Bom dia,
(usando o logstash 1.4.2)
Estou tentando fazer algo como:
filter {
if type == "feed" {
grok {
match => [ "message", "%{COMBINEDAPACHELOGS}" ]
add_tag => [ "grokked", "web" ]
tag_on_failure => [ "notweb" ]
}
}
if type == "feed" and "notweb" in [tags] {
grok {
patterns_dir => "/opt/logstash/patterns"
match => [ "message", "%{ERROPARSING}" ]
add_tag => [ "grokked", "%{[level]}" ] # %{level} named from ERRORPARSING
}
}
}
Mas todas as coisas notweb acabam com uma falha no _grokparse como se o próximo passo não tivesse sido testado / avaliado.
% {ERRORPARSING} testado corretamente no grokdebugger.
Não tenho certeza se essa é a causa, mas uma sugestão de qualquer maneira, isso:
if type == "feed" and "notweb" in [tags] {
Talvez não seja totalmente necessário, a menos que você tenha várias coisas diferentes marcadas como notweb; nesse caso, você pode alterar a tag:
if "notweb" in [tags] {
Além disso, só porque algo funciona no grokdebugger, nem sempre significa que funcionará no logstash, existem algumas diferenças, cole seu padrão se a minha primeira sugestão não ajudar