}←[0m
我發現我的日誌沒有問題,只是不知道錯誤的原因是什麼。
這裏是我的logstash.conf
input{
stdin{}
file{
type => "txt"
path => "C:\HA\accesslog\trial.log"
start_position => "beginning"
}
}
filter{
grok{
match => {"message" => ["%{IP:ClientAddr}%{SPACE}%{NOTSPACE:access_date}%{SPACE}%{TIME:access_time}%{SPACE}%{NOTSPACE:x-eap.wlsCustomLogField.VirtualHost}%{SPACE}%{WORD:cs-method}%{SPACE}%{PATH:cs-uri-stem}%{SPACE}%{PROG:x-eap.wlsCustomLogField.Protocol}%{SPACE}%{NUMBER:sc-status}%{SPACE}%{NUMBER:bytes}%{SPACE}%{NOTSPACE:x-eap.wlsCustomLogField.RequestedSessionId}%{SPACE}%{PROG:x-eap.wlsCustomLogField.Ecid}%{SPACE}%{NUMBER:x-eap.wlsCustomLogField.ThreadId}%{SPACE}%{NUMBER:x-eap.wlsCustomLogField.EndTs}%{SPACE}%{NUMBER:time-taken}"]}
}
if "_grokparsefailure" in [tags] {
drop { }
}
}
output{
elasticsearch {
hosts => ["localhost:9200"]
index => "logstash-%{+YYYY.MM.dd}"
template_overwrite => true
}
stdout { codec => rubydebug }
}
請幫助。謝謝。
請將您的錯誤信息格式化爲更具可讀性。您也可能希望將主機名和潛在的敏感數據修剪掉。 –
錯誤是400,未能索引。請顯示您的logstash配置的輸出部分。 –
我只是試圖讓事情更清楚。謝謝您的幫助。 –