代码之家  ›  专栏  ›  技术社区  ›  Thomas Decaux

logstash:如果输出失败,则将事件发送到其他地方

logstash-configuration logstash
  •  -1
  • Thomas Decaux  · 技术社区  · 7 年前

    给出以下logstash管道: 

    input
{
    generator
    {
        lines => [
        '{"name" : "search", "product" : { "module" : "search" , "name" : "api"}, "data" : { "query" : "toto"}}',
        '{"name" : "user_interaction", "product" : { "module" : "search" , "name" : "front"}, "data" : { "query" : "toto"}}',
        '{"name" : "search", "product" : { "module" : "search" , "name" : "api"}, "data" : { "query" : "toto"}}',
        '{"hello": "world"}',
        '{"name" :"wrong data", "data" : "I am wrong !"}',
        '{"name" :"wrong data", "data" : { "hello" : "world" }}'
        ]
        codec => json
        count => 1
    }
}

filter
{
  mutate
  {
    remove_field => ["sequence", "host", "@version"]
  }
}

output
{
   elasticsearch
   {
     hosts => ["elasticsearch:9200"]
     index => "events-dev6-test"
     document_type => "_doc"
     manage_template => false
   }

   stdout
   {
       codec => rubydebug
   }
}

    ElasticSearch对此索引有严格的映射,因此,某些事件会给出400个错误 "mapping set to strict, dynamic introduction of [hello] within [data] is not allowed" (这是正常的)。

    如何将失败事件发送到其他地方(文本日志或其他ElasticSearch索引)(这样我就不会丢失事件)?

    1 回复  |  直到 7 年前
        1
  •  1
  •   Alcanzar    7 年前

    介绍logstash 6.2 Dead Letter Queues 这可以用来做你想做的事。您需要启用 dead_letter_queue.enable: true 在你的 logstash.yml .

    然后把它作为输入处理: 

    input {
  dead_letter_queue {
    path => "/path/to/data/dead_letter_queue" 
    commit_offsets => true 
    pipeline_id => "main" 
  }
}

output {
  file {
    path => ...
       codec => line { format => "%{message}"}
   }    
}

    在6.2之前,我不相信有什么方法可以做到你想要的。

    推荐文章
    Dharmin Fadia  ·  我希望使用logstash将消息值设置为feild
    3 年前
    phenric  ·  ElasticSearch 6.2:从MySQL自动完成搜索
    7 年前
    user84592  ·  如果日志包含特定单词,则忽略并移动到下一个模式
    7 年前
    pm1391  ·  通过公共IP将Logstash连接到Azure中的Kafka
    7 年前
    A. Kendall  ·  使用grok匹配自定义样式的电子邮件地址
    7 年前
    Manikandan  ·  日志存储中处理的记录数
    7 年前
    Ashok Reddy  ·  如何删除filebeat标记,如id、主机名、版本、grok\u失败消息
    7 年前
    Ananda Kumar N C  ·  Logstash 6.2.3检测到6。x及以上群集:“type”事件字段不会用于确定文档类型
    7 年前
    Muhammad Idrees  ·  使用logstash将csv文件导入elasticsearch时出错
    7 年前
    osexp2000  ·  logstash->elasticsearch:如何在输出新数据之前删除所有数据
    7 年前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号