当文件拍打发送到logstash时,可以基于类路径的特定部分添加字段
这是消息:
2019-10-30 12:30:01,185 DEBUG com.company.class1.json - Connection[/10.0.0.31:9042-1, inFlight=0, closed=false] was inactive for 30 seconds, sending heartbeat
我正在尝试过滤以com.company开头的所有内容 并创建一个特殊的新字段,但要使用全名 每次都可能不同的classpath可能会动态执行 像这样:
filter {
grok {
match => { "message" => "%{GREEDYDATA:com.company}" }
}
if "com.company" in [message]{
mutate {
add_field => { "%{here to put com.company.class1.json}" => "12345" }
convert => { "com.company.class1.json" => "integer" }
}
}
}