Fluent OpenSearch Bit와 함께 통합 파이프라인 사용

이 샘플 Fluent Bit 구성 파일은 Fluent Bit에서 인제션 파이프라인으로 로그 데이터를 전송합니다. OpenSearch 로그 데이터 수집에 대한 자세한 내용은 Data Prepper 설명서의 로그 분석을 참조하세요.

유의할 사항:

• host 값은 파이프라인 엔드포인트여야 합니다. 예: pipeline-endpoint.us-east-1.osis.amazonaws.com.

• aws_service 값은 osis여야 합니다.

• 이 aws_role_arn 값은 클라이언트가 시그니처 버전 AWS IAM 4 인증에 맡아 사용할 ARN 역할의 값입니다.

[INPUT]
  name                  tail
  refresh_interval      5
  path                  /var/log/test.log
  read_from_head        true

[OUTPUT]
  Name http 
  Match *
  Host pipeline-endpoint.us-east-1.osis.amazonaws.com
  Port 443
  URI /log/ingest
  Format json
  aws_auth true
  aws_region us-east-1
  aws_service osis
  aws_role_arn arn:aws:iam::{account-id}:role/ingestion-role
  Log_Level trace
  tls On

그런 다음 HTTP 소스로 OpenSearch 사용하는 다음과 같은 통합 파이프라인을 구성할 수 있습니다.

version: "2"
unaggregated-log-pipeline:
  source:
    http:
      path: "/log/ingest"
  processor:
    - grok:
        match:
          log:
            - "%{TIMESTAMP_ISO8601:timestamp} %{NOTSPACE:network_node} %{NOTSPACE:network_host} %{IPORHOST:source_ip}:%{NUMBER:source_port:int} -> %{IPORHOST:destination_ip}:%{NUMBER:destination_port:int} %{GREEDYDATA:details}"
    - grok:
        match:
          details:
            - "'%{NOTSPACE:http_method} %{NOTSPACE:http_uri}' %{NOTSPACE:protocol}"
            - "TLS%{NOTSPACE:tls_version} %{GREEDYDATA:encryption}"
            - "%{NUMBER:status_code:int} %{NUMBER:response_size:int}"
    - delete_entries:
        with_keys: ["details", "log"]

  sink:
    - opensearch:
        hosts: ["https://search-domain-endpoint.us-east-1.es.amazonaws.com"]
        index: "index_name"
        index_type: custom
        bulk_size: 20
        aws:
          # IAM role that the pipeline assumes to access the domain sink
          sts_role_arn: "arn:aws:iam::{account-id}:role/pipeline-role"
          region: "us-east-1"