通过消息日志创建字段
[英]Create a field by message logstash
问题描述
我的logstash中有一条非常简单的消息,我想在此消息中创建两个字段。
if [message] =~ /.*My process: (?<myfield1>[A-Z]+) - (?<myfield2>[A-Z]+).*/ {
mutate {
add_field => [ "event_type", "eventType" ]
add_tag => ["myTag"]
add_tag => ["MySecondTag"] } }
如何创建具有值field1和field2的字段?
1 个解决方案
解决方案1
1 2019-02-07 18:39:00
您应该考虑将mutate过滤器更改为grok过滤器
grok {
id => "Parse_MyFields"
match => { "message" => [ "/.*My process: %{WORD:myfield1} - %{WORD:myfield2}.*/" ] }
}
这会将您尝试提取的两个单词设置为“ myfield1”字段和“ myfield2”字段。
确保使用Grok Constructor或Grok调试器之类的工具验证您的grok过滤器
您甚至可以在此插件中使用add_field。
Logstash Cloudwatch 输入插件未在消息字段中返回任何数据
[英]Logstash Cloudwatch input plugin not returning any data in the message field
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.