0

我在 Logstash 中使用 elapsed-plugin 过滤器,如何将一些结束标记日志字段添加到 elapsed 新事件(如果我将 new_event_on_match 设置为 true)。我想删除实际日志并仅保留经过事件日志。

4

1 回答 1

0

我通过为其他日志事件添加 drop () 解决了这个问题

if "elapsed" in [tags] {
    ... 

}else {
      drop {}
}
于 2019-04-02T16:06:04.747 回答