我有一个来自grok {}过滤器的三个属性,我试图将它们添加到列表中,如下所示:
parentAttrName:[
iEDate : iEDateValue,
iLNum : iLNumValue,
iQ : iQValue
]
我使用过 add_tag =>在grok中["%{ilmdExpirationDate}","%{iLNumValue}","%{iQValue}"] 但是它正在添加仅在名为标记的列表中使用这些属性的值。
像这样:"tags": [
"2017-07-02",
"OT-365",
"365",
"2016-10-10T10:14:35.000000010"
]
答案 0 :(得分:1)
尝试添加此mutate过滤器:
filter {
mutate {
add_field => {
"[parentAttrName][iEDate]" => "%{ilmdExpirationDate}"
"[parentAttrName][iLNum]" => "%{iLNumValue}"
"[parentAttrName][iQ]" => "%{iQValue}"
}
}
}