排除字段
字段的排除需要在filter中进行操作,使用一个叫做 mutate 的工具,具体操作如下
由于这个工具的名字不是很容易联想到,也是找了好一会。
//比如我们可能需要避免日志中kafka的一些字段占用宝贵的磁盘空间。
filter {
mutate {
remove_field => ["kafka"]
}
}
排除整个数据
排除整条数据,比如apache日志中状态为200 的监控服务器不关心的,这里用到drop工具
filter {
if [status] == "200" { //不知道这边的多个判断的语法要如何写
drop{}
}
}