我需要删除密钥为404的条目。我当前的过滤器似乎不起作用。
我只需删除字段而不是整行。
if [net][status] == "404" {
mutate {
remove_field => [ "[url][queryString]" ]
}
}
答案 0 :(得分:0)
如果您要删除条目,我建议使用drop {}。这会阻止记录进入logstash管道。您所做的就是删除特定的"字段"来自你的记录。
if [net][status] == "404" {
drop{ }
}