OpenDistro и индексы

0

1

Всем привет! Подскажите может чего делаю не так решил перейти на ELK Только от Амазона OpenDistro, Для теста взял mikrotik и создал два шаблона(что бы не плодить кучу шардов,+ в тесте реплики не нужны) для двух индексов syslog & netflow создал два файлика с конфигами mikrotik.conf

input {
    udp {
        type => "syslog"
        port => 5045
        }
}

filter {
  if [type] == "syslog" {
    grok {
      match => { "message" => "%{IPV4:client}"}
      add_tag => [ "contains_ip" ]
    }
    }
}

output {
  elasticsearch {
    hosts => ["https://localhost:9200"]
    user => l..
    password => l..
    ssl_certificate_verification => false
    index => "mikrotik-%{+YYY.MM.dd}"
    }
}

netflow.conf

input {
     udp {
       port => 9996
       type => "netflow9"
       codec => netflow {
         versions => [9]
       }
     }
}

output {
 if [type] == "netflow9" {
  elasticsearch {
    hosts => ["https://localhost:9200"]
    user => l..
    password => l..
    ssl_certificate_verification => false
    index => "netflow-%{+YYY.MM.dd}"
    }
  }
}

как только подключил netflow данные от потока начали поступать не только в индекс netflow, но и в индекс mikrotik т.е. в индексе микротик появились дополнительные поля от netflow, такая же фигня была и с nginx. Может я что то делаю не так, ведь так не должно же быть, разные индексы со своими полями. Подскажите где может быть ошибка. Спасибо.

Ссылка

←	Можно ли запретить воспринимать 0 как nullptr, если объявлен конструктор с nullptr_t?

Какая важная информация может быть доступна с дефолтной страницы Apache?

→

У тебя output в индекс microtik принимает всё подряд. Отфильтруй его так же, как отфильтровал netflow: через if [type].

GOMO88
(07.04.19 16:15:26 MSK)

Ответ на: комментарий от GOMO88 07.04.19 16:15:26 MSK

Спасибо! все заработало. может подскажешь еще плагин grok, учусь собирать и парсить метрики для этого в фильтрах делаю такие правила

match => [ "message" => "system,error,critical login failure for user %{WORD:user} from %{IP:src_ip} via %{WORD:src_type}]" 
add_tag => "login failure"

что бы потом построить дашборды,

но logstash не стартует ругается, может я не правильно делаю и так нельзя ?

taku
(07.04.19 17:44:35 MSK) автор топика

Ответ на: комментарий от taku 07.04.19 17:44:35 MSK

Сам себе разобрался :) днем легче разбираться чем ночью :)

taku
(07.04.19 19:56:16 MSK) автор топика

Ответ на: комментарий от taku 07.04.19 19:56:16 MSK

BTW, посоветую вместо logstash посмотреть на filebeat и fluentd

GOMO88
(08.04.19 00:03:05 MSK)

Ответ на: комментарий от GOMO88 08.04.19 00:03:05 MSK

filebeat на клиентских машинах удобен, но мне например надо распарсить логи GC, и куча других логов JVM машин, а они передаются в поле сообщение и если их не распарсить, то и метрики не вытащить. я еще буду на клиентских машинах ограничивать трафик через tc, вот задумался, что будет если приложение в апп сервере в JVM вызовет ошибку и сервер будет слать вместо обычного, кучу дополнительного лога, а т.к. скорость ограничена и буфер тоже, то что будет с логом который не попадет на сервер, по идеи он попадет на сервер позже когда ситуация нормализуется или все же лог будет потерян ?

taku
(21.04.19 18:52:21 MSK) автор топика

Ссылка

Привет! Подскажи, пожалуйста, какие права ты выдал учетке логстеш. В логах пишет 403 ошибку..no permissions for [indices:admin/create]. Вроде добавил в роль логстеш, но эффекта никакого

aleks02
(17.05.19 18:06:04 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Можно ли запретить воспринимать 0 как nullptr, если объявлен конструктор с nullptr_t?

General

Какая важная информация может быть доступна с дефолтной страницы Apache?

→

Похожие темы