如何从Logstash过滤器中的字段添加新字段?
示例:
field1 => '192.168.0.131 abcd 123'
最终结果
field1 => '192.168.0.131 abcd 123'
srcip => '192.168.0.131'
word => 'abcd'
number => '123'
答案 0 :(得分:0)
您可以使用grok来解析之前grok的结果,只需在滤镜链中添加其他滤镜。
例如:
grok {
match => { "field1" => "%{IP:srcip} %{WORD:word} %{NUMBER:number} " }
remove_field => ["field1"]
}