我希望删除日志文件意味着不应该导出到elasticsearch,就像任何日志消息包含“ monitoring”关键字一样,我都希望删除该事件。有人可以建议我该怎么做吗?
filter {
if [loglevel] == "debug" {
drop { }
}
}
上面的示例将在日志级别调试时删除事件,但是在日志消息包含“监视”关键字时删除事件吗?
答案 0 :(得分:0)
解决方案是
filter {
if "monitoring" in [message] {
drop { }
}
}