堆栈内存溢出
  繁体   English   中英

ELK-使用Logstash过滤数据

[英]ELK - Filtering data with Logstash

 原文  2017-04-25 09:40:40       elasticsearch/ logstash/ kibana/ filebeat

问题描述

我正在尝试ELK堆栈,到目前为止效果很好。 我有一个小问题要解决。 我有一个来自filebeat的名为“ message”的字段。 在该字段内是一个字符串,其中包含用于记录的数据。 有时,该消息字段可能包含以下行: 

successfully saved with IP address: [142.93.111.8] user: [testuser@some.com]

我想应用一个过滤器,因此logstash将其发送到Elastic Search: 

successfully saved with IP address: [] user: [testuser@some.com]

这是我目前在Logstash配置中拥有的: 

input {
beats {
    port => "5043"
    codec => json
    }
  }
  filter {

  if [message] =~ /IP address:/{
    mutate { add_tag => "whats happening" }
    }

}

output {
elasticsearch {
   hosts => [ "localhost:9200" ]
   }
 }

其他事情引起了我的注意。 ELK能够在Filebeat级别和Logstash级别上执行文本过滤。 哪种情况最常见? Filebeat筛选是否更合适?

1 个解决方案

解决方案1
 0 已采纳  2017-04-25 15:11:37

我在我的情况下找到了正确的解决方案: 

mutate {
  gsub => ["message", "address: \[(.*?)]", "address:[not indexable]"]
}

希望有人会发现它有用。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 ELK - Logstash + Redis - 数据复制 在ELK中标准化日志数据-Elastic Logstash Kibana sebp / elk logstash无法使用Kafka接收数据 使用logstash(ELK)轮询日志 ELK堆栈中的Logstash和filebeat 集群ELK + Kibana + Logstash Logstash 的不一致流式传输行为 - ELK ELK LDAP日志过滤 logstash / ELK / elasticsearch中的时区错误 ELK 堆栈中的新字段 - logstash
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM