Elasticsearch - 配置,过滤插件,将一个字段拆分为两个

时间:2015-11-26 09:08:04

标签: elasticsearch configuration config logstash

我正在处理来自Zscaler代理的日志。其中一个字段由url和端口号组成:

URL_PORT: www.google.fr:443

我只是想把这个字段分成两部分。

URL: www.google.fr

PORT: 443

我试过

mutate{ 
   split {
      "terminator" => ":",
      "add_field" => "URL",
      "add_field" => "PORT"
   }
}

但没有发生......

提前致谢!

1 个答案:

答案 0 :(得分:0)

为什么不使用其他grok代替:

grok {
  match => [ "URL_PORT", "%{IPORHOST:URL}:%{WORD:PORT}" ]
  #remove_field => [ "URL_PORT" ]
}

或将其与主grok过滤器一起使用

相关问题
最新问题