SM
а ты конфиг логсташа вытащил из модуля и внедрил в conf.d логсташа?\
Не. Пусть там лежит. Оказывается модули перезагружать не надо. Только конфиг логсташа.
Size: a a a
2018 May 10
SM
а ты конфиг логсташа вытащил из модуля и внедрил в conf.d логсташа?\
Я щас просто пытаюсь понять как изменяющиеся данные писать туда.
MP
@sergeymurashow вообще если во входных данных нет @timestamp то логсташ должен сам это поле сгенерить и проставить туда текущее значение времени с той машинына которой сам логсташ крутиться. Странно что у тебя не так
MP
можно попробовать ловить нетфлоу обычным конфигом логсташа там с помощью mutate remove field вырезать @timestamp, а дальше передать эти данные в нетфлоу модуль
MP
и тогда нетфлоу модуль должен будет сгенерить новый @timestamp
SM
@sergeymurashow вообще если во входных данных нет @timestamp то логсташ должен сам это поле сгенерить и проставить туда текущее значение времени с той машинына которой сам логсташ крутиться. Странно что у тебя не так
Там это поле как раз есть.
SM
можно попробовать ловить нетфлоу обычным конфигом логсташа там с помощью mutate remove field вырезать @timestamp, а дальше передать эти данные в нетфлоу модуль
А в этом же конфиге я не могу удалить поле?
MP
А в этом же конфиге я не могу удалить поле?
можно и в этом, я к тому что новый @timestamp генериться только когда на инпут поступают данные без @timestamp
т.е. тебе надо сделать так:
input (ловим нетфлоу)
filter (вырезаем @timestamp)
output (аутпутим на хост X порт Y)
input (слушаем хост X порт Y)
ну и дальше все твои нетфлоу потроха
т.е. тебе надо сделать так:
input (ловим нетфлоу)
filter (вырезаем @timestamp)
output (аутпутим на хост X порт Y)
input (слушаем хост X порт Y)
ну и дальше все твои нетфлоу потроха
SM
Так. Удалять же remove_field в mutate? Или таки в date?
MP
не важно
SM
Понял
SM
Щас попробую
SM
Спасибо)
SM
можно и в этом, я к тому что новый @timestamp генериться только когда на инпут поступают данные без @timestamp
т.е. тебе надо сделать так:
input (ловим нетфлоу)
filter (вырезаем @timestamp)
output (аутпутим на хост X порт Y)
input (слушаем хост X порт Y)
ну и дальше все твои нетфлоу потроха
т.е. тебе надо сделать так:
input (ловим нетфлоу)
filter (вырезаем @timestamp)
output (аутпутим на хост X порт Y)
input (слушаем хост X порт Y)
ну и дальше все твои нетфлоу потроха
Когда удаляю поле ругается что нет этого поля)
MP
ну значит как я говорил во входных данных его нет
MP
@sergeymurashow скинь скрин из кибаны свеого нетфлоу индекс патернна при этом в правом почти верхнем углу выбери тип date чтобы отображдались только date поля
SM
ну значит как я говорил во входных данных его нет
а почему тогда время соотвествует циске?
MP
сделай скрин, надо посомтреть как у тебяв кибане сделанно
SM
сделай скрин, надо посомтреть как у тебяв кибане сделанно
MP
ок