У меня есть такие записи в журнале:
{
"_index": "systemd-journal-17.04.2020",
"_type": "flb_type",
"_id": "gMr9h3EBqwMUfRtBNuS9",
"_version": 1,
"_score": null,
"_source": {
"hostname": "avi-kub-master01",
"@timestamp": "2020-04-17T11:54:10.978Z",
"systemd_unit": "kube-apiserver.service",
"boot_id": "4fb0d956f0244a5e836621e6bab409f3",
"SYSLOG_IDENTIFIER": "kube-apiserver",
"PRIORITY": "6",
"SYSLOG_FACILITY": "3",
"pid": "6377",
"message": "I0417 14:54:10.978397 6377 wrap.go:42] GET /api/v1/namespaces/swagger/secrets/default-token-dpb87?resourceVersion=0: (1.55459ms) 200 [[kubelet/v1.8.11 (linux/amd64) kubernetes/1df6a83] 10.5.5.17:35194]"
},
"fields": {
"@timestamp": [
"2020-04-17T11:54:10.978Z"
]
},
"highlight": {
"hostname": [
"@kibana-highlighted-field@avi@/kibana-highlighted-field@-@kibana-highlighted-field@kub@/kibana-highlighted-field@-@kibana-highlighted-field@master01@/kibana-highlighted-field@"
],
"systemd_unit": [
"@kibana-highlighted-field@kube@/kibana-highlighted-field@-@kibana-highlighted-field@apiserver.service@/kibana-highlighted-field@"
]
},
"sort": [
1587124450978
]
}
Я хочу исключить все записи журнала, где ключ messege соответствует значению I0417, из вывода в ElasticSearch. Как я могу это сделать?
Я пытался использовать grep фильтр без удачи
[FILTER]
Name modify
Match *
Rename _PID pid
Rename _HOSTNAME hostname
Rename _SYSTEMD_UNIT systemd_unit
Rename _BOOT_ID boot_id
Rename MESSAGE message
Remove_regex ^_[A-Z]*
[FILTER]
Name grep
Match *
Exclude message ^IO417
Также я пытался вложить ключ messege под _source с помощью nest фильтр до grep без результата.