Filebeat - 從消息行解析字段

Question

我正在使用Filebeat將日誌數據從我的本地txt文件發送到Elasticsearch，並且我想從message行添加一些字段到事件 - 如時間戳和日誌級別。例如，下面是我的日誌行之一：

2016-09-22 13:51:02,877 INFO 'start myservice service'

我的問題是：我能做到這一點的Filebeat - > Elasticsearch或者我必須通過Logstash？

Answer 1

如果您使用Elasticsearch 5.0中的Ingest Node功能，則可以使用Filebeat - > Elasticsearch。否則，是的，你需要使用Logstash。

在這兩種情況下，您都可以使用grok filter將message行解析爲結構化數據。此外，您還需要使用date來解析和規範日期。