Удалить сообщения журнала, содержащие определенную строку
Итак, у меня есть журнал сообщений в формате:
[INFO] <blah.blah> 2016-06-27 21:41:38,263 some text
[INFO] <blah.blah> 2016-06-28 18:41:38,262 some other text
Теперь я хочу отбросить все журналы, которые не содержат конкретной строки «xyz», и сохранить все остальное. Я также хочу индексировать метку времени.
grokdebug не очень помогает
Это моя попытка:
input {
file {
path => "/Users/username/Desktop/validateLogconf/logs/*"
start_position => "beginning"
}
}
filter {
grok {
match => {
"message" => '%{SYSLOG5424SD:loglevel} <%{JAVACLASS:job}> %{GREEDYDATA:content}'
}
}
date {
match => [ "Date", "YYYY-mm-dd HH:mm:ss" ]
locale => en
}
}
output {
stdout {
codec => plain {
charset => "ISO-8859-1"
}
}
elasticsearch {
hosts => "http://localhost:9201"
index => "hello"
}
}
Я новичок в гроке, поэтому приведенные выше шаблоны могут не иметь смысла. Пожалуйста помоги.