我是filebeat和logstash的新手。想了解如何访问自定义字段,在logstash结束时使用filebeat插入。
示例filebeat:
filebeat:
# List of prospectors to fetch data.
prospectors:
paths:
- /root/logstash/log/*.log
input_type: log
fields:
samplevar: 1004
logstash:
hosts: ["172.31.1.162:5044"]
现在我如何在logstash端访问samplevar?
Logstash配置
output{
stdout{
codec => line { format => "{\"Date\": \"%{date}\", \"PID\": \"%{PID}\", \"Description\": \"%{description}\", \"%{[fields][samplevar]}\"}"}
}
}
但是samplevar没有返回任何值
答案 0 :(得分:0)
根据
the filebeat docs
添加的自定义字段将是fields字段的子字段。
要在Logstash中访问此内容,您可以使用%{[fields][samplevar]}。
要在根目录中存储Filebeat添加的字段,允许Logstash像%{samplevar}一样访问它们,请使用filebeat setting fields_under_root: true