我在logstash中有一个file输入,从/var/log/syslog读取。日志消息进入message字段。我没有考虑事先提取邮件的某些部分,但现在我想查找message字段中包含单词WORD的所有条目,并从中提取一个数字字符串,我想将这个数字提供给Kibana来构建基于它的折线图。
更具体地说:消息看起来像这样:
{
//... timestamp, id etc
"message" : "User used WORD approximately 10 times"
//
}
我想:
{
// timestamp, ...
"message" : 10
}
没有一些非常钝的力量可能吗?我能想象的最糟糕的事情是通过新的logstash输入重新提供所有消息,这将构造消息,但这看起来是一个非常糟糕的方法。
答案 0 :(得分:0)
如果您不太远,添加新模式以进行日志记录并重新提供日志是最简单的解决方案,您可以随时解析新日志。
如果您确实需要重新记录现有记录,请查看logstash中的elasticsearch {}输入,该输入可以查询旧记录并重新处理它们。