这是apache access_log的logstash配置:
input {
file {
path => "/var/log/http.log"
}
}
filter {
grok {
match => { "message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" }
}
}
除了%{WORD:method}
之外,我想收集所有字段如何在转移到ElasticSearch时跳过/忽略该字段?
答案 0 :(得分:1)
你可以通过删除"方法"在WORD之后出现。所以你的grok过滤器看起来像:
match => { "message" => "%{IP:client} %{WORD} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" }
}
冒号后面出现的单词是变量名,其中存储和传递IP,WORD,NUMBER等类型。
答案 1 :(得分:0)
你应该在你的grok过滤器上使用Mutate块。