我们正在使用logstash捕获日志消息。
应用程序日志有时包含很长的行,并且Splunk无法提取超过10k左右的消息(默认)。
如何使用logstash删除大型邮件?
答案 0 :(得分:0)
需要Logstash> = 5:
filter {
if [message] {
ruby {
code => "event.cancel if event.get('message').bytesize > 8192"
}
}
}