- elasticsearch/
elasticsearch 在发送到ElasticSearch之前,使用logstash筛选特定消息
elasticsearch 在发送到ElasticSearch之前,使用logstash筛选特定消息
我想知道是否可以通过logstash只向elasticsearch发送特定的日志消息?例如,假设我的日志文件中有以下消息:
2015-08-14 12:21:03 [31946] PASS 10.249.10.70 http://google.com
2015-08-14 12:25:00 [2492] domainlist \"/etc/ufdbguard/blacklists\
2015-08-14 12:21:03 [31946] PASS 10.249.10.41 http://yahoo.com
当logstash/log forwarder处理此日志时,我想跳过第二行,是否可以指示它跳过任何带有关键字“domainlist”的日志消息?或者只允许使用关键字“PASS”记录消息?是的,您可以使用 根据日志行的搜索方式和字段名,如果事件符合某些条件,则可以决定删除该事件。例如,您可以在下面的
grokmyfieldPASSfilter {
grok {
...your parsing regexp here...
}
if [myfield] != "PASS" {
drop { }
}
}
是的,您可以使用 根据日志行的搜索方式和字段名,如果事件符合某些条件,则可以决定删除该事件。例如,您可以在下面的
grokmyfieldPASSfilter {
grok {
...your parsing regexp here...
}
if [myfield] != "PASS" {
drop { }
}
}
是的,您可以使用 根据日志行的搜索方式和字段名,如果事件符合某些条件,则可以决定删除该事件。例如,您可以在下面的
grokmyfieldPASSfilter {
grok {
...your parsing regexp here...
}
if [myfield] != "PASS" {
drop { }
}
}
是的,您可以使用 根据日志行的搜索方式和字段名,如果事件符合某些条件,则可以决定删除该事件。例如,您可以在下面的
grokmyfieldPASSfilter {
grok {
...your parsing regexp here...
}
if [myfield] != "PASS" {
drop { }
}
}
虽然Val的答案是正确的,但另一种方法是使用以下选项进行过滤:
虽然Val的答案是正确的,但另一种方法是使用以下选项进行过滤:
虽然Val的答案是正确的,但另一种方法是使用以下选项进行过滤:
虽然Val的答案是正确的,但另一种方法是使用以下选项进行过滤: 谢谢你的帮助:)。谢谢你的帮助:)。谢谢你的帮助:)。谢谢你的帮助:)。