在我的情况下，add_field 在 logstash 中不起作用

Question

_source 是“tot_rjt_file_cnt:0 @version:1 log.file.path:/home/xxx/xxx-logs/ase/load01/xxxxx.xxx.com_SORT_dis_loader_daily_rpt.log log.offset:67,825 tot_rty_file_cnt:0 ecs.version:1.0。 0 agent.version:7.2.0 agent.ephemeral_id:0b7a5cff-79c8-4d45-9936-9d14db9eab54 agent.hostname:xxxxxx.xxxxx.com agent.id:fa4e2cd0-7ad4-"

这里我的日志文件路径是

/home/xxxx/xxx-logs/ase/load01/xxxxxx.xxxx.com_SORT_dis_loader_daily_rpt.log

我想用“ase”创建新文件。 添加logstash过滤器：

filter {
     grok { match => { "message" => "%{WORD:timestamp}\s%{BASE10NUM:total_file_cnt:int}\s%{BASE10NUM:total_ld_ok_cnt:int}\s%{BASE10NUM:total_ld_time:float}\s%{BASE10NUM:sec_per_tot_file:float}\s%{BASE10NUM:sec_per_ld_file:float}\s%{BASE10NUM:tot_rty_file_cnt:int}\s%{BASE10NUM:tot_rjt_file_cnt:int}" }
        overwrite => [ "message" ]
        }
        date {
                locale => "en"
                match => [ "timestamp", "yyyyMMdd" ]
                }

        if "ase" in [log.file.path] { mutate {  add_field => { "site" => "ASE" } }
        }

}

请您帮忙将字段名称添加为“站点”，值为“ASE”

谢谢。

Answer 1

问题来自if中的条件：

if "ase" in [log.file.path] { }

将查看数组log.file.path包含字符串ase ，显然不是这种情况（因为log.file.path不是数组）。

如果要检查log.file.path包含/ase/ ，请使用：

if [log.file.path] =~ "\/ase\/" { }

Answer 2

您的log字段是带有嵌套字段的 json object。

{ 
  "log": { 
     "file": {
         "path": "your-filename.log"
      }
   }
}

在logstash中访问嵌套字段的正确方法是使用方括号，尝试将条件更改为在字段名称中使用方括号。

if "ase" in [log][file][path] { 
    mutate {  
        add_field => { "site" => "ASE" } 
    }
}

[log][file][path]与log.file.path ，第一个是 json object，这是beats收集器存储数据的方式，第二个是名称中带有点的字段。

在我的情况下，add_field 在 logstash 中不起作用

问题描述

2 个解决方案

解决方案1
1 2019-11-20 23:42:05

解决方案2
0 2019-11-21 17:05:18

在我的情况下，add_field 在 logstash 中不起作用

问题描述

2 个解决方案

解决方案1 1 2019-11-20 23:42:05

解决方案2 0 2019-11-21 17:05:18

解决方案1
1 2019-11-20 23:42:05

解决方案2
0 2019-11-21 17:05:18