我想基于多匹配正则表达式来创建字段的工业化。 我的日志消息具有以下格式:
TIMESTAMP| KEY1 VALUE1: KEY2 VALUE2: KEY3 VALUE3: description
我想知道是否有办法创建感谢通用匹配字段:
KEY1=VALUE1, KEY2=VALUE2, KEY3=VALUE3
目标是拥有通用的logstash过滤器。如果我在日志中有一个新的键值,我将不必更改logstash配置。
答案 0 :(得分:1)
有一个kv过滤器可以自动解析key = value类型的事物。如果您想以上述格式进行解析,则需要使用ruby代码,例如:Logstash grok filter - name fields dynamically