SM
ага. а такой вопрос, как мне заставить index pattern смотреть не в timestamp, а в нужное поле?
Size: a a a
2018 May 04
MP
ну во-первых это делать не обязательно, потому что с помощью фильтра date в большинстве случаев как раз можно "пропатчить" родной @timestamp
SM
ага. после этого надо переустановить модуль будет?
MP
а во-вторых, надо пересоздать с помощью кибаны index pattern а налогичный существующему, но выбрать другое временное поле, это не сложно. Но в случае пересоздания могут попортиться штатные дашбоарды нетфлоу. но в случае крайней необходимости и это не беда.....
MP
ага. после этого надо переустановить модуль будет?
после правки конфига надо будет рестартануть логсаш
SM
то есть я делаю remove timestamp и add_field нужного значения?
SM
после правки конфига надо будет рестартануть логсаш
мне казалось, что модуль загружает свои натсройки в стэк и дальше уже его не трогают
MP
ну как один из вариантов да. только потом надо будеть воспользоваться фильтром date (ссылку дал выше) который как раз заставит эластик считать твое новое поле временным типом
SM
то есть фильтр я применяю в dev tools уже?
MP
мне казалось, что модуль загружает свои натсройки в стэк и дальше уже его не трогают
вот этого момента я не помню, уже давно я нетфлоу настраивал свой. Но лично у меня конфиг выдернут и его можно править
SM
прям извиняюсь за глупые вопросы) не так давно стал это все использовать и уже собрал все грабли)
SM
вот этого момента я не помню, уже давно я нетфлоу настраивал свой. Но лично у меня конфиг выдернут и его можно править
попробую на выходных это все провернуть.
MP
то есть фильтр я применяю в dev tools уже?
нет, это в логсташе надо делать
MP
попробую на выходных это все провернуть.
ты на linux или на винде?
SM
linux
MP
изначально конфиг логсташа по идеи должен лежать тут /usr/share/logstash/modules/netflow/configuration/logstash/netflow.conf.erb , ну по крайней мере так на редхатоподобных должно быть при установке логсташа с офф репа эластикового. вот это и есть йонфиг логсташа. Его можно разместить в /etc/logstash/conf.d и изголяться как понравиться
MP
я пошел по этому пути
MP
либо можно прям тут (/usr/share/logstash/modules/netflow/configuration/logstash/netflow.conf.erb) его поправить и видимо потом переустановить модуль и перезапустить логсташ
MP
но второй путь мною не проверен, это предположение на основе опыта
SM
изначально конфиг логсташа по идеи должен лежать тут /usr/share/logstash/modules/netflow/configuration/logstash/netflow.conf.erb , ну по крайней мере так на редхатоподобных должно быть при установке логсташа с офф репа эластикового. вот это и есть йонфиг логсташа. Его можно разместить в /etc/logstash/conf.d и изголяться как понравиться
ну то есть ты все настройки туда вынес. просто нельзя использовать conf.d вместе с настроенным модулем в logstash. ну вообще я тоже думаю так сделать, ибо от модуля мне нужны были только визуализации. я так понимаю, что конфиг просто переносится безболезненно