下面是文件beat日志路径的字段,我需要用定界符'/'拆分,然后删除文本中的日志文件名。
"source" : "/var/log/test/testapp/c.log"
我只需要这个部分
"newfield" : "/var/log/test/testapp"
如果您进行了一些研究,您会发现这是一个琐碎的问题,而且没有太多复杂性。您可以使用grok-patterns匹配有趣的零件,并区分您要检索的部分与不零件。
像这样的模式将按照您的期望匹配,随着您的要求而具有newfield:
%{GREEDYDATA:newfield}(/%{DATA}.log)
无论如何,您可以使用此工具测试您的Grok图案,在这里您有一些有用的Grok-Patterns。我建议您看看这些资源。