我正在处理来自Zscaler代理的日志。其中一个字段由url和端口号组成:
URL_PORT: www.google.fr:443
我只是想把这个字段分成两部分。
URL: www.google.fr
PORT: 443
我试过
mutate{
split {
"terminator" => ":",
"add_field" => "URL",
"add_field" => "PORT"
}
}
但没有发生......
提前致谢!
答案 0 :(得分:0)
为什么不使用其他grok代替:
grok {
match => [ "URL_PORT", "%{IPORHOST:URL}:%{WORD:PORT}" ]
#remove_field => [ "URL_PORT" ]
}
或将其与主grok过滤器一起使用