如何删除不需要的字段logstash(ELK)

68de4m5k 于 2022-12-09 发布在 Logstash

关注(0)|答案(2)|浏览(310)

如何删除不必要的字段？键入：代理.临时标识agent.id winlog.提供者GUID
我试过了，但是Kibana根本不显示日志

- drop_fields:
      fields: ["date_created", "ecs.version", "agent.version", "agent.type", "agent.id"]

在logstash中，我有以下配置：过滤器配置文件、输入配置文件、输出配置文件
筛选器：

filter {
    if "winsrvad" in [tags] {
    if [winlog][event_id] != "5136" and [winlog][event_id] !=ent_id] != "4729" and id] != "4734" {
    drop { }
    }
    }
}

logstash

来源：https://stackoverflow.com/questions/71838253/how-to-remove-unwanted-fields-logstash-elk

2条答案

按热度按时间

hts6caw31#

我建议在满足条件时使用修剪将“不必要的字段”列入黑名单。
请参阅文档：https://www.elastic.co/guide/en/logstash/current/plugins-filters-prune.html

赞(0）回复(0）举报 2022-12-09

5vf7fwbs2#

可以使用mutate;如下所示

mutate {
    remove_field => [ "date_created", "ecs.version", "agent.version", "agent.type", "agent.id"]
  }

赞(0）回复(0）举报 2022-12-09

我来回答

如何删除不需要的字段logstash(ELK)

2条答案

相关问题

热门标签

最新问答