0
私はELKスタックを使って実験しています。私は解決しようとしている小さな問題があります。 filebeatから 'message'という名前のフィールドがあります。そのフィールドの中には、ロギングのためのデータを含む文字列があります。 時にはそのメッセージのフィールドは、この行が含まれる場合があります。ELK - Logstashでデータをフィルタリングする
successfully saved with IP address: [142.93.111.8] user: [[email protected]]
私はフィルタを適用したいと思いますので、logstashは弾性検索にこれを送信する:
successfully saved with IP address: [] user: [[email protected]]
これは私が現在Logstashに持っているものです構成:
input {
beats {
port => "5043"
codec => json
}
}
filter {
if [message] =~ /IP address:/{
mutate { add_tag => "whats happening" }
}
}
output {
elasticsearch {
hosts => [ "localhost:9200" ]
}
}
何か他のものが私の注意を引いた。 ELKはFilebeatレベルおよびLogstashレベルでテキストフィルタリングを実行できます。どのシナリオが最も一般的なシナリオですか? Filebeatのフィルタリングはより適していますか?
mutate {
gsub => ["message", "address: \[(.*?)]", "address:[not indexable]"]
}
がうまくいけば、誰かがそれを便利見つける:
私は希望のパターンを簡略化しました。 –