我正在嘗試建立一個新的 ELK 專案。我是這里的新手,所以不確定我錯過了什么。我正在嘗試將非常大的日志移動到 ELK,在這樣做的同時,它在 KV 過濾器中超時,并出現錯誤“在 KV 過濾器中達到超時,值條目太大”。
我的logstash格式如下:
grok {
match => [ "message", "(?<timestamp>%{MONTHDAY:monthday} %{MONTH:month} %{YEAR:year} % {TIME:time} \[%{LOGLEVEL:loglevel}\] %{DATA:requestId} \(%{DATA:thread}\) %{JAVAFILE:className}: %{GREEDYDATA:logMessage}" ]
}
kv {
source => logMessage"
}
有沒有辦法,當日志很大時,我可以跳過執行以通過 kv 過濾器?如果是這樣,有人可以指導我如何做到這一點。
謝謝
我嘗試了多種方法,但似乎沒有任何效果。
uj5u.com熱心網友回復:
我通過使用 dissect 解決了這個問題。
該查詢類似于以下內容:
dissect{
mapping => { "message" => "%{[@metadata][timestamp] %{[@metadata][timestamp] %{[@metadata][timestamp] %{[@metadata][timestamp] %{loglevel} %{requestId} %{thread} %{classname} %{logMessage}"
}
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/525336.html
標籤:弹性搜索日志存储logstash-groklogstash-配置
上一篇:Grafana警報值字串模板