我想控制来自logstash转发器客户端的日志流,因为现在它从头开始读取整个日志文件,这在项目中不是必需的。
我希望 2015 年 11 月 10 日之前的日志不应该转发到 logstash 服务器。有没有办法我们可以做到。
问问题
140 次
1 回答
2
您可以使用 drop 过滤器简单地删除 logstash 索引器配置中太旧的事件:
if [somevalue] < X {
drop { }
}
检查文档:https ://www.elastic.co/guide/en/logstash/current/plugins-filters-drop.html
于 2015-11-17T13:13:36.820 回答