elasticsearch Logstash-可以选择不转发基于数据的日志吗?,elasticsearch,logstash,elastic-stack,elasticsearch,Logstash,Elastic Stack" /> elasticsearch Logstash-可以选择不转发基于数据的日志吗?,elasticsearch,logstash,elastic-stack,elasticsearch,Logstash,Elastic Stack" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch Logstash-可以选择不转发基于数据的日志吗?

elasticsearch Logstash-可以选择不转发基于数据的日志吗?

logstash

elasticsearch Logstash-可以选择不转发基于数据的日志吗?,elasticsearch,logstash,elastic-stack,elasticsearch,Logstash,Elastic Stack,只是学习如何使用Logstash-该死,这方面有很多东西要学:D 在我的设置中,我将CEF数据发送到我的日志库。 一些cef事件只是关于发送cef事件的工具的“统计”信息 我希望logstash不要发送这些事件的消息。可能吗 下面是一些我认为应该是什么样子的psuedo代码 input { udp { port => 9001 codec => cef } filter { if 'stat_heading' contains "Statistic

只是学习如何使用Logstash-该死,这方面有很多东西要学:D

在我的设置中,我将CEF数据发送到我的日志库。 一些cef事件只是关于发送cef事件的工具的“统计”信息

我希望logstash不要发送这些事件的消息。可能吗

下面是一些我认为应该是什么样子的psuedo代码

input { 
  udp { 
    port => 9001 
    codec => cef
}

filter { 
  if 'stat_heading' contains "Statistic Information" do not forward to elasticsearch 
}

output { 
  elasticsearch { 
    host => ["192.168.0.20:9200"] 
}
有人能给我指一下正确的方向吗

编辑

好的-我看到过滤器有一个可选的IF条件。我将进一步阅读这篇文章,当我得到一个有效的解决方案时,我将发布它

编辑

让它工作起来。在下面的评论中添加了解决方案

我想你可以试试drop plugin来跳过一些数据,如果它进入过滤器的话

我想你可以尝试删除插件来跳过一些数据,如果它被过滤掉的话

好的,我已经找到了自己的答案

您需要添加条件If语句,如果事件值与某个值匹配,则删除该事件

input { 
  udp { 
    port => 9001 
    codec => cef
}

filter { 
  if "Some string here" in [myheader] {
    drop {}
}

output { 
  elasticsearch { 
    host => ["192.168.0.20:9200"] 
}
好吧,我已经找到了我自己的答案

您需要添加条件If语句,如果事件值与某个值匹配,则删除该事件

input { 
  udp { 
    port => 9001 
    codec => cef
}

filter { 
  if "Some string here" in [myheader] {
    drop {}
}

output { 
  elasticsearch { 
    host => ["192.168.0.20:9200"] 
}
嘿,阿伦,是的,你完全正确!我在下面添加了解决方案,但我会让你的答案标记出来。谢谢嘿,阿伦,是的,你完全正确!我在下面添加了解决方案,但我会让你的答案标记出来。谢谢