elasticsearch 如何通过处理器限制日志记录级别?
我通常将elasticsearch 如何通过处理器限制日志记录级别?,elasticsearch,logstash,logstash-configuration,elastic-beats,elasticsearch,Logstash,Logstash Configuration,Elastic Beats,我通常将journald事件发送到logstash(然后最终发送到elasticsearch)。我只对优先级较高的消息感兴趣 在我的journalbat.yml文件的最顶端 processors: - drop_event: when: range: syslog.priority.gte: 5 我的意图是(在所有事件上)运行一个处理器,该处理器将删除具有大于或等于5(=删除debug和info消息)的syslog.priority字段的事件 这
journald
事件发送到logstash(然后最终发送到elasticsearch)。我只对优先级较高的消息感兴趣
在我的journalbat.yml
文件的最顶端
processors:
- drop_event:
when:
range:
syslog.priority.gte: 5
我的意图是(在所有事件上)运行一个处理器,该处理器将删除具有大于或等于5
(=删除debug
和info
消息)的syslog.priority
字段的事件
这显然不起作用,因为我看到如下消息
{
"_index": "journalbeat-7.1.0-2019.05.28-000001",
"_type": "_doc",
"_id": "mlHv_moBGanrPHbULpIO",
"_version": 1,
"_score": null,
"_source": {
"@timestamp": "2019-05-28T14:54:07.866Z",
"systemd": {
"slice": "system.slice",
"unit": "docker.service",
"transport": "stdout",
"cgroup": "/system.slice/docker.service",
"invocation_id": "6b251fbc93814b26b857e33f79f261d2"
},
"ecs": {
"version": "1.0.0"
},
"agent": {
"ephemeral_id": "468fbf6d-8a90-47d2-8aff-a65d77c316c2",
"hostname": "srv",
"id": "c0526522-ca71-4a2a-a0e5-aa33f1e7c76e",
"version": "7.1.0",
"type": "journalbeat"
},
"message": "time=\"2019-05-28T16:54:07.866182040+02:00\" level=info msg=\"NetworkDB stats srv(cc5972674014) - netID:gpnvf5y5wthv491ypvpzunbot leaving:false netPeers:1 entries:2 Queue qLen:0 netMsg/s:0\"",
"journald": {
"custom": {
"stream_id": "2e5695063ac54814a73ca48966594789",
"selinux_context": "unconfined\n"
}
},
"event": {
"created": "2019-05-28T14:54:07.907Z"
},
"host": {
"architecture": "x86_64",
"hostname": "srv",
"id": "77c0caf0e493e9cd0f7c689856d9e916",
"boot_id": "a51ba1fe7c884be685c53329db0f036b",
"name": "srv",
"os": {
"codename": "bionic",
"platform": "ubuntu",
"version": "18.04.2 LTS (Bionic Beaver)",
"family": "debian",
"name": "Ubuntu",
"kernel": "4.15.0-50-generic"
},
"containerized": false
},
"syslog": {
"facility": 3,
"priority": 6,
"identifier": "dockerd"
},
"process": {
"pid": 7607,
"name": "dockerd",
"uid": 0,
"cmd": "/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H tcp://0.0.0.0:2375",
"executable": "/usr/bin/dockerd-ce",
"capabilites": "3fffffffff"
}
},
"fields": {
"@timestamp": [
"2019-05-28T14:54:07.866Z"
],
"event.created": [
"2019-05-28T14:54:07.907Z"
]
},
"sort": [
1559055247866
]
}
被送到elasticsearch(然后我通过kibana看到)。请注意
"syslog": {
"facility": 3,
"priority": 6,
"identifier": "dockerd"
},
然后在kibana中解析为syslog.priority:6的部分
处理器应如何连接到“所有事件”您能否提供journalbeat的完整配置文件?我也有同样的问题,但我使用的不是处理器而是日志存储过滤器。无论如何,问题都是一样的:忽略关于优先级的过滤器。事实上,我已经在Logstash的github中填写了一个问题(就是这样:),因为我确信这是它的错误,尽管现在我不太确定使用处理器是否具有相同的行为。无论如何,当系统日志优先级由一些(beat?,logstash?)ELK堆栈段处理时,肯定发生了什么错误?您能提供journalbeat的完整配置文件吗?我也有同样的问题,但我使用的不是处理器,而是logstash过滤器。无论如何,问题都是一样的:忽略关于优先级的过滤器。事实上,我已经在Logstash的github中填写了一个问题(就是这样:),因为我确信这是它的错误,尽管现在我不太确定使用处理器是否具有相同的行为。无论如何,当系统日志优先级由一些(beat?、logstash?)麋鹿堆栈块处理时,肯定发生了什么错误