logstash 删除字段

最新推荐文章于 2024-07-09 08:49:10 发布
最新推荐文章于 2024-07-09 08:49:10 发布
阅读量1.1w 收藏 3
点赞数 1
分类专栏: ELK
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fjxcsdn/article/details/102767175
版权

 问题

  filebeat采集日志信息后,logstash打印信息,这个过程中,filebeat将自身的客户端信息也传送给了logstash,如果logstash不对这些字段进行过滤,导致es创建索引时,产生大量没有必要的字段。

解决方案

在配置文件中进行过滤,删除没有必要的字段。

input {
  beats {
    port => 5044

  }

}

filter{
    mutate{
        remove_field => ["host"]
        remove_field => ["agent"]
        remove_field => ["ecs"]
        remove_field => ["tags"]
        remove_field => ["fields"]
        remove_field => ["@version"]
        remove_field => ["@timestamp"]
        remove_field => ["input"]
        remove_field => ["log"]
    }
}

output {
  elasticsearch {
    hosts => ["192.168.22.68:9200"]
    index => "english"
  }
  stdout { codec => rubydebug }
}

结果如下:

 kibana中显示效果如下:

官网(https://www.elastic.co/guide/en/logstash/current/plugins-filters-mutate.html

参考博客(https://www.cnblogs.com/iiiiher/p/8000463.html

冯佳兴
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Logstash 解析Kong字符串删除json嵌套字段
运维打怪晋级之路
03-28 426
Logstash收集Kong的日志,有字段类型不一致导致报错
Logstash配置(官方文档)2-事件数据和字段
bigwood99的博客
04-13 706
Logstash代理是一个分三个阶段处理:inputs->filters->outputs。 inputs生成事件,filters修改他们,outputs输出他们到指定位置。 所有的事件都有属性。例如一个apache日志文件有一些类似像status的代码(202,404),request path ("/","index"),http请求方式(GET,POST),客户端ip地址等等...
LogStash 中字段的排除和数据的排除
weixin_33670786的博客
08-25 1856
排除字段 字段的排除需要在filter中进行操作,使用一个叫做 mutate 的工具,具体操作如下 由于这个工具的名字不是很容易联想到,也是找了好一会。 //比如我们可能需要避免日志中kafka的一些字段占用宝贵的磁盘空间。 filter { mutate { remove_field => ["kafka"] } } 排除整个数据 排除整条数据,比如apac...
Logstash常用的filter四大插件
最新发布
zx52306的博客
07-09 1108
自定义正则匹配格式:(?自定义的正则表达式)可以自定义为。
logstash reg remove_field
qq_33291307的博客
04-29 946
需求,需要删除logstash 以del 字段开头的字段 filter { prune { blacklist_values => [ "uripath", "/index.php", "method", "(HEAD|OPTIONS)", ...
logstash mysql 时区_Logstash处理时区、类型转换、删除字段的案例配置
weixin_31697021的博客
02-09 224
#输入input {file {path => ["文件路径"]#自定义类型type => "自定义"start_position => "beginning"}}#过滤器filter{#去除换行符mutate{gsub => [ "message", "\r", "" ]}#逗号分割mutate {split => ["message",","]}#分割后,字段命名...
如何在logstash的配置文件里边删除csv中columns中多余的field字段
sxf_123456的博客
07-21 6425
当采集数据时生成的csv的文件,但是发现采集表数据有些在es中不需要,这时,可以在filter插件中的csv中,使用remove_field => [ "filed1","filed2" ]来删除多余字段input {    file {        path => [                        "/test/111.csv"                ]  ...
logstash remove field message
trigfj的博客
11-07 986
logstash remove field message
logstash移除字段
10-13
要移除 Logstash 中的字段,可以使用 mutate 过滤器中的 remove_field 选项。例如,要移除字段名为 "foo" 的字段,可以在 Logstash 配置文件中添加以下行: ...这将从 Logstash 事件中删除 "foo" 字段。
logstash实战(一)-时间替换、字段修改
chuanan6914的博客
03-05 2578
一、源数据 [ { "sn":"8e.05-17.09-10390384", "mediaCode":"pcdn_p3_globo_rj", "startTime":1548316771, "endTime":154831...
logstash Ruby删除字段
09-09
如果想要在 Logstash删除字段,可以使用 Ruby 脚本实现。下面是一个示例代码: ``` filter { ruby { code => " event.remove('field_to_remove') " } } ``` 上面的代码中,使用 `event.remove` 方法删除名...
logstash过滤不需要的日志
weixin_43316683的博客
05-28 8069
有些我们不想要的日志,如理图例: 可以通过Logstash的filter来过滤,简单过滤如下: input { tcp { port => 8002 codec => json_lines } } filter{ ### 如果message中以Retrieved hosts from InstanceDiscovery: 0开头 ...
Logstash学习之路(三)Logstash处理时区、类型转换、删除字段的案例配置
weixin_30814223的博客
04-25 376
#输入 input { file { path => ["文件路径"] #自定义类型 type => "自定义" start_position => "beginning" } } #过滤器 filter{ #去除换行符 mutate{ gsub => [ "message", "\r...
logstash的filter的使用
poplarandwillow的博客
09-19 1155
Logstash filter 的使用 原文地址:http://techlog.cn/article/list/10182917 概述 logstash 之所以强大和流行,与其丰富的过滤器插件是分不开的 过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的新事件到后续流程中 强大的文本解析工具 – Grok grok 是一个十分强大的 logstash ...
date时区 es logstash_Logstash学习之路(三)Logstash处理时区、类型转换、删除字段的案例配置...
weixin_29886329的博客
02-15 268
#输入input {file {path=> ["文件路径"]#自定义类型type=> "自定义"start_position=> "beginning"}}#过滤器filter{#去除换行符mutate{gsub=> [ "message", "\r", ""]}#逗号分割mutate {split=> ["message",","]}#分割后,字段命名与赋值mut...
logstash同步mysql数据到Elasticsearch实战,主要实现删除
Giggle1994的博客
12-15 4667
一.前言 之前网上看了很多文章,说mysql同步数据到Elasticsearch只能做增量同步,即只能新增(add)或者修改(update),不支持删除(delete)操作。所以一般的做法是使用逻辑删除,查询时带上逻辑删除字段,然后使用定时器定时去物理删除状态为删除的数据。最近刚好应用,一开始也是采用逻辑删除的做法,但是我的sql语句关联了4张表,每张表的逻辑删除状态有deleted(删除状态)、status(禁用启用状态)两个,一共就是4*2=8个逻辑删除字段,查询ES时需带上8个字段,...
filter过滤器_logstash过滤器插件filter详解及实例
weixin_39550486的博客
11-27 384
logstash过滤器插件filtergrok正则捕获grok是一个十分强大的logstash filter插件,他可以通过正则解析任意文本,将非结构化日志数据弄成结构化和方便查询的结构。他是目前logstash 中解析非结构化日志数据最好的方式grok的语法规则是:%{语法:语义}“语法”指的是匹配的模式。例如使用NUMBER模式可以匹配出数字,IP模式则会匹配出127.0.0.1这样...
logstash mysql 时区_Logstash学习之路(三)Logstash处理时区、类型转换、删除字段的案例配置...
weixin_34731498的博客
02-02 330
#输入input {file {path=> ["文件路径"]#自定义类型type=> "自定义"start_position=> "beginning"}}#过滤器filter{#去除换行符mutate{gsub=> [ "message", "\r", ""]}#逗号分割mutate {split=> ["message",","]}#分割后,字段命名与赋值mut...
06_去除不需要的字段以及ELK时间轴问题
weixin_30454481的博客
09-20 557
去除字段只能去除_source中的,不是_source内的无法去除。   去除不必要的字段,不仅可以节省ES的存储内容,同时因为节省了ES的内容,可以加速搜索的速度 Logstash配置去除不需要的字段 filter { grok { match => { "message" => '(?<clie...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值