logstashの仕様でご存じでしたら教えて下さい。
現在下記のような設定を入れています。
beats { port => "5044" }
grok {
match => {"message" => '%{TIMESTAMP_ISO8601}\s*%{DATESTAMP_OTHER}%{LOGLEVEEL}:\s*%{GREEDYDATA:multilog}'
}
elasticsearch {
hosts => [ 'ホストIP' ]
}
filebeatでtest.logの内容を取り込むのですが、このtest.logには様々なフォーマットのログが入ってきます。
matchで指定したメッセージと一致しない場合に、
elasticsearchには取り込まれないようにしたいです。
何か良い方法はあるでしょうか?
grokでマッチしなかった場合、初期値のままであれば_grokparsefailureという値がtagsの中に入っているかと思います。
このことから、「tagsの中に_grokparsefailureがなければ、outputのelasticsearchを実行する」という条件をつけられれば良いと考えれば、こんな書き方で実現できるかと思います。
output {
if "_grokparsefailure" not in [tags] {
elasticsearch { ... }
}
}
© 2020. All Rights Reserved - Elasticsearch
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant logo are trademarks of the Apache Software Foundation in the United States and/or other countries.