Logstash指定部分output的document_id

最新推荐文章于 2023-07-30 07:26:17 发布
最新推荐文章于 2023-07-30 07:26:17 发布
阅读量4.1k 收藏 3
点赞数
分类专栏: ELK 文章标签: elasticsearch es filter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42119008/article/details/108533741
版权

需求

有两个Filebeat进行日志采集,通过同一个logstash输出至ElasticSearch,其中一个采集器a中需要指定一个字段key_id为document_id,以确保以此字段进行重复过滤,另一个采集器b使用默认生成的document_id。

logstash配置

input {
    beats {
        port => 5044
        host => "0.0.0.0"
        ssl => false
    }
}

filter{
    if [fields][app_name] == "a"{
        grok {
            patterns_dir => ["/opt/logstash/patterns"]
            match => {
                "message" => "..."
            }
            overwrite => [ "message" ]
        }
        date {
            match => [
                "[time][log]", "ISO8601"
            ]
        }
        prune {
            whitelist_names => [ "@timestamp", "key_id"...]//保留字段中含有key_id
        }
    }
    if [fields][app_name] == "b"{
        grok {
            patterns_dir => ["/opt/logstash/patterns"]
            match => {
                "message" => "(?<message>.*)"
            }
            overwrite => [ "message" ]
        }
        date {
            match => [
                "[time][log]", "ISO8601"
            ]
        }
        prune {
            whitelist_names => [ "@timestamp", "message"]//保留字段中无key_id
        }
    }
}

output{
    if [key_id] {//若含有key_id的字段,对此字段进行转换为document_id,以确保对此字段的唯一性进行重复消息覆盖
        elasticsearch{
            hosts=>["es01:9200"]
            manage_template => false
            index => "%{[fields][app_name]}"
            document_type => "%{[@metadata][type]}"
            document_id => "%{key_id}"
        }
    } else {//一般不含key_id的输出不对document_id进行转换
        elasticsearch{
            hosts=>["es01:9200"]
            manage_template => false
            index => "%{[fields][app_name]}"
            document_type => "%{[@metadata][type]}"
        }
    }
}
为早日退休而奋斗
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用logstash这个插件的配置文件里,document_id的值里有大写导致值没变
chenqiaozhi的博客
06-25 1411
使用logstash同步mysql和elasticsearchs的时候,因为document_id => "%{sId}",里的sId有大写,我改成小写,elasticsearch图形界面的_id就可以或得正常值了
11.分布式文档系统_document id的手动指定与自动生成两种方式解析
lm324114的专栏
02-13 391
1、手动指定document id (1)根据应用情况来说,是否满足手动指定document id的前提: 一般来说,是从某些其他的系统中,导入一些数据到es时,会采取这种方式,就是使用系统中已有数据的唯一标识,作为esdocumentid。 举例:如果我们现在正在开发一个系统网站之类的,要给系统做一个搜索功能,这个时候系统会首先从系统内部的数据库中获取数据,而这个数据在数据库中肯定会有pr...
ESlogstash导入数据库,用其他字段做_id主键
bobier_zhao的博客
11-12 2400
ES版本: 6.2.1 logstash版本 6.2.1 目的:一次偶然在把mysql数据同步到ES,同步时在不经意间在mysql修改了几数据信息,导致在同步的过程中,在ES中加入大量重复数据,但是因为主键是自动生成,所以存在主键不同,但是数据相同的数据,在项目展示测试中有很多相同数据。 解决方法之一就是把sql主键也应用到ES,即使重复添加,也只是报错,而不是加入大量重复数据。 方式:配置了sql.config,开启了模板: ------------------------------------
分布式文档系统-document id的手动指定与自动生成两种方式解析(来自学习笔记:龙果学院ES课程)
涂作权的博客
06-03 880
1、手动指定document id (1)根据应用情况来说,是否满足手动指定document id的前提: 一般来说,是从某些其他的系统中,导入一些数据到es时,会采取这种方式,就是使用系统中已有数据的唯一标识,作为esdocumentid。举个例子,比如说,我们现在在开发一个电商网站,做搜索功能,或者是OA系统,做员工检索功能。这个时候,数据首先会在网站系统或者IT系统内部的数据库中,会...
Logstash file输入,无输出原因与解决办法
weixin_30698297的博客
12-18 889
1.现象 很多同学在用logstash input 为file的时候,经常会出现如下问题:配置文件无误,logstash有时一直停留在等待输入的界面 2.解释 logstash作为日志分析的管道,在实际场景中,日志量往往很大,因此不可能每次都是完整扫描一遍日志文件,然后导入。通常采用的办法就是增量读取。也就是读取新增量 NOTE:图1中的配置文件,在第一次运行的时候,是会有结果的。...
ELK-Logstash文件配置
最新发布
互联网知识分享
07-30 394
输入模块负责从数据源收集数据,过滤器模块对数据进行处理和转换,输出模块将处理后的数据发送到目标系统。的配置文件,可以定义不同的输入、过滤器和输出模块,实现对日志数据的收集、处理和传输。以上配置中,我们指定了日志文件的路径,并设置了从文件的开头开始读取数据,同时禁用了读取进度的保存。的配置文件中,可以使用各种插件和参数来定制数据收集、处理和传输的过程。主要用于数据的收集、过滤和转换,将不同源的日志数据统一处理,并将其发送到。提供了丰富的功能和灵活的配置选项,是实现日志分析和可视化的重要工具之一。
logstash-output-google_bigquery
05-22
Logstash插件 这是的插件。 它是完全免费和完全开源的。 该许可证是Apache 2.0,这意味着您可以随意使用它,但是您可以通过任何方式使用它。 文献资料 Logstash提供了自动为该插件生成文档的基础结构。 我们使用...
logstash-output-amazon_es:Logstash输出插件,用于将logstash事件签名并导出到Amazon Elasticsearch Service
05-02
logstash-output-amazon_es Logstash 6.0.0 <6> 6.0.0 此外,还测试了6.4.0及更高版本的logstash-output-amazon_es插件与Elasticsearch 6.5及更高版本兼容。 logstash-output-amazon_es 弹性搜索6.4.0+ 6.5+Amazon ...
logstash-filter-jdbc_streaming:可以使用数据库中的数据丰富事件的 Logstash 过滤器
05-30
这个 JDBC Streaming Filter Plugin 现在是的一部分; 在可能的情况下,该项目仍对该项目的修复向后移植到 5.x 系列保持开放,但应首先在上提交问题。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们...
logstash-output-kafka:Logstash 的 Kafka 输出
05-30
这个 Kafka 输出插件现在是的一部分。 在可能的情况下,该项目仍对该项目的修复向后移植到 8.x 系列保持开放,但应首先在上提交问题。 文档 Logstash 提供了基础设施来自动为这个插件生成文档。 我们使用asciidoc...
logstash-output-logio
05-14
logio输出插件 参见
logstash-output-clickhouse:实现Logstash的ClickHouse输出
05-25
output { clickhouse { headers => ["Authorization", "Basic YWRtaW46cGFzc3dvcmQxMjM="] http_hosts => ["http://your.clickhouse1/", "http://your.clickhouse2/", "http://your.clickhouse3/"] table =>
Logstash学习总结(四) 自定义导入elaticsearch时的id
liubowin的专栏
12-11 1615
output{     elasticsearch{         hosts =&gt; [ip,ip,ip]         index =&gt; "zx-1"         document_id =&gt; "%{serail_no}"     //serail_no为解析时的字段key    } }
document.uniqueID
sdlcn的专栏
01-23 3318
这两天来一直在写dom,郁闷与ie的不符合标准,火狐和ie的处理dom的不兼容。下面是一个兼容的例子,我可花费了很长时间。贴出来以备后用。ie和非ie 在解析dom 上有些区别,如何做到页面能在ie和非ie浏览器中都正常显示,就需要某种浏览器嗅探(sniffing)机制,使得在解析dom时能执行正确的方法。幸运的时,不用检查大量的不同的浏览器,假设只使用现代浏览器,脚本只需要在ie和其他浏览器
logstash同步父子文档
weixin_34110749的博客
05-08 541
父子文档,可以理解为关系型数据库中的一对多的关系。使用logstash同步MySQL数据,有时候需要同步父子文档。 使用ES父子文档功能需要满足两个条件 指定一个type是另一个type的父 在存储子文档的时候,通过parent参数指定父文档的Id 第一步:定义父子关系 curl -XPUT "http://localhost:9200/product?pretty" -d ' { "ma...
第二章 logstash - 输出插件之redis与es
weixin_33805743的博客
09-19 319
最常用的两个输出插件: redis es 一、redis 1、用法 1 output { 2 redis{ 3 batch =&gt; false 4 batch_events =&gt; 50 5 batch_timeout =&gt; 5 6 codec =&gt; plain ...
Elasticsearch入门笔记(Logstash数据同步)
KeePCoding
04-27 780
Elasticsearch 整合 SrpingBoot 引入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-elasticsearch</artifactId> <version>2.2.2.RELEASE</version> </dependency> 设置
ELK生态系统——logstash使用一般流程
LSY_CSDN_的博客
06-13 956
目录 1、logstash一般整体工作流程: (1)定义.conf配置文件: (2)查看logstash已安装插件: (3)安装logstash插件: (4)执行logstash命令: (5)查看执行结果数据: 2、Logstash的codec(通用)插件: 3、Logstash的input(数据来源)插件: 4、Logstashfilter(数据过滤)插件: 5、Logst...
Logstash数据处理服务的输出插件Output配置参数详解
江晓龙的博客
07-13 2453
output配置字段是将收集的日志数据存输出到生存储中,一般都是elasticsearch集群。常用字段配置:ES集群每个节点的地址信息。:指定存储到ES的哪个索引库。将从file日志文件中收集来的数据存储到ES索引库中。 当logstash收集到新的日志内容后会存储到ES索引库中。在kibana上关联es集群中的日志索引库,展示日志数据可视化。1)点击Stack Management—>索引模式—>创建索引模式2)输入关联es的索引名称,日志索引库每天都会生成新的,因此要采用通配符形式。3)增加一个时间戳
logstash同步时document_id重复
06-03
为避免这种情况,可以在 Logstash 配置文件中使用 `document_id` 选项来指定唯一的文档 ID。 例如: ``` output { elasticsearch { hosts => ["localhost:9200"] index => "my_index" document_id => "%{id}" ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值