要删除不包含字符串的消息
xyz:
if ([message] !~ "xyz") { drop { }}您的骗子模式没有抓住日志的日期部分。
一旦在grok模式中有一个包含日期的字段,就可以在该字段上调用日期过滤器。
因此,您的grok过滤器应如下所示:
grok { match => { "message" => '%{SYSLOG5424SD:loglevel} <%{JAVACLASS:job}> %{TIMESTAMP_ISO8601:Date} %{GREEDYdata:content}' }}我添加了一部分以获取日期,该日期将在字段中
Date。然后,您可以使用日期过滤器:
date { match => [ "Date", "YYYY-mm-dd HH:mm:ss,SSS" ] locale => en}我添加了,
,SSS以便格式与
Date字段中的格式匹配。解析的日期将存储在
@timestamp字段中,除非用
target参数另外指定。
