我的日志消息包含一堆键/值对。我使用kv指定要保留的密钥列表。但是,我需要排除没有值的键。为此,我使用gsub将空值更改为notset。现在我想使用prune将这些值列入黑名单。我不知道您需要使用prune单独指定每个字段名称。有没有办法匹配所有领域?如果我在kv部分添加新字段,我不想再次触摸blacklist_values哈希。
以下是Logstash过滤器配置示例:
filter{
mutate {
gsub => [ 'message', '= ', '=notset ' ]
}
kv {
include_keys => ["a", "b", "c", "d", "e" ]
}
prune {
blacklist_values => [ "??", "notset" ]
}
...
}