我在我的ELK堆栈环境中使用logstash 1.5 . 使用以下过滤器配置:
filter {
mutate {
add_filed => { "src_ip" => "%{src}" }
add_filed => { "dst_ip" => "%{dst}" }
}
dns {
reverse => [ "src", "dst" ]
action => "replace"
}
}
我有两个问题:
-
过滤器丢失或跳过许多日志上的dns反向过程 - 我的意思是每个日志进入过滤器进程或者dst和src字段都反转或者根本不反转并保留在ip中(当我用nslookup测试所有的时候ip字段在dns中有名称) .
-
我不知道如何以及为什么但是我的一些日志有多个值,我得到以下错误:
DNS:跳过反向,不能处理多个值,:field =>“src”,:value => [“10.0.0.1”,“20.0.0.2”],:level => warn
看起来我的(ELK)logstash无法处理大量日志并足够快地解决它们 . 还看起来他从不同的日志创建了多个值的数组键 .
任何的想法?也许你们遇到这个问题?
1 回答
我注意到你的配置中有一个拼写错误 -
add_filed应该是add_field