logstash - 如何在logstash中进行两个条件检查并编写更好的配置文件-6ren

logstash - 如何在logstash中进行两个条件检查并编写更好的配置文件

转载作者：行者123 更新时间：2023-12-04 11:23:51

25

4

我使用的是logstash 1.4.2，

我在客户端日志服务器中有这样的 logstash-forwarder.conf

{
    "network": {
      "servers": [ "xxx.xxx.xxx.xxx:5000" ],
      "timeout": 15,
      "ssl ca": "certs/logstash-forwarder.crt"
    },
  "files": [
       {
          "paths": [ "/var/log/messages" ],
          "fields": { "type": "syslog" }
        },
        {

          "paths": [ "/var/log/secure" ],
          "fields": { "type": "linux-syslog" }
        }
         ]
}

================================================== ========

在logstash服务器中

1.过滤器.conf

filter {
  if [type] == "syslog" {
date {
        locale => "en"
        match => ["syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss"]
        timezone => "Asia/Kathmandu"
        target => "@timestamp"
        add_field => { "debug" => "timestampMatched"}
   }
    grok {
      match => { "message" => "\[%{WORD:messagetype}\]%{GREEDYDATA:syslog_message}" }
      add_field => [ "received_at", "%{@timestamp}" ]
      add_field => [ "received_from", "%{host}" ]
    }
    syslog_pri { }
  }
if [type] == "linux-syslog" {
date {
        locale => "en"
        match => ["syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss"]
        timezone => "Asia/Kathmandu"
        target => "@timestamp"
        add_field => { "debug" => "timestampMatched"}
   }
    grok {
      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
      add_field => [ "received_at", "%{@timestamp}" ]
      add_field => [ "received_from", "%{host}" ]
    }
    syslog_pri { }
mutate { replace => [ "syslog_timestamp", "%{syslog_timestamp} +0545" ] }

  }
}

================================================== ======

2. 输出.conf

output {
    if [messagetype] == "WARNING" {
 elasticsearch { host => "xxx.xxx.xxx.xxx" }
  stdout { codec => rubydebug }
}

 if [messagetype] == "ERROR" {
 elasticsearch { host => "xxx.xxx.xxx.xxx" }
  stdout { codec => rubydebug }
}

if [type] == "linux-syslog" {
 elasticsearch { host => "xxx.xxx.xxx.xxx" }
  stdout { codec => rubydebug }
}

}

================================================== ======

我希望所有日志都从/var/log/secure 转发，而只有来自/var/log/messages 的 ERROR 和 WARNING 日志，我知道这不是一个好的配置。我希望有人向我展示一种更好的方法来做到这一点。

最佳答案

我更喜欢对过滤器块中的事件做出决定。我的输入和输出块通常非常简单。从那里，我看到两个选项。

使用下拉过滤器

drop filter导致事件被丢弃。它永远不会出现在您的输出中:

filter {
    #other processing goes here

    if [type] == "syslog" and [messagetype] not in ["ERROR", "WARNING"] {
        drop {}
    }
}

这样做的好处是它非常简单。

缺点是事件刚刚被丢弃。根本不会输出。这很好，如果这是你想要的。

使用标签

许多过滤器允许您添加标签，这对于在插件之间传达决策非常有用。您可以附加一个标签，告诉您的输出块将事件发送到 ES:

filter {
    #other processing goes here

    if [type] == "linux-syslog" or [messagetype] in ["ERROR", "WARNING"] {
        mutate {
            add_tag => "send_to_es"
        }
    }
}

output {
    if "send_to_es" in [tags] {
        elasticsearch {
            #config goes here
        }
    }
}

这样做的好处是它允许精细控制。

这样做的缺点是工作量更大，并且您的 ES 数据最终会受到一点污染(标签将在 ES 中可见和可搜索)。

关于logstash - 如何在logstash中进行两个条件检查并编写更好的配置文件，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/25679181/

25

4

0

文章推荐： version-control - 在 Perforce 中查看具有特定版本的文件

文章推荐： r - 如何在facet_wrap中包含所有轴

文章推荐：对大数据集中行的相对引用

文章推荐： r - sqlSave 用空格填充数字/整数

html - 是完全不渲染 HTML 更好，还是添加显示 :none? 更好
据我所知，根本不为元素呈现 HTML，或添加 display:none，似乎具有完全相同的行为:两者都使元素消失并且不与 HTML 交互。我正在尝试禁用和隐藏一个复选框。所以HTML的总量很小；我无
android - 在单个进程中使用 AsyncTask(或 Timer)更好，还是在单独的进程中使用 Service 更好？
我刚刚读了Android Architecture Tutorial: Developing an App with a Background Service (using IPC) .基本上是让服
mysql - 在 SELECT 中使用 SUM() 更好，还是在 SUB-SELECT 中使用 SUM() 更好？
我有两个查询具有相同的结果，现在我想知道哪个查询更优化？在选择中: select t1.*, sum(t2.value) as total_votes from table1 t1 left joi
blocking - 为什么 cpu bound 对阻塞 I/O 更好，而 I/O bound 对非阻塞 I/O 更好
有人告诉我，对于 I/O 绑定(bind)的应用程序，非阻塞 I/O 会更好。对于 CPU 密集型应用程序，阻塞 I/O 会好得多。我找不到这种说法的原因。试过谷歌，但很少有文章只是触及这个话题而没有
python - 使复杂性更小(更好)
我有一个算法可以在数字列表中寻找好的对。一个好的配对被认为是索引 i 小于 j 且 arr[i] 1: # Finding the mid of the array
python - 使复杂性更小(更好)
我有一个算法可以在数字列表中寻找好的对。一个好的配对被认为是索引 i 小于 j 且 arr[i] 1: # Finding the mid of the array
javascript - 更好/更快地修改嵌套对象不同深度下找到的所有匹配属性的方法
我从 API 收到一个 json，我需要解析并修改一个属性值。问题是，我收到的 json 数据的嵌套结构不一致，我无法控制它。这将禁止我指定在特定深度(如 parsedJson.children[0
mysql - 哪一个运行起来更安全/更好？
我有 451 个城市的坐标。现在我想计算每个城市之间的距离，然后根据该距离对一些结果进行排序。现在我有两个选择: 我可以运行一个循环来计算每个可能的城市组合的距离并将它们存储到一个表中，这将产生大约
sql - 哪个查询计划更快/更好
对于返回相同结果的不同查询，我有两个查询计划我想知道是否有人可以告诉我哪个“更好”，以及为什么。 SELECT * FROM bids order by (select ranking from us
android - 请解释阵列适配器及其用途。更好
关闭。这个问题需要更多focused .它目前不接受答案。想改进这个问题吗？更新问题，使其只关注一个问题 editing this post . 关闭 7 年前。 Improve this qu
c++ - 执行直接指针操作还是 [] 更好
我有一个二维数组。我需要尽可能快地对其执行一些操作(函数每秒将被调用十几次，所以让它变得高效会很好)。现在，假设我想获取元素 A[i][j]，简单地使用 A[i][j] 在速度上有什么不同吗和 *(
c# - 什么时候在字符串前使用@更好？
在声明或使用字符串的代码中，我通常会看到开发人员这样声明它: string randomString = @"C:\Random\RandomFolder\ThisFile.xml"; 代替: str
html - 为什么把所有的标签都写成一种样式比使用通用选择器(*)更好？
这个问题在这里已经有了答案: 关闭 10 年前。 Possible Duplicate: Why don't CSS resets use '*' to cover all elements? 我正
python - 更好/更快地循环遍历集合或列表？
如果我有一个包含许多重复项的 python 列表，并且我想遍历每个项目，而不是重复项，最好使用一个集合(如 set(mylist)，或者找到另一种方法来创建没有重复的列表？我想只是循环遍历列表并检查重
java - 没有实例的最终常量类如何比常量接口(interface)更好？
在阅读常量接口(interface)反模式时，我发现没有实例的最终常量类比常量接口(interface)更好。请解释一下怎么做？ public interface ConstIfc { publ
C:为什么 &= 比 = 更好？
我正在查看我继承的一些旧代码，我真的不喜欢某些地方的风格。我真的不喜欢它的外观的一件事是: bool func() { bool ret = true; ret &= test1();
java - @Path 注解中的路径参数，更好
关闭。这个问题是opinion-based 。目前不接受答案。想要改进这个问题吗？更新问题，以便 editing this post 可以用事实和引文来回答它。 . 已关闭 4 年前。 Improv
c++ - 访问者模式是否比受控使用 RTTI 更好？
我经常发现自己试图使用 boost/QT 信号解耦对象。实现这一点的简单方法是针对我要通信的每个具体类型，创建一个新的信号和插槽签名并连接所有相关对象。这导致了访问者模式，理想情况下我想发出一个访问者
java - 为什么这段代码片段中的 lambda 更好？
我正在 https://docs.oracle.com/javase/tutorial/java/javaOO/lambdaexpressions.html 上阅读有关 lambda 的内容在方法
java - 为什么从创建列表的方法返回 unmodifyingList 更好？
public List getInts() { List xs = new ArrayList(); xs.add(1); // return Collections.unmo

首页

博学

6Ren·AI

商城

logstash - 如何在logstash中进行两个条件检查并编写更好的配置文件