ВБ
Дмитрий Стародубцев
Включены, но чтобы их использовать, их вроде надо явно указывать в конфиге
Не обязательно
Size: a a a
2020 September 04
ВБ
В любом случае получишь сплошное текстовое поле. Построчно
ВБ
Вот его уже надо парсить, как блогер завещал)
ВБ
И я повторил. По-моему, у меня в видео есть, как условия строить
ДС
Это всё понятно, вопрос был в другом. Сейчас разберусь и вернусь с ответами...или с новыми вопросами.
ВБ
Плюс можно два экземпляра файлбит сделать
ВБ
С другим пайпланом на другом порту
ДС
Плюс можно два экземпляра файлбит сделать
Зачем? Должно быть можно всё в одном конфиге настроить
ВБ
С другим пайпланом на другом порту
Как вариант). Ты ваще видосы смотрел?)
ВБ
Блин. Там же есть. Для iis как раз. Хочешь мессагетракинг, второе условие добавь
ДС
Как вариант). Ты ваще видосы смотрел?)
Да. Сейчас еще раз посмотрю
ДС
А, это новые видео. Эти еще не видел.
ДС
Блин. Там же есть. Для iis как раз. Хочешь мессагетракинг, второе условие добавь
В общем я вчера не понял что нужно новые логи начинать указывать с -type: log, а не с paths. Вот так работает:
filebeat.inputs:
- type: log
paths:
- C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking\*.LOG
fields:
type: exchange_message_tracking
fields_under_root: true
scan_frequency: 5s
- type: log
paths:
- C:\inetpub\logs\LogFiles\W3SVC1\*.log
- C:\inetpub\logs\LogFiles\W3SVC2\*.log
fields:
type: exchange_IIS
multiline:
pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
negate: true
match: after
filebeat.inputs:
- type: log
paths:
- C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking\*.LOG
fields:
type: exchange_message_tracking
fields_under_root: true
scan_frequency: 5s
- type: log
paths:
- C:\inetpub\logs\LogFiles\W3SVC1\*.log
- C:\inetpub\logs\LogFiles\W3SVC2\*.log
fields:
type: exchange_IIS
multiline:
pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
negate: true
match: after
ДС
Но все равно пока что-то не так. Типы в логах криво прописываются
ВБ
Дмитрий Стародубцев
В общем я вчера не понял что нужно новые логи начинать указывать с -type: log, а не с paths. Вот так работает:
filebeat.inputs:
- type: log
paths:
- C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking\*.LOG
fields:
type: exchange_message_tracking
fields_under_root: true
scan_frequency: 5s
- type: log
paths:
- C:\inetpub\logs\LogFiles\W3SVC1\*.log
- C:\inetpub\logs\LogFiles\W3SVC2\*.log
fields:
type: exchange_IIS
multiline:
pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
negate: true
match: after
filebeat.inputs:
- type: log
paths:
- C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking\*.LOG
fields:
type: exchange_message_tracking
fields_under_root: true
scan_frequency: 5s
- type: log
paths:
- C:\inetpub\logs\LogFiles\W3SVC1\*.log
- C:\inetpub\logs\LogFiles\W3SVC2\*.log
fields:
type: exchange_IIS
multiline:
pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
negate: true
match: after
Где теги? И зачем мультилайн?
ВБ
Это в говняных логах типа java можно использовать)
D
Дмитрий Стародубцев
В общем я вчера не понял что нужно новые логи начинать указывать с -type: log, а не с paths. Вот так работает:
filebeat.inputs:
- type: log
paths:
- C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking\*.LOG
fields:
type: exchange_message_tracking
fields_under_root: true
scan_frequency: 5s
- type: log
paths:
- C:\inetpub\logs\LogFiles\W3SVC1\*.log
- C:\inetpub\logs\LogFiles\W3SVC2\*.log
fields:
type: exchange_IIS
multiline:
pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
negate: true
match: after
filebeat.inputs:
- type: log
paths:
- C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking\*.LOG
fields:
type: exchange_message_tracking
fields_under_root: true
scan_frequency: 5s
- type: log
paths:
- C:\inetpub\logs\LogFiles\W3SVC1\*.log
- C:\inetpub\logs\LogFiles\W3SVC2\*.log
fields:
type: exchange_IIS
multiline:
pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}'
negate: true
match: after
Елк шатаешь чтоли?
ВБ
Дмитрий Стародубцев
Но все равно пока что-то не так. Типы в логах криво прописываются
Лови подарок)
ВБ
- type: log
# Change to true to enable this input configuration.
enabled: true
# Paths that should be crawled and fetched. Glob based paths.
paths:
- 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive\*.log'
tags: ["smtprecieve"]
- type: log
enabled: true
paths:
- 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpSend\*'
tags: ["smtpsend"]
- type: log
enabled: true
paths:
- 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking\*'
tags: ["messages"]
- type: log
enabled: true
paths:
- 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\Connectivity\*'
tags: ["hubconnectivity"]
- type: log
enabled: true
paths:
- 'C:\inetpub\logs\LogFiles\W3SVC1\*'
- 'C:\inetpub\logs\LogFiles\W3SVC2\*'
tags: ["IIS"]
#- c:\programdata\elasticsearch\log
# Change to true to enable this input configuration.
enabled: true
# Paths that should be crawled and fetched. Glob based paths.
paths:
- 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpReceive\*.log'
tags: ["smtprecieve"]
- type: log
enabled: true
paths:
- 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\ProtocolLog\SmtpSend\*'
tags: ["smtpsend"]
- type: log
enabled: true
paths:
- 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking\*'
tags: ["messages"]
- type: log
enabled: true
paths:
- 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\Connectivity\*'
tags: ["hubconnectivity"]
- type: log
enabled: true
paths:
- 'C:\inetpub\logs\LogFiles\W3SVC1\*'
- 'C:\inetpub\logs\LogFiles\W3SVC2\*'
tags: ["IIS"]
#- c:\programdata\elasticsearch\log
ДС
Где теги? И зачем мультилайн?
Тег один, он ниже. По тегу оба вида логов пишутся в один индекс, а поиск можно фильтровать по типу. Мультилайн у блогера подсмотрел.