如果在ELK堆栈过滤器和输出部件中的语句

作者: Just do it
发布时间: 2025-01-13 03:17:17 (4天前)
转自：

2 条回复

0#
回复此人
荧惑 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> <a href="http://logstash.net/docs/1.4.2/configuration#conditionals" rel="nofollow"> 如记录 </A> Logstash支持例如 <code> and </code> 和 <code> or </code> 在条件表达式中，所以你 <EM> 可以 </EM> 说 </p> <pre> <code> if [host] =~ /^10\.1\.1\.5$/ or [host] =~ /^10\.1\.1\.6$/ { ... } </code> </pre> <P> 但这不会很有效。相反，尝试找到匹配多个主机的正则表达式（可能一次全部1000个）。例如，如果要包括整个10.1.1.0/24子网，请执行以下操作： </p> <pre> <code> if [host] =~ /^10\.1\.1\./ { ... } </code> </pre> <P> 如果那是不可能的话，另一种选择是枚举所有IP地址并使用 <code> in </code> 运营商： </p> <pre> <code> if [host] in ["10.1.1.5", "10.1.1.6", "10.1.1.7"] { ... } </code> </pre> <P> 最后一个选项是以某种方式标记来自这些主机的消息，这样您就不必将条件放在IP地址上。这似乎是最好的选择，但其可行性取决于日志的收集和运输方式。 </p> </DIV>

编辑

登录后才能参与评论