由于我的日志具有多种模式,因此我需要使用多种解剖模式,以便如果一种模式无法识别日志,则其他模式可以捕获。进行伪配置后,
"message" => "pattern1"
要么
"message" => "pattern2"
但是以下配置无法正常工作,
"message" => ["pattern1", "pattern2"]
解剖支持这些比赛吗?
最佳答案
不,dissect每个字段仅支持一个映射。
如果您的日志有多种模式,则需要使用grok,它支持多种匹配模式。
根据日志消息的方式,可以使用条件组合过滤消息,然后将每个消息发送到匹配的dissect,或者组合grok和dissect来解析消息的常见部分。
您还可以按_dissectfailure标记进行过滤,如果您的第二个模式与dissect不匹配,它将收到此标记,然后您可以应用匹配的dissect
关于elasticsearch - Logstash-Dissect的映射是否支持多个匹配?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/60327353/