Elastic Agent 到 Logstash,用于路由到多个 Elasticsearch 集群和其他目标
编辑Elastic Agent 到 Logstash,用于路由到多个 Elasticsearch 集群和其他目标
编辑
- 摄取模型
- Elastic Agent 到 Logstash 到 Elasticsearch 集群和/或其他目标
- 使用场景
- Elastic Agent 收集的数据需要根据内容路由到不同的 Elasticsearch 集群或非 Elasticsearch 目标
- 示例
-
我们以 Windows 工作站为例,我们使用 System 和 Windows 集成收集不同类型的日志。这些日志需要发送到不同的 Elasticsearch 集群,并发送到 S3 进行备份,还需要一种机制将其发送到其他目标,例如不同的 SIEM 解决方案。此外,Elasticsearch 目标是根据数据流的类型和组织标识符派生的。
在这种用例中,代理将数据发送到 Logstash,作为路由到不同目标的机制。请注意,System 和 Windows 集成必须安装在数据路由到的所有 Elasticsearch 集群上。
- 示例配置
-
input { elastic_agent { port => 5044 } } filter { translate { source => "[http][host]" target => "[@metadata][tenant]" dictionary_path => "/etc/conf.d/logstash/tenants.yml" } } output { if [@metadata][tenant] == "tenant01" { elasticsearch { cloud_id => "<cloud id>" api_key => "<api key>" } } else if [@metadata][tenant] == "tenant02" { elasticsearch { cloud_id => "<cloud id>" api_key => "<api key>" } } }
资源
编辑有关配置 Elastic Agent 的信息
有关 Logstash 和 Logstash 输出的信息
有关 Elasticsearch 的信息