我已经安装了ELK并在我的机器上工作,但现在我想根据事件消息进行更复杂的过滤和字段添加.
具体来说,我想根据消息模式设置"id_error"和"descripcio".
我在"logstash.conf"文件中尝试了很多代码组合,但是我无法获得预期的行为.
有人能告诉我我做错了什么,我该做什么或者这是不可能的?提前致谢.
这是我的"logstash.conf"文件,我做了最后一次测试,结果没有在Kibana中捕获事件:
input {
file {
path => "C:\xxx.log"
}
}
filter {
grok {
patterns_dir => "C:\elk\patterns"
match => [ "message", "%{ERROR2:error2}" ]
add_field => [ "id_error", "2" ]
add_field => [ "descripcio", "error2!!!" ]
}
grok {
patterns_dir => "C:\elk\patterns"
match => [ "message", "%{ERROR1:error1}" ]
add_field => [ "id_error", "1" ]
add_field => [ "descripcio", "error1!!!" ]
}
if ("_grokparsefailure" in [tags]) { drop {} }
}
output {
elasticsearch {
host => "localhost" …