Logstash应该只记录grok解析的消息
目前我有一个ELK堆栈,其中日志由filebeat发送,在logstash中经过一些过滤后,它被转发到ES。由于有大量的服务器和日志,大量日志将被保存,但是我已经将过滤器配置为只处理非常特定类型的日志消息。这很好,但不匹配的日志记录在logstash.log文件中。正如我前面提到的,巨大的日志即将出现,logstash.log文件的大小很快就会达到一个很高的值,并且会出现空间问题。如何配置日志存储,以便我只记录已处理的日志,而不是所有日志。您可以使用logrotate每天或在达到某个阈值时自动旋转。然后可以将旋转次数设置为1或2。这将使您有时间查看文件中的内容,以防需要进行故障排除,但在文件产生空间争用之前进行清除Logstash应该只记录grok解析的消息,logstash,logstash-grok,logstash-configuration,grok,Logstash,Logstash Grok,Logstash Configuration,Grok,目前我有一个ELK堆栈,其中日志由filebeat发送,在logstash中经过一些过滤后,它被转发到ES。由于有大量的服务器和日志,大量日志将被保存,但是我已经将过滤器配置为只处理非常特定类型的日志消息。这很好,但不匹配的日志记录在logstash.log文件中。正如我前面提到的,巨大的日志即将出现,logstash.log文件的大小很快就会达到一个很高的值,并且会出现空间问题。如何配置日志存储,以便我只记录已处理的日志,而不是所有日志。您可以使用logrotate每天或在达到某个阈值时自动旋