我需要简单的解释:slight_smile:我是 logstash 的初学者 我有一些问题:slight_smile:
标签_gorkparsefailure 是做什么用的?如果我删除这个标签会发生什么?
如何去除标签multiline?
如何从我的 grok 字段中创建条件(grok 中的条件)?
什么是endpoint?
【问题讨论】:
标签: logstash logstash-grok elastic-stack
grok{} 是一个过滤器,用于将较大的字段(如整个日志行)解析为较小的字段。如果您的模式与给定的输入不匹配,则会将“_grokparsefailure”标签添加到事件中。如果删除它,您将失去发生此类故障的知识。我建议找出失败的原因并解决它。
您可以使用大多数过滤器上可用的 remove_tag 参数删除标签。 mutate{} 过滤器是一个常用的过滤器:
变异{ remove_tag => [“多行”] }
如果我正确理解了这个问题,您可以在条件中使用由 grok{} 创建的字段来运行其他过滤器:
如果 [myField] == "myValue" { ... }
通常,端点是目的地。在 ELK 世界中,我只看到它用于 http{} 输入和输出,用于将网站描述为目的地。
【讨论】: