Question

Я не понимаю, почему у меня произошел сбой grokparse для этого простого конфига:

input {
  file {
    path => "/var/log/*.log"
    codec => json {
    }
  }
}
filter {
  grok {
    add_tag => ["test"]
  }
}
output {
  elasticsearch {
      /.../
  }
}

Журналы корректно отправляются вasticsearch, json правильно анализируется, но добавленный тег don ' т, вместо этого у меня есть тег "_grokparsefailure". Я хочу передать значение stati c в виде тега.

Я, конечно, упускаю что-то глупое, но не могу найти, что.

leandrojmp · Answer 1 · 03 апреля 2020

Ваш фильтр grok ничего не делает, шаблон не соответствует, тег будет применяться только после успешного соответствия.

Чтобы добавить тег в вашем случае, вы можете использовать опцию tags в вашем входе или фильтре mutate.

Чтобы использовать опцию tags, просто добавьте, измените свой ввод на этот:

input {
  file {
    path => "/var/log/*.log"
    codec => json
    tags => ["test"] 
  }
}

Чтобы использовать фильтр mutate, введите нижеприведенный конфиг внутри вашего filter блока.

mutate {
    add_tag => ["test"]
}

Обе конфигурации добавят тег test ко всем вашим сообщениям.

logsta sh _grokparsefailure для действительно простого тега

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

logsta sh _grokparsefailure для действительно простого тега

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы