我有这个字段:
“log”=> “2016-08-03 14:00:54,448 [DEBUG]客户的区域ID 过滤器:161943 \ r“,
如何从中删除日期?我的代码不起作用:
mutate {
gsub => ["log", "%{TIMESTAMP_ISO8601}", ""]
}
答案 0 :(得分:0)
不是最佳解决方案,但使用ruby过滤器,您可以尝试:
filter {
ruby {
code => "event['log'] = event['log'].split(' ')[2..-1].join(' ')"
}
}