在ELK中合并日志和查询

Question

使用ELK ( Elasticsearch Logstash - Kibana )堆栈，我从*nix框收集syslog日志到Logstash，并通过Elasticsearch将其发送到Kibana。这是经典的一种情况。

我的syslog包括正常的系统事件、squid访问日志、captiveportal登录日志等

1423548430 2582 192.168.1.23 xx:ae:xx:e1:xx:99 mike.brown cc9aeb1210b39571 MTI= first

和

squid访问日志记录为：

1423562965.228    482 192.168.1.23 TCP_MISS/200 1254 POST http://ad4.liverail.com/? - DIRECT/31.13.93.12 text/xml

在Logstash中，我过滤了捕获的门户日志，我获得了client_ip="192.168.1.23"、user_name="mike.brown"，以及Logstash配置中的不同过滤器--我还过滤了squid访问日志，还有src_ip="192.168.1.23"。

，我的问题是：，如何才能查询到user_name，squid访问日志的client_ip等于Kibana的圈养门户的src_ip？

Answer 1

你不能加入elasticsearch。他们讨论了关系在这个医生里的几个选项。