mutate {
add_field => {"eee" => "2016 uaie"}
gsub => [
"eee", "2016", "2015"
]
}
这确实会创建一个字段“eee”,但gsub会不更新它。为什么呢?
答案 0 :(得分:7)
add_field在基础过滤器成功时运行。在您的情况下,正在运行mutate {},然后运行add_field。
要在添加字段后使用mutate {},请使用两个mutate块:
mutate {
add_field => {"eee" => "2016 uaie"}
}
mutate {
gsub => [
"eee", "2016", "2015"
]
}