您好我想知道如何从分割的字段中提取和添加字段:
mutate {
split => { "keys" => "#"} }
}
如何应用正则表达式来获取获得的多个值中的值? 在每把钥匙内,我将拥有所需的价值。是否可以使用正则表达式提取此值并将其添加到字段中?
记录行元素:
#20171218|20171219|W|108|14579|QUA.AT|CG-TODOS|RO||1~2~2|9~7|N@14BF2F88A41849999EF9E61E5207AED61553#20171218|20171119|W|102|14979|QUA.AT|CG-TODOS|RO||1~2~2|9~7|N@14BF2F66A4184979AEF9E61E5202AED61553
我希望得到"#"并将它们放在名为" keys"的字段中。 之后,我想对每个值应用一个正则表达式并得到值" QUA.ST"并添加一个具有该值的字段。
提前致谢。
答案 0 :(得分:0)
您可以在ES 5.0之前使用Gork Filter 但是如果您在5.x之后使用es并且您的日志是固定模式,则可以使用Dissect filter plugin。它更轻松,更容易编写。