我是新来的,使用Elasticsearch,Logstash和Kibana。
现在我在Kibana中有一些日志,其中的字段有" timestamp" "消息&#34 ;. (它们显示在Kibana的左下角。) 但是"消息"包含大量信息,例如:
ID:100 |姓名:贾斯汀
如何将其分解为字段?我想做一个正则表达式来取出" Justin"。 我应该在哪里改变?在哪个档案?
答案 0 :(得分:0)
您正在寻找的是logstash的grok{} feature。它允许您根据输入定义/使用模式,以创建将存储在elasticsearch中的字段。
这是intro article可能会有所帮助。