--- У меня есть файл конфигурации log-stash.
--- В котором мне нужно прекратить чтение файла журнала при совпадении шаблона. и когда я решу этот шаблон (ошибка) и обновлю файл журнала.
--- Затем он должен начать чтение файла с последней точки чтения
--- могу ли я сделать это с помощьюесли заявление? если да как? команда, чтобы остановить внутри, если заявление?
Here is the code :
input
{
file
{
path => "C:/ELK-Stack/log files/sap.log"
type => "log"
start_position => "beginning"
sincedb_path => "C:\ELK-Stack\LG\logstash\data\plugins\inputs\file\.sincedb"
sincedb_write_interval => 60
}
}
filter
{
grok
{
match => [
"message",
"%{TIMESTAMP_ISO8601:logsimestamp}%{SPACE}%{WORD:type}%{SPACE}\[%{DATA:ERROR}\]%{SPACE}%{INT:INT}:%{WORD:type2}%{SPACE}%{WORD:type3}%{SPACE}%{WORD:type4}"
]
}
if "_grokparsefailure" in [tags]
{
drop { }
}
if "2000023" in [INT]
{
mutate
{
add_tag => ["countthetimes"]
}
}
}