我想知道logstash中是否有任何简单的方法可以将一个字段数组的所有元素复制到另一个字段数组中。换句话说,有没有办法将顶级字段的所有嵌套字段复制到另一个顶级字段?
我遇到了这个问题,因为我正在处理非标准的多行日志格式,这种格式不一定是线程安全的。因此,为了确保以正确的顺序获得所需的所有数据,我目前正在计划将每种类型的每个相关值都投入到数组中,然后再将它们排序。我遇到的问题是,logstash似乎不支持过多的数组操作。如果您认为我的方法在logstash中完全没有工作,那么我将非常感谢任何有关我能做什么的建议。
谢谢!
答案 0 :(得分:1)
正如这个问题几乎显示:LogStash: How to make a copy of the @timestamp field while maintaining the same time format?你可以使用ruby过滤器来复制数组。
filter {
ruby {
code => "event['another_top_level_field'] = event['top_level_field']"
}
}