Come posso avere il logstash di eliminare tutti gli eventi che non corrispondono a un gruppo di espressioni regolari?

Sto cercando di abbinare i messaggi di evento con diverse espressioni regolari. Stavo per usare il filtro grep, ma è deprecato quindi sto provando per il rilascio con la negazione.Come posso avere il logstash di eliminare tutti gli eventi che non corrispondono a un gruppo di espressioni regolari?

La funzionalità che sto cercando è quella di far cadere tutti gli eventi a meno che il messaggio corrisponda a diverse espressioni regolari.

Il soffietto del filtro non funziona, ma testato singolarmente entrambe le espressioni funzionano bene. Cosa mi manca?

filter {  
    if ([message] !~ ' \[critical\]: ' or [message] !~ '\[crit\]: ') { 
     drop { } 
    } 
}

fonte

2014-12-12 Darkbluesea

Sei usando un'espressione regolare nel condizionale, ma non passando l'argomento nel formato corretto. Il documento mostra questo:

if [status] =~ /^5\d\d/ { 
    nagios { ... } 
}

Nota l'espressione regolare è non quotata e circondata da barre.

fonte

2014-12-14 07:25:18

Grazie, in realtà questo ha risolto questo e altri problemi. Buona chiamata! – Darkbluesea

stavo leggendo un po 'di più e sono andato lungo con la pittura gli eventi con Grok con l'aggiunta di un tag e rilasciandoli alla fine, se il tag non c'era:

filter { 
    grok { 
    add_tag => [ "valid" ] 
    match => [ 
     "message", ".+ \[critical\]: ?(.+)", 
     "message", ".+ \[crit\]: ?(.+) ", 
     "message", '.+ (Deadlock found.+) ', 
     "message", "(.+: Could not record email: .+) " 
    ] 
    } 

    if "valid" not in [tags] {    
    drop { } 
    } 

    mutate { 
    remove_tag => [ "valid" ] 
    } 
}

fonte

2014-12-12 12:30:40 Darkbluesea

if "_grokparsefailure" in [tags] { 
    drop {} 
}

fonte

2016-01-19 14:42:46

Come posso avere il logstash di eliminare tutti gli eventi che non corrispondono a un gruppo di espressioni regolari?

risposta

Problemi correlati