ログ出力先に複数フォーマットのログが出力される場合

keikei12 · November 15, 2019, 2:03am

logstashの仕様でご存じでしたら教えて下さい。
現在下記のような設定を入れています。

               match => {"message" => '%{TIMESTAMP_ISO8601}\s*%{DATESTAMP_OTHER}%{LOGLEVEEL}:\s*%{GREEDYDATA:multilog}'

                                     hosts    => [ 'ホストIP' ]

filebeatでtest.logの内容を取り込むのですが、このtest.logには様々なフォーマットのログが入ってきます。

matchで指定したメッセージと一致しない場合に、
elasticsearchには取り込まれないようにしたいです。

何か良い方法はあるでしょうか？

tsgkdt · November 15, 2019, 3:06am

grokでマッチしなかった場合、初期値のままであれば_grokparsefailureという値がtagsの中に入っているかと思います。

このことから、「tagsの中に_grokparsefailureがなければ、outputのelasticsearchを実行する」という条件をつけられれば良いと考えれば、こんな書き方で実現できるかと思います。

output {
    if "_grokparsefailure" not in [tags] {
        elasticsearch { ... }
    }
}

system · December 13, 2019, 3:06am

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.