nxlog&；logstash-删除与给定EventID不匹配的消息_Logstash_Nxlog

nxlog&；logstash-删除与给定EventID不匹配的消息

logstash

nxlog&；logstash-删除与给定EventID不匹配的消息,logstash,nxlog,Logstash,Nxlog,我正在使用Nxlog将我的Windows Server日志转发到LogStash，并尝试从LogStash中删除不等于给定Windows eventId的消息。正确的语法是什么以下是我尝试过的： if [type] == "WindowsLog" { if [EventID] <> 123 { drop { } } 及 [Ev

我正在使用Nxlog将我的Windows Server日志转发到LogStash，并尝试从LogStash中删除不等于给定Windows eventId的消息。正确的语法是什么

以下是我尝试过的：

if [type] == "WindowsLog" {
            if      [EventID] <> 123
                    {

                            drop { }
            }

及

[EventID]==123

这应该匹配，然后您可以删除。

最后一个应该可以（除了结尾缺少右括号，但我认为这是复制/粘贴错误），但它可能要求EventID字段是整数字段（而不是字符串字段）。是吗？谢谢，我把它添加到了它自己的if语句中，因为我在下面的其他语句中尝试添加标记。我现在让它工作，但只为一个EventID。当试图添加or语句时，它似乎会删除所有事件如果[type]=“WindowsLog”{if[EventID]！=538或[EventID]！=540{drop{}}}是，因为无论您有什么事件id，它要么不等于538，要么不等于540。您要删除事件id不等于538和不等于540的消息。在本例中，538和540都是我要保留的事件（我使用这两个事件进行测试，因为它们在我的日志中很常见）。使用AND运算符，我只收到538条消息，没有收到540条消息？然后我不知道发生了什么事。从逻辑上讲，这是正确的条件；如果事件id不是538也不是540，请删除该消息。

 if [type] == "WindowsLog" {
            if      ![EventID] == 123
                    {

                            drop { }
            }

if [type] == "WindowsLog" {
            if      [EventID] != 123
                    {

                            drop { }
            }