我打算使用一个logstash来解析5个字段,并仅将某些字段发送到某些索引。
实施例 领域01 领域02 现场03 现场04 Field 05
索引一个 领域01 领域02 Field 03
指数-B 领域01 现场04 Field 05
只需一个logstash脚本就可以完成吗?
答案 0 :(得分:3)
您正在寻找the clone filter。这允许您复制事件并以不同方式标记它们,以后允许不同的过滤器和输出阶段。
if [type] == 'cloneable' {
clone {
clones => [ 'squarefile', 'roundfile' ]
}
}
对于通过条件的事件,它们将被克隆到类型为squarefile和roundfile的新事件中。以后的filter {}和output {}块会分别影响它们。