Filebeat - 从消息行解析字段

Question

我正在使用Filebeat将日志数据从我的本地txt文件发送到Elasticsearch，并且我想从message行添加一些字段到事件 - 如时间戳和日志级别。例如，下面是我的日志行之一：

2016-09-22 13:51:02,877 INFO 'start myservice service'

我的问题是：我能做到这一点的Filebeat - > Elasticsearch或者我必须通过Logstash？

Answer 1

如果您使用Elasticsearch 5.0中的Ingest Node功能，则可以使用Filebeat - > Elasticsearch。否则，是的，你需要使用Logstash。

在这两种情况下，您都可以使用grok filter将message行解析为结构化数据。此外，您还需要使用date来解析和规范日期。