logstash _grokparsefailure on successful match 无论grok成功与否都有解析失败标签

   conf文件基本如下所示:
input {
 file {
        type => "agent"
        path => [
            "/data/logs/agent/**/*"
        ]
}
}
 
filter {
 
        grok {
            break_on_match => false

            match => { "path" => "agent/%{BASE16NUM:comid}/%{BASE16NUM:agent_id}/.*" }
            match => { "message" => "\[%{NUMBER:pid:int}-%{DATA:tid:int}:%{NUMBER:row:int}\] %{TIMESTAMP_ISO8601:log_time} \[%{DATA:log_level}\] \- %{GREEDYDATA:log_body}" }
            tag_on_failure => []
        }
}
output {
        elasticsearch {
              ........
        }
}
 
 
最后在es中发现,所有成功的事件,每一条记录的tags字段中都包含_grokparsefailure标签,这个标签是怎么产生的-明明已经匹配成功了啊
 
已邀请:

locatelli

赞同来自:

一般不是应该这样吗:
 
  if "_grokparsefailure" in [tags] {
drop {}
}

所以是不是实际上并没有匹配?

要回复问题请先登录注册