1
使用ELK(Elasticsearch-Logstash-Kibana)堆棧,我將syslog日誌從* nix框收集到Logstash並通過Elasticsearch發送給Kibana。這是一個典型的場景。在ELK中合併日誌和查詢
我的syslog日誌包括正常的系統事件,魷魚訪問日誌,captiveportal登錄日誌等 captiveportal記錄爲
1423548430 2582 192.168.1.23 xx:ae:xx:e1:xx:99 mike.brown cc9aeb1210b39571 MTI= first
和
魷魚訪問日誌記錄爲:
1423562965.228 482 192.168.1.23 TCP_MISS/200 1254 POST http://ad4.liverail.com/? - DIRECT/31.13.93.12 text/xml
在Logstash中,我過濾了強制性的門戶日誌,並且我得到了client_ip="192.168.1.23",user_name="mike.brown",在Logstash配置過濾器我也過濾了魷魚訪問日誌,並且我得到了src_ip="192.168.1.23"。
我的問題是:我該如何查詢以獲取user_name,其中squid訪問日誌的client_ip等於Kibana中強制門戶的src_ip?
elasticsearch的這個弱點是什麼?我認爲是這樣,奇怪的是你有數據,但你不能查詢它。謝謝。 – hakansel05 2015-02-11 08:08:56
我認爲它是一個文檔存儲,而不是數據庫。你是否因爲不能烘烤麪包而自責? – 2015-02-11 18:03:43
你能否再擴展一下答案?它對我很重要(http://stackoverflow.com/questions/33549171/correlate-messages-in-elk-by-field) – AMS 2015-11-06 15:04:27