logstash记录多个index,并用kibana访问

好久没更新了,呵呵。
最近有一个新需求,要求部分syslog日志需要长期保存,而不是只保存7天,需要进行特殊配置
首先,indexer配置文件需修改

output {
if [type] == "mySyslog-auditLog" {
    elasticsearch { host => "10.7.3.121"
    index => "logstash-syslog-auditlog-%{+YYYY.MM}"
    cluster => "elasticsearch-test-cluster"
    node_name => "indexer-10.64.0.1-beaver"
        }
    }
else {
    elasticsearch { host => "10.7.3.121"
    workers => 8
    cluster => "elasticsearch-test-cluster"
    node_name => "indexer-10.64.0.1-beaver"
        }
    }
}

同时kibana 的server也需要修改
将nginx配置中添加

location /syslog/ {
    root   /data/www/kibana;
    index  index.html  index.htm;
    ##将kibana配置文件指到config-syslog.js上
    rewrite ^/syslog/config.js$ /config-syslog.js;
    rewrite ^/syslog(.*)$ $1 break;
  }

修改config-syslog.js

kibana_index: "kibana-int-syslog”,

打开 http://10.64.0.1/syslog/index.html#/dashboard/file/guided.json
修改设置中的index为新输出的index格式 调整dashboard到想要的效果
存储dashboard就会生成新的kibana index
之后就可以直接访问http://10.64.0.1/syslog/查看长期保存的index了

还没有评论,快来抢沙发!

发表评论

  • 😉
  • 😐
  • 😡
  • 😈
  • 🙂
  • 😯
  • 🙁
  • 🙄
  • 😛
  • 😳
  • 😮
  • emoji-mrgree
  • 😆
  • 💡
  • 😀
  • 👿
  • 😥
  • 😎
  • ➡
  • 😕
  • ❓
  • ❗
  • 69 queries in 0.508 seconds