ES pipeline grok 匹配失败后怎么忽略?
问题
使用 ES Pipeline 的 Grok 处理器提取一个文档某字段中的正则匹配信息时,如果未找到匹配字符串,Pipeline 会返回一个包含一大堆错误信息的文档
需求
实际项目中,日志信息多变,并不是每一条日志(如调用其它系统接口)都包含要提取 “sql 执行时间”信息,在 Grok 未找到匹配字符串的情况下,Pipeline 直接返回原来文档即可,无需写入其他无用信息
重现
在 Kibana - dev tools - Console 中模拟测试
Pipeline 返回如下:
如上图所示, Pipeline 返回的文档中包含多个无用的 caused_by 字段。怎么忽略 Grok 匹配失败让 Pipeline 直接返回原文档?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(3)
引用来自“野猪向前冲”的评论
我今天也碰到这个问题惹,官方文档仔细看了一下,
ignore_failure这个配置对所有processor有效。
加上ignore_failure=true 就能满足需求了
还有 ignore_failure ? 我只看到了 ignore_missing ……
我今天也碰到这个问题惹,官方文档仔细看了一下,
ignore_failure这个配置对所有processor有效。
加上ignore_failure=true 就能满足需求了