如何過濾 Logstash Grok 的字段值
[英]How to filter on a field value for Logstash Grok
問題描述
我正在設置 Logstash 以將 NGINX 日志條目發送到 Elasticsearch。 我目前設置了以下 Grok 模式來匹配條目:
%{IPORHOST:remoteAddr} (?:-|(%{WORD}.%{WORD})) %{USER:ident} \[%{HTTPDATE:timestamp}\] \"(?:%{WORD:method} %{NOTSPACE:request}(?: HTTP/%{NUMBER:httpversion})?|%{DATA:rawrequest})\" %{NUMBER:status} (?:%{NUMBER:bytes}|-) %{QS:referrer} %{QS:agent} %{QS:forwarder}
在這種情況下,方法字段是可選的。
我試圖找出一種方法來忽略存在方法且值等於字符串HEAD的日志條目。
有沒有辦法做到這一點,或者我是 SOL?
1 個解決方案
解決方案1
1 已采納 2021-01-19 21:53:34
如果 [method] 字段具有該值,則使用條件並刪除事件:
if [method] == "HEAD" { drop {} }
如果沒有 [method] 字段,則字符串比較將返回 false 並且不會刪除事件。
Logstash grok 過濾器 - 字段值重復
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.