logstash grok 过滤器忽略消息的某些部分

【问题标题】:logstash grok filter ignore certain parts of messagelogstash grok 过滤器忽略消息的某些部分
【发布时间】:2015-02-26 14:27:01
【问题描述】:

我有一个以syslog 开头的drupal 看门狗日志文件,例如时间戳等,然后有一个管道分隔的我登录看门狗的东西。现在我正在编写一个 grok 过滤规则来从中获取字段。

我在消息正文中有几个 URL,因此我使用 %{URI:request} 来获取这些 URL。但是,这会创建一个名为 port 的字段,该字段始终为空,我不想将很多空字段放入我的弹性搜索数据库中,所以我想知道如何摆脱看起来像这样的空数组:@987654324 @。

【问题讨论】:

    标签: logstash syslog grok


    【解决方案1】:

    如果您想无条件地删除一个字段,只需在您的 grok 块中添加一个 remove_field => ['port']

    如果您想有条件地删除某些内容,您可以使用ruby 过滤器在删除之前检查字段中的内容,或者在mutate { remove_field => ['port'] } 过滤器周围使用if

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2017-07-18
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode