0

我正在使用下面的配置文件,以便只有那些具有“多行,_xmlparsefailure”标签的事件可以发送到弹性搜索。但在我的情况下,所有事件(无论标签)都发送到 ES。有人可以建议吗?

配置文件

output {   
       if "multiline,_xmlparsefailure" in [tags] {    
                      elasticsearch {    
                          host => localhost 
                          protocol => "http"    
                     }    
                     stdout { 
                          codec => rubydebug 
                     }    
             }
        }

日志数据:日志文件包含 java stacktrace。

4

1 回答 1

0

看到代码没有任何结果应该去 Elasticsearch。无论如何尝试这种方法 - 您需要将这些变量视为不同的变量 -

output {   
       if "multiline" in [tags] or "_xmlparsefailure" in [tags] {    
                      elasticsearch {    
                          host => localhost 
                          protocol => "http"    
                     }    
                     stdout { 
                          codec => rubydebug 
                     }    
             }
        }
于 2015-01-29T14:15:42.173 回答