我在Debian 9上使用Logstash,我想使用自定义的grok模式。所以我将它们添加到目录/usr/share/logstash/vendor/bundle/jruby/2.3.0/gems/logstash-patterns-core-4.1.2/patterns- 创建新文件并修改现有文件(grok 模式、身份验证等(。
问题是我在原始文件中的更改被覆盖并丢失(2018 年 6 月 12 日凌晨 02:35(。
是否有一些自动更新logstash-patterns-core?如何更改现有的 grok 模式?
不幸的是,您修改文件的目录结构适用于二进制文件。您根本不需要修改任何文件即可添加自定义模式。 请在此处查看 Logstash 目录布局。
您可以在/etc/logstash下创建一个新目录,并将其称为pattern并在那里添加自定义模式,而不是在二进制路径下修改或添加文件。
然后,您可以导入自定义模式,如下所示:
filter {
grok {
patterns_dir => "../patterns"
match =>["message", "%{ANYPATTERN}" ]
}
}