我有一个drupal监视程序日志文件,它以syslog之类的东西开始,比如timestamp等,然后有一个以管道分隔的数量,我在监视程序中登录。现在我正在编写一个grok过滤规则来获取字段。
我在邮件正文中有几个网址,所以我使用%{URI:request}来获取这些网址。然而,这会创建一个名为port的字段,该字段始终为空,我不想将大量空字段放入我的elasticsearch数据库中,因此我想知道如何摆脱看起来像的空数组这个:"port": [null, null, null]。
答案 0 :(得分:1)
如果您想无条件地删除字段,只需向remove_field => ['port']块添加grok即可。
如果您想要有条件地删除某些内容,可以使用ruby过滤器检查字段中的内容,然后再将其删除,或在if过滤器周围使用mutate { remove_field => ['port'] }。