是否可以从logstash中的日志文件中仅拾取错误条目_Logstash

是否可以从logstash中的日志文件中仅拾取错误条目

logstash

是否可以从logstash中的日志文件中仅拾取错误条目,logstash,Logstash,我正在使用logstash监视我的生产服务器日志，但它会将所有日志从信息抛出到错误，我想要的是它只能从日志文件中选择错误并将其抛出logstash kibana视图。在使用grok解析日志后，您可以使用它检查loglevel（或您的字段名）等于错误。如果为真，请将其转发到输出插件 output { if [loglevel] == "ERROR"{ # Send ERROR logs only elasticsearch { ... } } } 如果您使用

我正在使用logstash监视我的生产服务器日志，但它会将所有日志从信息抛出到错误，我想要的是它只能从日志文件中选择错误并将其抛出logstash kibana视图。

在使用

grok

解析日志后，您可以使用它检查

loglevel

（或您的字段名）等于

错误

。如果为真，请将其转发到输出插件

output {
  if [loglevel] == "ERROR"{   # Send ERROR logs only 
    elasticsearch {
    ...
    }
  }
}

如果您使用filebeat发送日志，则可以使用，仅发送出现

错误的日志
包含条件检查值是否是字段的一部分。田野
可以是字符串或字符串数组。该条件只接受一个
字符串值
例如，以下条件检查错误是否属于
交易状态：
根据您的日志格式，您可能可以使用filebeat处理器支持的多种条件之一
每个条件接收一个字段进行比较。您可以指定多个
通过在字段之间使用和，在相同条件下创建字段（对于
例如，字段1和字段2）
对于每个字段，可以指定简单的字段名或嵌套映射，
例如dns.question.name
您可以阅读更多关于是的，我正在使用filebeat，并有三个用于输入筛选和输出的saperate文件。一定会尝试你的解决方案。
contains:
  status: "Specific error"