我有一台安装了 ELK 的服务器,在另一端我有 2 个源服务器,它们通过 filebeat 将日志发送到 ELK 服务器。但问题是两个服务器的日志都显示在 kibana 的同一页面上。这太复杂了,无法识别哪个日志来自哪个服务器!多台服务器的日志如何在 kibana 上分开显示。
以下是我的logstash.conf:
input {
beats {
port => 5044
}
}
# Used to parse syslog messages and send it to Elasticsearch for storing
filter {
if [type] == "syslog" {
grok {
match => { "message" => "%{SYSLOGLINE}" }
}
date {
match => [ "timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ]
}
}
}
# Specify an Elastisearch instance
output {
Elasticsearch {
hosts => ["localhost:9200"]
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
}
}