使用字段Graylog对数据表消息进行分组

Question

我有一个数据表连接到一个流，在那里我接收到到服务的连接。输入消息中的字段具有一个具有domain.com/service/client_id格式的URL，我将它们与其他洞察力一起可视化，结果如下：

• domain.com/service1/client1 1 Insight1 Insight2
• domain.com/service1/client2 2 Insight1 Insight2
• domain.com/service1/client3 3 Insight1 Insight2
• domain.com/service1/client4 4 Insight1 Insight2

当我试图将它们分组到一个与服务相关的字段中时，问题就出现了，比如：

• domain.com/service1/ Insight1 Insight2
• domain.com/service2/ Insight1 Insight2

有办法做到这一点吗？我一直在寻找，到目前为止没有什么能帮到我。

Answer 1

您可以使用管道中的合并函数连接一个新字段中的多个字段，如下所示(基于文档中所示的示例)：

let concat_field1 = concat(to_string($message.url)," ");

let concat_field2 = concat(concat_field1, " ");

let concat_field3 = concat(concat_field2, to_string($message.insight1));

let concat_field4 = concat(concat_field3, " ");

let concat_field5 = concat(concat_field4, to_string($message.insight2));

set_field("concat_field", concat_field5);