Фильтрация записей журнала входа / выхода по определенному слову (плагин grep filter)

Question

Я пытаюсь заполнить свои записи в журнале, которые содержат определенное слово. Мы получаем тонны событий входа и выхода в наших журналах, и я не хочу отправлять эти записи, я хочу отфильтровать их. Я посмотрел на плагин фильтра grep и, исходя из того, как я его понимаю, кажется, что это достаточно просто (сообщение grep для конкретного слова и исключение), но моя установка не работает, так как я все еще вижу записи журналов в Splunk.

пример записи в журнале:

{"message":"Aug 21 09:46:15 linuxhost OSd[15]: logout(11100) usec=69895 tz=-07:00 seq=4569812 category=audit user=admin client-pid=154872 : logout"}

пример раздела из моего td-agent.conf:

<filter login.logout>
  @type grep
  <exclude>
    key message
    pattern login
    pattern logout
  </exclude>
</filter>

Answer 1

Мне удалось заставить его работать, разделив его на два фильтра.

<filter ems>
  @type grep
  <exclude>
    key message
    pattern login
  </exclude>
</filter>

<filter ems>
  @type grep
  <exclude>
    key message
    pattern logout
  </exclude>
</filter>

Answer 2

Попробуйте следующее:

<filter login.logout>
  @type grep
  <exclude>
    key message
    pattern /login|logout/
  </exclude>
</filter>

Или

<filter login.logout>
  @type grep
  <or>
    <exclude>
      key message
      pattern /login/
    </exclude>
    <exclude>
      key message
      pattern /logout/
    </exclude>
  </or>
</filter>

Подробнее см. https://docs.fluentd.org/v1.0/articles/filter_grep.