我想把一个值放入嵌套散列的一部分,但根据上游过滤器命名该部分。这是为了重构和减少总体代码大小,因为目前20多个传入事件类型中的每一个都有自己的部分,在logstash文件中有18行(但目前%{detail_part}位是硬编码的)。
# Working code
filter {
if [result] == 0 {
# Success
mutate {
add_field => {
"[Thing][ThingDetail][OtherThing][MoreDetail]" => "true"
}
}
}
else {
# Failed
mutate {
add_field => {
"[Thing][ThingDetail][OtherThing][MoreDetail]" => "false"
}
}
}
}
硬编码为"OtherThing"。下面有一个变量,但是不起作用。
# Non-Working code
filter {
if [result] == 0 {
# Success
mutate {
add_field => {
"[Thing][ThingDetail][%{detail_part}][MoreDetail]" => "true"
}
}
}
else {
# Failed
mutate {
add_field => {
"[Thing][ThingDetail][%{detail_part}][MoreDetail]" => "false"
}
}
}
}
在上面(非工作代码)中,detail_part在上游过滤器中被设置为一个字符串值,如"OtherThing"。这是当前编译和运行,但没有XML输出,所以我不认为任何东西被设置到哈希作为这些语句的结果。
我知道它可以用嵌入式Ruby代码完成,但我想要一种尽可能简单的方式。这个过程的输出是XML,所以我不得不使用这种嵌套散列。
这是可能的Logstash吗?
事实证明,是的,Logstash支持这一点,只是语法错误。下面是修复方法:
filter {
# This field could be set conditionally in an if statement ...
mutate { add_field => { "[detail_part]" => "Result" } }
if [result] == 0 {
# Success
mutate {
add_field => {
"[Thing][ThingDetail][%{[detail_part]}][MoreDetail]" => "true"
}
}
}
else {
# Failed
mutate {
add_field => {
"[Thing][ThingDetail][%{[detail_part]}][MoreDetail]" => "false"
}
}
}
}
我只是找不到任何不平凡的例子来做这样的事情。