0

我正在使用 Nxlog 将我的 Windows Server 日志转发到 LogStash,并尝试从 LogStash 中删除不等于给定 Windows eventId 的消息。什么是正确的语法?

这是我尝试过的:

if [type] == "WindowsLog" {
            if      [EventID] <> 123
                    {

                            drop { }
            }

和:

 if [type] == "WindowsLog" {
            if      ![EventID] == 123
                    {

                            drop { }
            }


if [type] == "WindowsLog" {
            if      [EventID] != 123
                    {

                            drop { }
            }
4

1 回答 1

0

[EventID] == 123 这应该匹配,然后你可以放弃。

于 2015-04-30T16:47:45.607 回答