Мы используем logstash для захвата сообщений журнала.
Журналы приложений иногда содержат очень длинные строки, и Splunk не может принимать сообщения длиннее 10k или около того (по умолчанию).
Как отбрасывать большиесообщения с logstash?
Требуется Logstash> = 5:
filter { if [message] { ruby { code => "event.cancel if event.get('message').bytesize > 8192" } } }