我有一条消息,例如“服务正在运行”,我无法更改,因此在日志Grok Parser中,我想将其替换为“信息|服务正在运行”或手动或以某种方式手动分配,例如%{level=INFO}。
请帮忙。
答案 0 :(得分:1)
您可以通过两个步骤在处理管道中执行此操作:
Service is running匹配的规则设置Category Processor,并将新属性应用于值为level:info的那些日志Status Remapper以从名为level的属性获取状态如果要使用其他查询/模式来确定日志级别/状态,则可以向(1)中的Category Processor添加多个规则,并且可以映射level值到info/warn/error以及任何其他相关状态值。