私は簡単に説明してください必要logstash

Question

に関するより多くの情報が必要です。slight_smileを：タグ_gorkparsefailureは何

1. 、それがために使用：slight_smile：私はいくつかの質問を持っているlogstash で初心者ですか！このタグを削除するとどうなりますか？

2. タグmultilineを削除するにはどうすればよいですか？

3. 私のgrokのフィールド（grokの条件）からどのように条件を作ることができますか？

4. endpointとは何ですか？

Answer 1

1. GROK {}小さなフィールドに（全体ログライン等）拡大フィールドを解析するために使用されるフィルタです。パターンが指定された入力と一致しない場合、 "_grokparsefailure"というタグがイベントに追加されます。それを削除すると、そのような障害が発生したという知識が失われます。私は失敗の原因を突き止め、それを解決することを提案する。

2. ほとんどのフィルタで使用可能なremove_tagパラメータを使用して、タグを削除できます。 mutate {}フィルタは、このために使用する一般的なものである：

   のmutate { remove_tag => [「複数行」] }

3. 私が正しく質問を理解していれば、あなたがたフィールドを使用することができます【myFieldで] == "myValue" { ...}

4. 一般的に、エンドポイントが宛先である場合

   ：いくつかの他のフィルタを実行する条件でGROK {}によって作成されました。 ELKの世界では、ウェブサイトを宛先として記述するために使用されているhttp {}入力と出力でのみ使用されています。