パス名の一部を取得してインデックスに追加する方法

Question

私は現在このようなファイル名を持っています。 [SERIALNUMBER] [2014_12_04] [00_45_22] [141204T014214] AB_DEF.log

は、私は基本的にファイル（2014）から年を抽出し、logstash confファイル内のインデックス名に追加します。 logstash.conf 以下は私のconfファイルです。

input { 
    file { 
     path => "C:/ABC/DEF/HJK/LOGS/**/*" 
     start_position => beginning 
     type => syslog 
    } 
} 
filter { 


    grok { 
     match => { "message" => "%{COMBINEDAPACHELOG}"} 
    } 




} 

output { 
    elasticsearch { 
    index => "type1logs" 
    } 
    stdout {}  
} 

助けてください。 ありがとう

Answer 1

IIRCの場合、「パス」というフィールドがあります。次に、別のgrok {}フィルタを実行して、 'path'を入力として使用して、必要なデータを抽出します。

既存の設定でのCOMBINEDAPACHELOGの使用に基づいて、ログエントリにはすでに日付が設定されています。 @timestampフィールドを変更するには、このタイムスタンプフィールドをdate {}フィルターで使用する方が一般的です。次に、デフォルトのelasticsearch {}出力設定では、 "logstash-YYYY.MM.DD"というインデックスが作成されます。

このような毎日のインデックスを使用すると、データの保持が容易になります。