情况:
在我的日志中,我有一个字段" Url"。在某些情况下,网址中有一个或多个查询项。
理想情况: 我正在寻找一种方法来摆脱网址中的查询项目(以获得一个' clean' url)。这是为了在Kibana中进行更好的分析(最常用的页面是什么,在URL中没有查询项目)。
到目前为止,我所做的是添加一个新字段" url_nonquery"具有现有" Url"的价值领域。然后我在这个新字段上使用mutate { split =>过滤器来分割?字符。这将产生一个数组:索引0和' clean'带查询字符串的url和index 1。但现在我似乎没有找到如何删除索引1。
有人有一些想法可以帮助我进一步解决这个问题吗? 感谢。
答案 0 :(得分:0)
您需要做的就是这样的grok过滤器:
filter {
grok { match => [ "url", "%{URIPATH:url_nonquery}" ] }
}
即使没有?在URL中。如果您没有?split方法可能很麻烦?在你的网址。