MP
тут все правильно
Size: a a a
2018 May 10
MP
но пока у меня нет идей, почему @timestamp береться с нетфлоу железок а не с локальной машины где живет логсташ
SM
Глянули то что уходит. Все верно. Нетфлоу кладет туда время.
SM
И видимо придется модуль, таки, перенести. Иначе я два конфиг не запущу. Хотя можно попробовать модуль изуродовать)
SM
О! А я могу сделать же add_field и добавить нужное поле?
MP
можешь
MP
только что ты добавишь в это поле?
SM
Вот это уже следующий вопрос) вообще щас хочу посмотреть что сделает эластик когда получит поле без времени.
SM
Получилось передавать данные с порта на порт и удалять поле @timestamp. В файл все пишется. Эластик же не принимает данные и отметки времени создавать не хочет. Похоже на тупик)
2018 May 11
SM
А не в курсе, есть возможность обрабатывать данные внешним скриптом?
MP
А не в курсе, есть возможность обрабатывать данные внешним скриптом?
раскрой кейс чуть детальнее
SM
раскрой кейс чуть детальнее
Я думаю можно передать данные после кодека в скрипт, который будет менять значения и возвращать изменённые данные
SM
Либо ловить данные на входе, менять и уже передавать в логсташ
MP
Я думаю можно передать данные после кодека в скрипт, который будет менять значения и возвращать изменённые данные
ну можно прям внутрни попробовать, там же есть руби встроенный. либо делай скрипт который будет udp или tcp слушать принимай, обрабатывай и дальше по udp/tcp кидай в логсташ
SM
Только руби? Питон нельзя?
MP
ну из штатного только руби
MP
возмонжо есть плагины и для использования питона, я не искал
SM
Просто все упирается в то, что мне надо где-то брать реальное время. Ну видимо на руби буду делать. Если получится надо будет залить решение. Просто все что я находил это всякого рода расчет дельты времени.
SM
Руби умеет там внешние переменные брать?)
MP
Руби умеет там внешние переменные брать?)
про руби ничего сказать не могу, не умею его