美好的一天,
(使用logstash 1.4.2)
我正在尝试做类似的事情:
filter { if type == "feed" { grok { match => [ "message", "%{COMBINEDAPACHELOGS}" ] add_tag => [ "grokked", "web" ] tag_on_failure => [ "notweb" ] } } if type == "feed" and "notweb" in [tags] { grok { patterns_dir => "/opt/logstash/patterns" match => [ "message", "%{ERROPARSING}" ] add_tag => [ "grokked", "%{[level]}" ] # %{level} named from ERRORPARSING } } } 但是,所有的不重复的东西都会以一个_grokparsefailure结尾,好像下一步没有经过testing/评估。
%{ERRORPARSING}在grokdebugger中testing正确。
不知道这是否是原因,但无论如何,这是一个build议:
if type == "feed" and "notweb" in [tags] {
也许不是完全需要的,除非你有多个不同的东西你不标记,在这种情况下,你可以改变标签:
if "notweb" in [tags] {
此外,只是因为在grokdebugger中有一些作品,并不总是意味着它会在logstash中工作,有一些区别,如果我的第一个build议不起作用,粘贴你的模式