维护了一个 elk 集群,通过 filebeat 收集日志,在收集的时候按服务器功能和 id 分了组,
因为有一个模块服务器比较多,按照10台服务器一个 group 来区分,
目前已经从 group-0、group-1、group-2创建到 group-15,在 filebeat 里面打上对应的 tags,
logstash output 的配置如下:
output {
elasticsearch {
hosts => ["10.144.44.40:9200"]
manage_template => false
index => "logstash-roc-%{tags}-%{+YYYY.MM.dd}"
}
}
在 kibana 中查询日志,发现有部分 group-10 、group-11 到 group-15 的日志进入了 group-1 的索引里面。
我初步估计是匹配的问题,也曾尝试过讲 group-1 的名字改成 group-first, 但是发现仍然有其它 group 的日志进入这个索引,
求助大神该怎么解决?
因为有一个模块服务器比较多,按照10台服务器一个 group 来区分,
目前已经从 group-0、group-1、group-2创建到 group-15,在 filebeat 里面打上对应的 tags,
logstash output 的配置如下:
output {
elasticsearch {
hosts => ["10.144.44.40:9200"]
manage_template => false
index => "logstash-roc-%{tags}-%{+YYYY.MM.dd}"
}
}
在 kibana 中查询日志,发现有部分 group-10 、group-11 到 group-15 的日志进入了 group-1 的索引里面。
我初步估计是匹配的问题,也曾尝试过讲 group-1 的名字改成 group-first, 但是发现仍然有其它 group 的日志进入这个索引,
求助大神该怎么解决?
1 个回复
xiaoaps - 80后IT男
赞同来自: