Logstash应仅记录grok解析的消息

时间:2017-01-16 09:54:07

标签: logstash logstash-grok logstash-configuration grok

目前我有一个ELK堆栈,其中日志由filebeat发送,在logstash中的一些过滤器之后,它被转发到ES。由于存在大量服务器和日志,因此需要使用大量日志进行日志记录,但我已将过滤器配置为仅处理非常特定类型的日志消息。它做得很好,但是甚至不匹配的日志都记录在logstash.log文件中。正如我之前提到的那样,巨大的日志即将到来,logstash.log文件的大小很快就会达到很高的值,并且会出现空间问题。如何配置logstash以便我只记录已处理的日志,而不是所有日志。

1 个答案:

答案 0 :(得分:0)

您可以使用logrotate每天自动轮播或一旦达到某个阈值。然后,您可以将旋转次数设置为1或2.这样您就可以在需要进行故障排除时查看文件的内容,但在创建空间争用之前进行清除。