删除包含特定字符串的日志消息

Question

所以我有以下格式的日志消息：

[INFO]  <blah.blah>       2016-06-27 21:41:38,263 some text
[INFO]  <blah.blah>       2016-06-28 18:41:38,262 some other text

现在我想删除所有不包含特定字符串“xyz”的日志并保留所有其余的。我也想索引时间戳。

grokdebug 没有多大帮助。

这是我的尝试：

input {
    file {
         path => "/Users/username/Desktop/validateLogconf/logs/*"
      start_position => "beginning"

   }
}

filter {

  grok {
      match => {
      "message" => '%{SYSLOG5424SD:loglevel}  <%{JAVACLASS:job}>       %{GREEDYDATA:content}'
      }
  }

  date {
    match => [ "Date", "YYYY-mm-dd HH:mm:ss" ]
    locale => en
  }

}

output {
  stdout {
codec => plain {
                        charset => "ISO-8859-1"
                }

}
    elasticsearch {
        hosts => "http://localhost:9201"
        index => "hello"

  }
}

我是新来的，所以上面的模式可能没有意义。请帮忙。

Answer 1

要检查您的消息是否包含子字符串，您可以这样做：

if [message] =~ "a" {
   mutate {
      add_field => { "hello" => "world" }
   }
}

因此，在您的情况下，您可以使用 if 调用 drop{} 过滤器，或者您可以将输出插件包装在其中。

要解析日期并将其写回您的时间戳字段，您可以使用以下内容：

date {
    locale => "en"
    match => ["timestamp", "ISO8601"]
    timezone => "UTC"
    target => "@timestamp"
    add_field => { "debug" => "timestampMatched"}
}

这与我的时间戳相匹配：

• 源字段：“时间戳”（参见匹配项）
• 格式为“ISO...”，您可以使用与您的时间戳匹配的自定义格式
• 时区 - 不言自明
• 目标 - 将其写回事件的“@timestamp”字段
• 添加调试字段以检查是否匹配正确

希望对你有帮助，

阿图尔

Answer 2

删除不包含字符串xyz的消息：

if ([message] !~ "xyz") {
    drop { }
}

您的 grok 模式没有获取日志的日期部分。
从 grok 模式中获得包含日期的字段后，您可以在该字段上调用日期过滤器。
所以你的 grok 过滤器应该是这样的：

grok {
    match => {
        "message" => '%{SYSLOG5424SD:loglevel}  <%{JAVACLASS:job}>       %{TIMESTAMP_ISO8601:Date} %{GREEDYDATA:content}'
    }
}

我添加了一个部分来获取日期，它将在字段Date 中。然后你可以使用日期过滤器：

date {
    match => [ "Date", "YYYY-mm-dd HH:mm:ss,SSS" ]
    locale => en
}

我添加了,SSS，以便格式与Date 字段中的格式相匹配。 解析后的日期将存储在 @timestamp 字段中，除非使用 target 参数另有指定。