我的日志模式是这样的
other|vandana|test|20160804100203
最后一个是日期2016 08 04 10 02 03我创建了一个具有最后一个值field = 20160804100203的字段现在我想要一个只有日期部分而不是时间的新字段意味着它应该是{{1}我尝试了这个,但它没有工作
fieldnew = 20160804答案 0 :(得分:1)
使用ruby过滤器:
filter {
ruby {
code => "event['fieldnew'] = event['field'][0..7]"
}
}