Ich habe ELK installiert und arbeite in meinem Computer, aber jetzt möchte ich eine komplexere Filterung und Feld hinzufügen, abhängig von Ereignismeldungen.
Genauer gesagt möchte ich "id_error" und "descripcio" abhängig vom Nachrichtenmuster setzen.
Ich habe eine Menge Code-Kombinationen in der "logstash.conf" -Datei versucht, aber ich kann das erwartete Verhalten nicht erreichen.
Kann mir jemand sagen, was ich falsch mache, was ich tun muss oder ob das nicht möglich ist? Vielen Dank im Voraus.
Dies ist meine "logstash.conf" Datei, mit dem letzten Test, den ich gemacht habe, was dazu führte, dass keine Ereignisse in Kibana erfasst wurden:
%Vor%Ich habe auch den folgenden Code ausprobiert, was dazu führte, dass die Felder "id_error" und "descripcio" mit den beiden Variablen "[1,2]" und "[error1 !!!, error2 !!!]" in jeder Übereinstimmung angezeigt wurden Ereignis.
Da "break_on_match" standardmäßig auf "true" gesetzt ist, erwarte ich nur die Felder hinter der passenden Klausel, aber das kommt nicht vor.
%Vor%Tags und Links filter elasticsearch kibana grok logstash-grok