Фильтрация журнала ELK LDAP

Две вещи: Наши журналы выглядят так:

May 11 06:51:31 ldap slapd[6694]: conn=1574001 op=1 SRCH base="cn=s_02,ou=users,o=meta" scope=0 deref=0 filter="(...)"

I need to 1) take the time stamp and set it to the left column "time" in Kibana's discover panel and 2) take the number after connection and make it a field so as to be able to order them by number. I've spent all day researching and date and mutate seem promising, but I haven't been able to get them correctly implemented.

The config file looks like this: 

input {
   file {
      path => "/Desktop/logs/*.log"
      type => "log"
      sincedb_path => "/dev/null"
   }
}

output {

  elasticsearch {
    hosts => "127.0.0.1"
    index => "logstash-%{type}-%{+YYYY.MM.dd}"
  }

  file {
    path => "/home/logsOut/%{type}.%{+yyyy.MM.dd.HH.mm}"
  }
}

elastic-stack logstash kibana elasticsearch
person Kate S    schedule 19.05.2016    source источник
comment
Вам нужны только эти два поля?   -  person alpert    schedule 19.05.2016

Ответы (1)


arrow_upward
0
arrow_downward

Если вам нужны только эти два как отдельные поля:

filter {
    grok {
        match => { 
            "message" => [ "%{SYSLOGBASE} conn=%{INT:conn}" ]
        }
    }

    date {
        match => [ "timestamp", "MMM dd HH:mm:ss" ]
        target => "time"
    }

    mutate {
        convert => { "conn" => "integer" }
    }
}
person alpert    schedule 19.05.2016
comment
Таким образом, временная метка создает новое поле в результатах - есть ли способ переместить его в столбец времени? Я думаю, это то, что вы пытаетесь сделать, но у меня это не получается. Кроме того, мне нужно заказать журналы по соединению, и я вижу, что вы делаете, но я не понимаю, как с этим работать. - person Kate S; 24.05.2016
comment
Я думаю, что я мог бы просто использовать инструменты визуализации для этого. Сейчас пытаюсь научиться. Спасибо! - person Kate S; 24.05.2016