Logstash:要过滤的paser字段内容

时间:2016-04-12 05:51:17

标签: logstash

我尝试解析日志。

如果日志“没有”具有'特定',如跟随x打印,那么将删除事件这是var obj = { z: true, x: function x(a, b, c) { if (this.z === true) { this.y(x.bind(this, arguments)); } else { console.log(arguments, this) } //blah blah }, y: function(callbackFunc) { //do some stuff //then execute callback function if (this.z) { this.z = false; // pass additional parameters to `x` callbackFunc("abc") }; } } obj.x(1, 2, 3);打印的内容:

logstash

我只能指定字段的内容(前缀是特定的)而不是其字段名称(1_3_6_1_6_3_1_1_4_1_0)

那么如何解析日志以过滤和删除事件?我需要做什么?

如果有人知道怎么做,请帮忙。感谢。

1 个答案:

答案 0 :(得分:0)

您应该能够创建一个过滤器,例如:

filter{
    if "specific" in [1_3_6_1_6_3_1_1_4_1_0] {
        drop{}
    }
}

如果您希望根据缺少“特定”信息而删除邮件,则可以将“in”更改为“not in”。

如果您需要在字段开头匹配“specific”,也可以使用正则表达式匹配:

if [1_3_6_1_6_3_1_1_4_1_0] =~ /^specific.+/ { drop{} }

要将此更改为不匹配'specific',请使用!〜运算符代替=〜

相关问题
最新问题