我有一个logstash服务器发送事件到弹性search服务器,显示结果在Kibana。 一切工作都很好,除了Kibana在主机领域显示2个名字。 我在logstash中使用下面的grokfilter。
^(?:<%{POSINT:syslog_pri}>)?%{SYSLOGTIMESTAMP:timestamp} %{IPORHOST:host} (?:%{PROG:program}(?:\[%{POSINT:pid}\])?: )?%{GREEDYDATA:message} 当我使用Grokdebugging器时,一切都被正确parsing出来。 但是,当我在Kibana中查看它时,它显示了这一点:
"host": [ "logstash1", "servername.domain.com" ],
其中logstash1是我的logstash服务器的名称,它正在parsing并发送到elasticsearch。 我不知道为什么它显示logstash服务器和实际的源作为主机。 我如何从主机字段中删除logstash1? 日志的一个例子是:
Dec 18 00:00:08 servername.domain.com pam_rhosts_auth[24233]: allowed to [email protected] as user1
签出覆盖选项http://logstash.net/docs/1.3.1/filters/grok#overwrite
grok{ ... overwrite => [ "host" ] ... }