文章/答案/技术大牛

发布

社区首页 >问答首页 >用logstash conf文件从字段中提取值

问用logstash conf文件从字段中提取值
EN

Stack Overflow用户

提问于 2021-04-21 09:30:12

回答 1查看 182关注 0票数 0

我有一个日志，类似于：

id:0422 time:2013-11-1902:34:58 level:INFO text:(Lorem Ipsum是印刷和排版行业的虚拟文本)params:query:google$ value$dummy data$lorem Ipsum

在使用logstash处理完之后，我将得到具有以下值的字段：

ID=0422
Timestamp=[2013-11-19 02:34:58]
loglevel=INFO  
params=query:google$some value$dummy data$lorem Ipsum
text=(Lorem Ipsum is simply dummy text of the printing and typesetting industry)

进入弹性搜索第一输出。

& params=query:google$some value$dummy data$lorem Ipsum转换为第二个弹性指数。

我只想提取query:google，以便存储到第二个弹性指数中。

我怎样才能做到这一点？

logstash-grok

logstash-configuration

elasticsearch

logstash

elastic-stack

回答 1

Stack Overflow用户

发布于 2021-04-21 10:06:49

可以使用克隆筛选器复制事件。

https://www.elastic.co/guide/en/logstash/current/plugins-filters-clone.html

只需向其添加一个标记，并使用in标记功能，以确保您只操作要操作的事件，并使用它来决定要写入哪个索引。

clone {
  clones => ["params"]
  add_tag => ["sendtoindex2"]
}
...
#use the structure below when you want to know which flow to take (you can also use not in [tags])
if ("sendtoindex2" in [tags]) {
  ...
else {
  ...
}

要确保您只有感兴趣的部分，请使用grok筛选器。

https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html

对于这里的例子，应该是这样的：

^%{DATA:name_of_variable_you_want_to_use}\$

票数 0

页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持

原文链接：

https://stackoverflow.com/questions/67193031

复制

相似问题

问用logstash conf文件从字段中提取值
EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问用logstash conf文件从字段中提取值EN

回答 1

Stack Overflow用户

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

问用logstash conf文件从字段中提取值
EN