是否可以保存我使用grok过滤掉的值,以将其用作以下条目的额外字段?
或者
是否有插件可以为我做这个?
答案 0 :(得分:0)
尝试记忆
例如:
memorize {
fields => ["PRODUCT"]
default => { "PRODUCT" => "NOTFOUND" }
}
上一个产品名称将保存在PRODUCT字段中, 如果从未找到产品名称,则PRODUCT字段将显示 在此示例中包含默认值" NOTFOUND"
有关更多信息,请访问: https://github.com/alcanzar/logstash-filter-memorize
你可以在ruby代码中使用advance选项,看看: https://discuss.elastic.co/t/keeping-global-variables-in-ls/39908/19