如何將logstash中的log/txt文件傳輸到elasticsearch

Question

因此，基本上我有一個日誌或文本文件，我想要使用ELK進行可視化。我可以在系統上設置elasticsearch和kibana。這是我現在的logstash配置文件。

input { file { 
    path => "G:/everything.log" 
    start_position => "beginning" 
} } 

filter { 

} 

output { 
    elasticsearch { hosts => ["localhost:9200"] 
    index => "example" } 
    stdout { codec => rubydebug } 
} 

當在瀏覽器中我打開http://localhost:9200/這是執行GET/_cat /索引之後所出現

{ 
    "name" : "1rtH6q6", 
    "cluster_name" : "elasticsearch", 
    "cluster_uuid" : "oicreqLyQ_iNiTrOQ0sYPQ", 
    "version" : { 
    "number" : "5.4.1", 
    "build_hash" : "2cfe0df", 
    "build_date" : "2017-05-29T16:05:51.443Z", 
    "build_snapshot" : false, 
    "lucene_version" : "6.5.1" 
    }, 
    "tagline" : "You Know, for Search" 
} 

我kibana控制檯

·V &漂亮

health status index   uuid     pri rep docs.count docs.deleted store.size pri.store.size 
yellow open .kibana  fxFjIS55Q9-qAgqLlPE0Cw 1 1   2   0  6.3kb   6.3kb 
yellow open windows_events YUBWMzRpRTmEdu6E2UoCXg 5 1   2   0  12.6kb   12.6kb 

請幫我解決這個問題

Answer 1

至於據我瞭解你的q uestion，你需要做幾件事才能在Kibana中顯示你的日誌。

1）根據你的日誌模式，你必須編寫合適的grok模式來解析你的日誌文件。您也可以使用Grok Debugger utility爲您的日誌編寫grok模式。

E.g.對於Apache訪問日誌神交模式將

filter { 
     grok { 
     match => { "message" => "%{COMBINEDAPACHELOG}" } 
     } 
     date { 
     match => [ "timestamp" , "dd/MMM/yyyy:HH:mm:ss Z" ] 
     } 
    } 

我建議你閱讀本official guideline。

一旦你的日誌文件解析正確，那麼你會看到數據將索引你的Elasticsearch索引。

爲了驗證你可以使用下面的數據獲取命令

curl -XGET 'localhost:9200/example/_search' 

2）在接下來的步驟中，您必須在kibana配置默認Elasticsearch索引圖案。供參考閱讀這些參考文獻

• define Your Index Pattern。
• Connect Kibana with Elasticsearch