ログ出力先に複数フォーマットのログが出力される場合

keikei12 · November 15, 2019, 2:03am

logstashの仕様でご存じでしたら教えて下さい。
現在下記のような設定を入れています。

               match => {"message" => '%{TIMESTAMP_ISO8601}\s*%{DATESTAMP_OTHER}%{LOGLEVEEL}:\s*%{GREEDYDATA:multilog}'

                                     hosts    => [ 'ホストIP' ]

filebeatでtest.logの内容を取り込むのですが、このtest.logには様々なフォーマットのログが入ってきます。

matchで指定したメッセージと一致しない場合に、
elasticsearchには取り込まれないようにしたいです。

何か良い方法はあるでしょうか？

tsgkdt · November 15, 2019, 3:06am

grokでマッチしなかった場合、初期値のままであれば_grokparsefailureという値がtagsの中に入っているかと思います。

このことから、「tagsの中に_grokparsefailureがなければ、outputのelasticsearchを実行する」という条件をつけられれば良いと考えれば、こんな書き方で実現できるかと思います。

output {
    if "_grokparsefailure" not in [tags] {
        elasticsearch { ... }
    }
}

system · December 13, 2019, 3:06am

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.

Topic		Replies	Views
Logstashでのログ取込で前半部分が欠損する日本語による質問・議論はこちら	1	874	January 20, 2020
Logstashのgrok内のmatchのパターンについて日本語による質問・議論はこちら	4	8943	January 11, 2017
Logstashでログメッセージが欠損している可能性について日本語による質問・議論はこちら	4	1222	December 24, 2020
Beat または logstash で出力を任意タイミングで行いたい日本語による質問・議論はこちら	2	597	September 3, 2019
Logstashとfilebeatの役割日本語による質問・議論はこちら	1	894	February 22, 2023