我正在使用 ELK 堆栈处理日志文件。我想复制一个字段(foo)以便对它执行各种变异，但是该字段(foo)并不总是存在。 如果foo不存在，则bar仍然会被创建，但是会被分配为文字串"%{foo}" 如果只有当一个字段存在时才能进行变异，该怎么做？ 我正在尝试像这样做。if ["foo"...

我运行了service logstash configtest，但是出现以下错误： logstash：未识别的服务 我可以单独运行logstash服务，但不能用“configtest”命令。在etc/logstash/conf.d/中，我创建了一个名为logstash.conf的文...

我有一个JSON文件，通过logstash发送给ES。如果该字段的值为NULL，我想从JSON中删除一个深层字段。 JSON的一部分如下："input": { "startDate": "2015-05-27", "numberOfGuests": 1, ...

我正在使用Logstash JDBC将MySQL和Elasticsearch之间的内容保持同步。它在一个表格上运行良好。但现在我想对多个表格执行此操作。我需要在终端中打开多个吗？logstash agent -f /Users/logstash/logstash-jdbc.conf 每个表...

由于其高度的灵活性和可用性，我通常将应用程序作为Docker容器运行。有没有一种方法可以将容器日志获取到我的Logstash服务器中。

我正在将一组数据解析成ELK堆栈，以便非技术人员查看。作为其中的一部分，我想在发送到ElasticSearch之前从事件中删除除特定已知子集以外的所有字段。 我可以像这样在变异过滤器中明确指定要删除的每个字段：filter { mutate { remove_fiel...

那么，假设我有一行日志的部分看起来像这样：GET /restAPI/callMethod1/8675309 GET是一个HTTP方法，会被提取出来，其余部分匹配一个URI，也会被提取出来。现在，在logstash配置中，假设我想要做这样的事情... The GET匹配一个http方法，然后...

我正在使用Logstash-5.6.5(在Windows系统中)运行独立系统(没有云端或集群)。计划监视一些日志文件并将其发布到本地运行的elasticsearch。但是当检查Logstash的内存使用情况时，在没有配置以监视任何文件的情况下，它显示约600MB的内存使用情况。当我添加输入文件...

input { jdbc { jdbc_driver_library => "sqljdbc4.jar" jdbc_driver_class => "com.microsoft.sqlserver.jdbc.SQLServerDriver" ...

我刚开始使用Logstash，想知道是否有一种方法可以在Logstash配置文件中指定块注释？ 这将非常有用，因为我正在测试跨多行的长Grok模式。