个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我的日志文件中有一行实际上只有一个分号。我假设它附加到上一行。 Logstash 不断打印它们,我想在有以 ; 开头的行时删除它们。
这是 logstash 打印的内容:
"message" => ";/r"
"@version" => "1"
"@timestamp" => 2014-06-24T15:39:00.655Z,"
"type" => "BCM_Core",
"host => XXXXXXXXXXX",
"Path => XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX",
"tags" => [
[0] "_grokparsefailureZ"
],
"BCM_UTC_TIME" =>"2014-06-24%{time}Z"
我尝试使用多行附加到上一行,这样 logstash 就会停止打印:
multiline{
type => "BCM_Core"
pattern => "\;"
negate => true
what => "previous"
}
但 logstash 仍在打印它们。我怎样才能让 logstash 删除它?
最佳答案
只需使用删除过滤器删除任何以 ; 开头的行:
filter {
if ([message] =~ "^;") {
drop {}
}
}
尽管根据您的输出,它实际上是 ;/r 而不是 ;\r,因此如果您的输出不仅仅是示例,您可能需要进行调整。
你也可以只删除任何无法理解的东西:
if "_grokparsefailure" in [tags] { drop {} }
关于regex - 如何从 logstash 中删除事件?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24391004/
24
4
0
我是一名优秀的程序员,十分优秀!