elasticsearch 如何将标记中只有“multiline,xmlparsefailure”的日志存储事件发送到弹性搜索,elasticsearch,logstash,socrata,elasticsearch,Logstash,Socrata" /> elasticsearch 如何将标记中只有“multiline,xmlparsefailure”的日志存储事件发送到弹性搜索,elasticsearch,logstash,socrata,elasticsearch,Logstash,Socrata" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 如何将标记中只有“multiline,xmlparsefailure”的日志存储事件发送到弹性搜索

elasticsearch 如何将标记中只有“multiline,xmlparsefailure”的日志存储事件发送到弹性搜索

logstash

elasticsearch 如何将标记中只有“multiline,xmlparsefailure”的日志存储事件发送到弹性搜索,elasticsearch,logstash,socrata,elasticsearch,Logstash,Socrata,我正在使用下面的配置文件,以便只有那些具有多行、xmlparsefailure标记的事件才能发送到弹性搜索。但在我的例子中,所有事件都被发送到ES,而不考虑标签。有人能推荐一下吗 配置文件 output { if "multiline,_xmlparsefailure" in [tags] { elasticsearch { host => localhost

我正在使用下面的配置文件,以便只有那些具有多行、xmlparsefailure标记的事件才能发送到弹性搜索。但在我的例子中,所有事件都被发送到ES,而不考虑标签。有人能推荐一下吗

配置文件

output {   
       if "multiline,_xmlparsefailure" in [tags] {    
                      elasticsearch {    
                          host => localhost 
                          protocol => "http"    
                     }    
                     stdout { 
                          codec => rubydebug 
                     }    
             }
        }
日志数据:日志文件包含java stacktrace。

看到代码后,所有结果都不应转到Elasticsearch。 无论如何,尝试一下这种方法- 您需要将这些变量视为不同的变量-

output {   
       if "multiline" in [tags] or "_xmlparsefailure" in [tags] {    
                      elasticsearch {    
                          host => localhost 
                          protocol => "http"    
                     }    
                     stdout { 
                          codec => rubydebug 
                     }    
             }
        }
谢谢你。我在上又提出了一个问题。请看一看。