Можно ли объединить 2 строки журналов из 2 отдельных файлов журналов, используя Logstash

Question

Можно ли объединить 2 строки журналов из 2 отдельных файлов журналов, используя Logstash

У меня есть 2 отдельных IIS файлы журналов (расширенные и простые)

К ним нужно присоединиться, потому что в расширенном журнале отсутствует информация, записанная простым, но у них та же временная метка.

input { file {
    path => "C:/Logs/*.log"
    start_position => "beginning"}
}
filter {
    grok {
        break_on_match => "true"
        match => ["message", '%{TIMESTAMP_ISO8601:log_timestamp} \"%{DATA:s_computername}\"']
        match => ["message", "%{TIMESTAMP_ISO8601:log_timestamp}  %{NOTSPACE:uriQuery} "]
    }
    output {
        elasticsearch {
            hosts => "localhost:9200"
        }
    }
}

упрощенная версия. я хочу elasticsearch иметь запись, содержащую log_timestamp, s_computername, а также uriQuery,

Используя многострочный кодек, можно объединить их, если линии были рядом друг с другом. Поскольку они находятся в отдельных файлах, я еще не нашел способ сделать это. Можно ли объединить два, используя одну и ту же метку времени в качестве уникального идентификатора?

1

elasticsearch logstash elastic-stack logstash-grok grok

Источник

user5660572 27 янв '17 в 16:20

0 ответов

Другие вопросы по тегам elasticsearch logstash elastic-stack logstash-grok grok