嗨,我想知道如何从拆分的字段中提取和添加字段:
mutate {
split => { "keys" => "#"} }
}
如何应用正则表达式来获取获得的多个值中的值?在每个键中,我将具有所需的值。是否可以使用正则表达式提取此值并将它们添加到字段中?
日志行元素:
#20171218|20171219|W|108|14579|QUA.AT|CG-TODOS|RO||1~2~2|9~7|N@14BF2F88A41849999EF9E61E5207AED61553#20171218|20171119|W|102|14979|QUA.AT|CG-TODOS|RO||1~2~2|9~7|N@14BF2F66A4184979AEF9E61E5202AED61553
我想获取由"#"分割的值,并将它们放在名为"keys"的字段中。之后,我想对每个值应用一个正则表达式并获取值"QUA.ST",并添加一个具有该值的字段。
提前谢谢。
您可以在 ES 5.0 之前使用 Gork Filter。
但是,如果您在 5.x 之后使用 es 并且您的日志是固定模式,则可以使用 Dissect 过滤器插件。它轻巧且更容易书写。