Dans la centralisation des logs, il faut parfois améliorer ou purger des logs reçus. En exemple ici un livecheck de docker qui fait des requêtes toutes les secondes, et des messages qui contiennent un mot clef permettant d'identifier sa source

  if "GET /index.php" in [message]  and "400" in [message] and "127.0.0.1" in [message]
  {
    drop { percentage => 95 }
  }

et

  if "billy" in [message] 
  {
    mutate {
      add_field => { "shortHostname" => "komatsu" }
    }
  }