# Im Fall von Verarbeitungsfehlern fängt GROK das Tag
# "_grokparsefailure" ab und kennzeichnet damit Nachrichten, die nicht
# korrekt verarbeitet wurden. 
# Um diese später korrigieren zu können, legt dieser Output-Filter sie
# in einer lokalen Datei mit angehängtem Timestamp ab.

output {
    if "_grokparsefailure" in [tags] {
        file { 
            path => "/var/log/logstash/grokparsefailure-%{+YYYY-MM-dd}" 
        }
    }
}