如何为条件匹配构建logstash过滤器?

问题描述 投票:0回答:1

我计划集中来自操作系统的所有日志,由某人(nginx,sshd,...)和我自己的应用程序提供的应用程序。

所有日志最终都落在/var/log的某个文件中,因此我计划使用Beats将其内容转发给Logstash。我希望解析遵循决策树:

  • 所有进来的东西(= Beats发送的文件内容)都是Syslog格式➜提取时间戳,进程,...... 如果processmyownapp.py➜消息的内容是一个JSON字符串➜转发到Elasticsearch,但也合并上面提取的字段 如果processanotherofmyapps➜消息的内容遵循一种模式➜将其删入字段,添加第一步的提取字段➜发送到ES 如果process是其他任何东西➜发送所有字段(包括原始消息)到ES

是否存在根据以前提取的字段进行链接的情况?

logstash logstash-configuration
1个回答
0
投票

如果在配置中创建了一个字段,则该配置的其余部分可以使用该字段,因此您可以在以后的条件表达式中使用它。

© www.soinside.com 2019 - 2024. All rights reserved.