使用grok过滤器插件跳过日志的前几行

问题描述投票：0回答：1

是否有可能从以下日志的日期时间开始删除整个第一行？该要求仅适用于第二行。

Dec 09, 2019 12:55:22 PM hudson.slaves.CommandLauncher launch
INFO: agent launched for ci-vd6

以上如何使用grok过滤器插件？

logstash elastic-stack logstash-grok grok

1个回答

0
投票

您可以跳过这样的行：

if [message] =~ /^2019/ {
  drop { }
}

现在您只需要在需要时就可以更改regex以放置行。

最新问题

© www.soinside.com 2019 - 2024. All rights reserved.