У меня есть файл биения за пределами кластера kubernetes, установленный как приложение на хосте.Я хочу игнорировать два пространства имен в filebeat, так как они очень большие и мне не нужны в elastichsearch.
Вот мое входное определение в filebeat.yml:
- type: log
enabled: true
paths:
- /var/lib/docker/containers/*/*.log
json.message_key: log
json.keys_under_root: true
processors:
- add_kubernetes_metadata:
in_cluster: false
host: main-backend
kube_config: /etc/kubernetes/admin.conf
- drop_event.when.regexp:
or:
- kubernetes.namespace: "kube-system"
- kubernetes.namespace: "monitoring"
Тем не менее, я все еще вижу много журналов из этих пространств имен в моемasticsearch.Есть ли способ отладки, почему это происходит?