Я как делаю. У меня есть некий filebeat который собирает логи и отправляет в файлбит. Я вешаю на него разные fields, после иду в логстеш, создаю новый файл где описываю 1 инпут.
Например условынй docker

docker machine > filebeat.yaml

fields:
 type: docker

logstash host > docker.conf
output {
 if [type] == «docker»
   elasticsearch {
     index => "docker-%{+YYYY.MM.dd}"
 }
}

Kibana только визуализирует. А все данные ты куда то должен поместить

В интернете куча примеров реализации. Я демонстрирую свою.

у меня два источника и в обоих имеется файлбит
далее они должны отправлять в один логсташ
оутпут логсташа више приведен

только пот кибана не видит индексы чтоб я создал

Ну у тебя же эластик есть?)

Иди включай дебаг мод в логстеш и смотри. У меня нету кристального шара)

+

интересно что в логсташ випет sending final bulk request for batch но кибана ниче не показывает

всем привет
есть хост, на хосту директория, в директории json файлы, в файлах поле eventDateTime, значение которого совпадает с локальным временем, например 23:00

на том же хосту логстеш, в нем конфиг который подключен как пайплайн

в этом конфиге поле eventDateTime просто матчится с таймштампом

в итоге
@timestamp 19:00
eventDateTime в индексе 21:00
eventDateTime в файле 23:00
eventDateTime в кибане вообще 01:00 следующего дня

что происходит?
что я делаю не так?