Question

Afetr使用grok匹配以下日志行，得到消息＆＃34; msg＆＃34;并试图使用KV插件来提取字段。但是也想要在一个字段中的数组中的所有键，你能建议任何方式来做到这一点吗？

神交： grok {match =＆gt; [＆＃34;消息＆＃34;，＆＃34;％{WORD}％{SPACE} [％{GREEDYDATA：ts}] \＆lt;％{DATA：user}＆gt; \＆lt; {\＆＃34;响应\＆＃34;：{％{GREEDYDATA：msg}}}＆gt;＆＃34; ]

过滤器：

void textBox_Enter(object sender, EventArgs e) { 
  lastFocused = (TextBox)sender; 
} 

private void btnone_Click(object sender, EventArgs e) { 
  if (lastFocused != null) { lastFocused.Text += "1"; 
}

状态[04/06 18：36：28.114]＆lt; {＆＃34;回应＆＃34;：{＆＃34; In＆＃34;：42，＆＃34; Out＆＃34;：42，＆＃34; A＆＃34;：1，＆＃34; B＆＃34;：18，＆＃34; C＆＃34;：7}}＆gt;

Answer 1

您的kv {}过滤器设置为创建[response] [in]等字段。您可以进入ruby {}过滤器并循环遍历[response]字段下的键。

有没有办法在logstash中使用KV仅提取密钥

1 个答案: