elasticsearch 如何通过处理器限制日志记录级别?,elasticsearch,logstash,logstash-configuration,elastic-beats,elasticsearch,Logstash,Logstash Configuration,Elastic Beats" /> elasticsearch 如何通过处理器限制日志记录级别?,elasticsearch,logstash,logstash-configuration,elastic-beats,elasticsearch,Logstash,Logstash Configuration,Elastic Beats" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 如何通过处理器限制日志记录级别?

elasticsearch 如何通过处理器限制日志记录级别?

logstash

elasticsearch 如何通过处理器限制日志记录级别?,elasticsearch,logstash,logstash-configuration,elastic-beats,elasticsearch,Logstash,Logstash Configuration,Elastic Beats,我通常将journald事件发送到logstash(然后最终发送到elasticsearch)。我只对优先级较高的消息感兴趣 在我的journalbat.yml文件的最顶端 processors: - drop_event: when: range: syslog.priority.gte: 5 我的意图是(在所有事件上)运行一个处理器,该处理器将删除具有大于或等于5(=删除debug和info消息)的syslog.priority字段的事件 这

我通常将
journald
事件发送到logstash(然后最终发送到elasticsearch)。我只对优先级较高的消息感兴趣

在我的
journalbat.yml
文件的最顶端

processors:
 - drop_event:
     when:
        range:
          syslog.priority.gte: 5
我的意图是(在所有事件上)运行一个处理器,该处理器将删除具有大于或等于
5
(=删除
debug
info
消息)的
syslog.priority
字段的事件

这显然不起作用,因为我看到如下消息

{
  "_index": "journalbeat-7.1.0-2019.05.28-000001",
  "_type": "_doc",
  "_id": "mlHv_moBGanrPHbULpIO",
  "_version": 1,
  "_score": null,
  "_source": {
    "@timestamp": "2019-05-28T14:54:07.866Z",
    "systemd": {
      "slice": "system.slice",
      "unit": "docker.service",
      "transport": "stdout",
      "cgroup": "/system.slice/docker.service",
      "invocation_id": "6b251fbc93814b26b857e33f79f261d2"
    },
    "ecs": {
      "version": "1.0.0"
    },
    "agent": {
      "ephemeral_id": "468fbf6d-8a90-47d2-8aff-a65d77c316c2",
      "hostname": "srv",
      "id": "c0526522-ca71-4a2a-a0e5-aa33f1e7c76e",
      "version": "7.1.0",
      "type": "journalbeat"
    },
    "message": "time=\"2019-05-28T16:54:07.866182040+02:00\" level=info msg=\"NetworkDB stats srv(cc5972674014) - netID:gpnvf5y5wthv491ypvpzunbot leaving:false netPeers:1 entries:2 Queue qLen:0 netMsg/s:0\"",
    "journald": {
      "custom": {
        "stream_id": "2e5695063ac54814a73ca48966594789",
        "selinux_context": "unconfined\n"
      }
    },
    "event": {
      "created": "2019-05-28T14:54:07.907Z"
    },
    "host": {
      "architecture": "x86_64",
      "hostname": "srv",
      "id": "77c0caf0e493e9cd0f7c689856d9e916",
      "boot_id": "a51ba1fe7c884be685c53329db0f036b",
      "name": "srv",
      "os": {
        "codename": "bionic",
        "platform": "ubuntu",
        "version": "18.04.2 LTS (Bionic Beaver)",
        "family": "debian",
        "name": "Ubuntu",
        "kernel": "4.15.0-50-generic"
      },
      "containerized": false
    },
    "syslog": {
      "facility": 3,
      "priority": 6,
      "identifier": "dockerd"
    },
    "process": {
      "pid": 7607,
      "name": "dockerd",
      "uid": 0,
      "cmd": "/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H tcp://0.0.0.0:2375",
      "executable": "/usr/bin/dockerd-ce",
      "capabilites": "3fffffffff"
    }
  },
  "fields": {
    "@timestamp": [
      "2019-05-28T14:54:07.866Z"
    ],
    "event.created": [
      "2019-05-28T14:54:07.907Z"
    ]
  },
  "sort": [
    1559055247866
  ]
}
被送到elasticsearch(然后我通过kibana看到)。请注意

    "syslog": {
      "facility": 3,
      "priority": 6,
      "identifier": "dockerd"
    },
然后在kibana中解析为syslog.priority:6的部分

处理器应如何连接到“所有事件”

您能否提供journalbeat的完整配置文件?我也有同样的问题,但我使用的不是处理器而是日志存储过滤器。无论如何,问题都是一样的:忽略关于优先级的过滤器。事实上,我已经在Logstash的github中填写了一个问题(就是这样:),因为我确信这是它的错误,尽管现在我不太确定使用处理器是否具有相同的行为。无论如何,当系统日志优先级由一些(beat?,logstash?)ELK堆栈段处理时,肯定发生了什么错误?您能提供journalbeat的完整配置文件吗?我也有同样的问题,但我使用的不是处理器,而是logstash过滤器。无论如何,问题都是一样的:忽略关于优先级的过滤器。事实上,我已经在Logstash的github中填写了一个问题(就是这样:),因为我确信这是它的错误,尽管现在我不太确定使用处理器是否具有相同的行为。无论如何,当系统日志优先级由一些(beat?、logstash?)麋鹿堆栈块处理时,肯定发生了什么错误