关闭log4j中的rootLogger.appendRef.console

logstash本身生成的日志文件是通过log4j创建的，默认情况下，一个流将被发送到控制台。Syslog将向控制台日志写入syslog文件本身。在Ubuntu版本的logstash中，这是在文件名/etc/logstash/log4j2.properties中配置的
在默认配置中，有一行以
rootLogger.appenderRef.console
如果在行前面添加#并重新启动logstash。logstash创建的日志文件将停止转到syslog
service logstash restart
另一个使用RollingFileAppender的rootLogger仍然应该将logstash本身的logmessages（所以不是管道正在处理的消息）写入到
/var/log/logstash/logstash-plain.log
logstash创建的日志文件很容易与您处理的消息混淆，特别是当它们被logstash-output-stdout或logstash-output-syslog插件混合时。这不适用于你，因为你使用的是logstash-output-elasticsearch插件，它会写入elasticsearch。
在Ubuntu中，如果从命令行运行logstash，log4j.properties文件将被跳过。这是在终端中测试管道的好方法，你可以并行运行多个logstash示例（例如：服务和命令行测试管道）
/usr/share/logstash/bin/logstash -f your_pipeline.conf

要避免写入系统日志，请检查管道和log4j.properties文件。
在管线文件中，删除以下内容的所有示例：

stdout { codec => rubydebug }

在您的log4j.properties文件中注解这行：

rootLogger.appenderRef.console

不知道为什么会发生这种情况，但我们通过禁用rootLogger.appenderRef.console.ref = ${sys:ls.log.format}_console来解决。
步骤：

• vim /etc/logstash/log4j2.properties
• 将rootLogger.appenderRef.console.ref = ${sys:ls.log.format}_console更新为#rootLogger.appenderRef.console.ref = ${sys:ls.log.format}_console

log4j.properties 应该如下所示：

rootLogger.level = ${sys:ls.log.level}
#rootLogger.appenderRef.console.ref = ${sys:ls.log.format}_console
rootLogger.appenderRef.rolling.ref = ${sys:ls.log.format}_rolling
rootLogger.appenderRef.routing.ref = pipeline_routing_appender

https://github.com/elastic/logstash/blob/main/config/log4j2.properties
请确保您禁用所有logstash示例。

ps -ef |grep logstash