在弹性搜索中替换另一个字段值

时间:2016-02-25 11:15:04

标签: elasticsearch logstash logstash-configuration

我是弹性搜索的新手。我的csv文件中有(yyyy-mm-dd HH24:MI:SS)格式的tran_timestamp字段。使用logstash想要在输出中添加另一个字段为(YYYY-mm- dd)format.Kindly帮助实现同样的目标。

CSV:

actor_id,actor_type,tran_id,tran_date,tran_type,tran_sub_type,acid,cr_dr_indicator,tran_amt,orig_input_amt,tran_particulars,tran_particulars_2,tran_remarks,r_cre_id,channel_id,use_case,sub_use_case,circle
12345,ABC,123,2016-01-31 05:55:13,ITM,103A,10554566,CR,0.500000,0.500000,Total  Amount of SCW ,TM_1=0.5,,SYSTEM,DEFAULT,,,KL

附上配置 config

1 个答案:

答案 0 :(得分:0)

您可以使用简单的mutate过滤器来实现这一目标,tran_timestamp字段中的日期为split,然后只取出您add to a new field的第一个元素(即我打电话给tran_day

filter {
  csv {
    ...your CSV config...
  }
  mutate {
    split => {"tran_timestamp" => " "}
    add_field => {"tran_day" => "%{[tran_timestamp][0]}"}
  }
}