0
ログデータとワークフローがElasticsearchの出力バルク挿入方法と競合しているように見えることがあります。Logstash Elasticsearch出力Elasticsearchフィルタを使用したバルク挿入の競合
私がやろうとしているのは、Elasticsearchフィルタプラグインを使用して、終了イベントを受け取ったときに開始イベントを見つけるための検索を行うことです。しかし、問題はイベントがお互いに隣り合っているか、非常に近い(数行以内)ことが多いということです。 Elasticsearchフィルタルックアップが実行されると、出力バルクの挿入方法のためにElasticsearchにまだ送信されていないため、対応する開始イベントは見つかりません。
は参考のために、ワークフローは次のとおりです。
input {
beats {
port => 5044
}
}
filter {
if [eventType] == "End" {
elasticsearch {
hosts => ["localhost:9200"]
user => "logstash-es"
password => "****"
index => "logstash-*"
query_template => "config/logstash-query.json"
fields => [["event-data", "start-event-data"]]
}
}
}
output {
elasticsearch {
hosts => "[localhost:9200]"
user => "logstash-es"
password => "****"
index => "%{[@metadata][beat]}"
document_type => "%{[@metadata][type]}"
}
}
Elasticsearchフィルタ・ルックアップが成功するように、どのように私は、個別にイベントを送信するためにElasticsearch出力を強制することができますか?