祈雨v的博客

准备Github官网下载运行命令行运行./bin/logstash -e 'input { stdin { } } output { stdout {} }'等待数秒logstash输出Successfully started Logstash API endpoint {:port=>9600}的字样时表示logstash启动成功。控制台输入hello world后回车，l...

描述按指定的时间格式读取事件的指定字段值后，赋值给指定的字段(默认为@timestamp)。filter { date { match => ["time", "yyyy-MM-dd HH:mm:ss"] }}参数参数类型是否必须默认值matcharray否[]targetstring否@timestamp...

参数参数类型是否必须默认值add_fieldhash否{}add_tagarray否remove_fieldarray否remove_tagarray否add_field向事件添加任意字段filter { xxx { add_field => {"project"=>"kibana"}...

条件有时只想在特定条件下处理数据或过滤或输出事件，可以使用条件：if EXPRESSION { ...} else if EXPRESSION { ...} else { ...}运算符：比较: ==, !=, <, >, <=, >=匹配: =~, !~包含: in, not in布尔运算符: and, or, nand, xor一元...

描述将分割成多行的内容按正则匹配合并成一个事件的编码器。示例：匹配以[开头的行，如果不匹配则属于前一行.input { stdin { codec => multiline { pattern => "^\[" negate => true what => "previou...

描述将输入的json格式内容的事件编码为json文本。例如：input { stdin { codec => "json" }}如果要传输由\n分隔的json事件，请查看json_lines编码器。效果输入：{"name":"tom","age":18}输出：{ "name" => "tom&qu

描述监听文件并读取文件内容作为事件。input{ file{# path =>"/var/log/access.log" path =>["/var/log/access.log"] }}参数参数类型是否必须默认值close_oldernumber或string_duration否1 hour...

描述从标准输入读取事件。默认情况下，每一行读取为一个事件。如果要多行读取为一个事件，则需要使用multiline解码器。input { stdin { }}

参数参数类型是否必须默认值add_fieldhashNo{}codeccodecNolinetagsarrayNotypestringNoadd_field向输入的事件内容添加字段，如下：input{ xxx { add_field => {"project"=>"kibana"} ...

描述Dissect过滤器是一种拆分操作。与常规拆分操作(其中一个分隔符应用于整个字符串)不同，此操作将一组分隔符应用于字符串值。Dissect不使用正则表达式，速度非常快。filter { dissect { mapping => { "message" => "%{ts} %{+ts} %{+ts} %{src} %{} %{pro...