使用ELK(Elasticsearch-Logstash-Kibana)堆栈,我将系统日志从* nix框收集到Logstash,并通过Elasticsearch将其发送到Kibana . 这是经典的一种情况 .
我的syslog日志包括正常的系统事件,squid访问日志,captiveportal登录日志等.captiveportal记录为
1423548430 2582 192.168.1.23 xx:ae:xx:e1:xx:99 mike.brown cc9aeb1210b39571 MTI= first
和
squid访问日志记录为:
1423562965.228 482 192.168.1.23 TCP_MISS/200 1254 POST http://ad4.liverail.com/? - DIRECT/31.13.93.12 text/xml
在Logstash中,我已经过滤了强制网络门户日志,我有 client_ip="192.168.1.23" , user_name="mike.brown" ,并且在Logstash配置中的不同过滤器中我也过滤了squid访问日志,我有 src_ip="192.168.1.23" .
My question is: 如何查询获取user_name,其中squid访问日志的client_ip等于Kibana中强制门户的src_ip?
1 回答
您无法在elasticsearch中进行连接 . 他们讨论了一些关系的选择in this doc .