我们使用logstash来捕获日志消息。
应用程序日志有时包含很长的行,Splunk 无法摄取超过 10k 左右的消息(默认(。
如何使用日志丢弃大消息?
需要 logstash>= 5:
filter {
if [message] {
ruby {
code => "event.cancel if event.get('message').bytesize > 8192"
}
}
}