elasticsearch 过滤日志存储中的日志并保存到弹性搜索,elasticsearch,logstash,elk,elasticsearch,Logstash,Elk" /> elasticsearch 过滤日志存储中的日志并保存到弹性搜索,elasticsearch,logstash,elk,elasticsearch,Logstash,Elk" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 过滤日志存储中的日志并保存到弹性搜索

elasticsearch 过滤日志存储中的日志并保存到弹性搜索

logstash

elasticsearch 过滤日志存储中的日志并保存到弹性搜索,elasticsearch,logstash,elk,elasticsearch,Logstash,Elk,我正在将所有日志转储到弹性搜索中。 看起来像。 现在我想: 只能将有限的字段推送到ES 解析消息部分并添加另一个字段log.level:,并保存消息字段中的值INFO/DEBUG/ERROR 谁能帮我做那件事。我是个新手 我的logstash.conf是 input { beats { port => 5044 } } output { if [agent][hostname]=="TEST-PC"

我正在将所有日志转储到弹性搜索中。 看起来像。

现在我想:

  • 只能将有限的字段推送到ES
  • 解析消息部分并添加另一个字段
    log.level:
    ,并保存消息字段中的值INFO/DEBUG/ERROR
    • 谁能帮我做那件事。我是个新手

    我的logstash.conf是

     input {
      beats {
        port => 5044
       }
    }
 
output {
        if [agent][hostname]=="TEST-PC"{
                elasticsearch {
                        hosts => ["localhost:9200"]
                        manage_template => false
                        index => "INDEXNAME"
                        user => "elastic"
                        password => "password"
              }
          }     
      }
    将此筛选器部分添加到日志存储配置文件中

    filter {
      grok {
        match => { "message" => "%{TIMESTAMP_ISO8601}\s\[%{NOTSPACE:Meta}\]\s%{WORD:Logtype}\s%{GREEDYDATA:Log_Message}" }
      }
      if "INFO" in [Logtype] {
          drop{}
      }
  }
    将此筛选器部分添加到日志存储配置文件中

    filter {
      grok {
        match => { "message" => "%{TIMESTAMP_ISO8601}\s\[%{NOTSPACE:Meta}\]\s%{WORD:Logtype}\s%{GREEDYDATA:Log_Message}" }
      }
      if "INFO" in [Logtype] {
          drop{}
      }
  }
    请显示您现有的日志存储配置文件。@Val现在将配置添加到描述中。请检查!您可以粘贴一些需要筛选的日志吗?您可以使用日志存储的
    grok
    filter来筛选出所需的字段。请显示您现有的日志存储配置文件。@Val现在将配置添加到描述中。请检查!您可以粘贴一些需要过滤的日志吗?您可以使用logstash的
    grok
    filter来过滤出所需的字段。