我正在使用logstash监视我的生产服务器日志,但是它将所有日志从信息中抛出到错误中,我想要的是它只能从日志文件中选取错误并将其扔到logstash kibana视图中。
答案 0 :(得分:0)
使用grok解析日志后,您可以使用logstash conditionals检查loglevel(或您的字段名称)是否等于ERROR。如果确实如此,请将其转发到您的输出插件,
output {
if [loglevel] == "ERROR"{ # Send ERROR logs only
elasticsearch {
...
}
}
}
如果您正在使用文件拍子来发送日志,则可以使用Processors来仅发送contains ERROR的日志。
包含条件检查值是否为字段的一部分。场 可以是字符串或字符串数组。该条件仅接受 字符串值。
例如,以下条件检查错误是否是 交易状态:
contains:
status: "Specific error"
取决于您的日志格式,您也许可以使用文件拍处理器支持的许多条件之一,
每个条件接收一个要比较的字段。您可以指定多个 在相同条件下通过在字段之间使用AND将字段 例如field1 AND field2)。
对于每个字段,您可以指定一个简单的字段名称或一个嵌套地图, 例如dns.question.name。
您可以阅读有关Conditions here
的更多信息