Elasticsearch Filebeat-Dokumenttyp veraltetes Problem

Question

Ich verwende derzeit ELK 5.5. Es scheint, dass document_type jetzt in Filebeats nicht mehr unterstützt wird, aber ich konnte nirgends ein Beispiel finden, wie ich es jetzt implementieren könnte.

Dies ist, was ich in meinem Log erhalten:

WARN DEPRECATED: document_type is deprecated. Use fields instead. 

Dies ist meine aktuelle filebeat Konfiguration:

- input_type: log 

    # Paths that should be crawled and fetched. Glob based paths. 
    paths: 
    - C:\inetpub\logs\LogFiles\*\* 
    document_type: iislog 

    paths: 
    - C:\MyApp\logs\* 
    document_type: applog 

mir jemand sagen kann, wie mein Protokoll neu zu schreiben, wenn die gleiche Version 5.5 verwenden und loswerden dieser ablehnenden Nachricht. Übrigens, ich möchte für beide "Dokumenttypen" den gleichen ES-Index verwenden.

Answer 1

Statt document_type zu verwenden, Sie fields wie diese auf Filebeat verwenden:

- input_type: log 

    # Paths that should be crawled and fetched. Glob based paths. 
    paths: 
    - C:\inetpub\logs\LogFiles\*\* 
    fields: 
    service: iislog 
    fields_under_root: true 

    paths: 
    - C:\MyApp\logs\* 
    fields: 
    service: applog 
    fields_under_root: true 

nun für Logstash Ausgangsfilter, statt [type] der Verwendung der document_type für den Aufruf, können Sie [service] verwenden. Hier ist, wie ich verwende auf logstash:

output { 
    if [service] == "applog" { 
    elasticsearch { 
    hosts => ["localhost:9200"] 
    user => <user> 
    password => <pass> 
    index => "applog-%{+YYYY.MM.dd}" 
    } 
    } 
enter code here 

prüfen unten für weitere Informationen über benutzerdefinierte Felder auf Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/migration-changed-fields.html