我生成了以下消息。这是filebeat生成的默认结构。这里的元数据是嵌套的,我正在寻找一种将节拍字段重构为根级别的方法,如第二个例子所示。
{
"@timestamp": "2017-03-27T08:14:09.508Z",
"beat": {
"hostname": "stage-kube03",
"name": "stage-kube03",
"version": "5.2.1"
},
"input_type": "log",
"message": {
"message": {
"activityType": null
},
"offset": 3783008,
"source": "/var/log/audit.log",
"type": "log"
}
希望将击败字段提升到如下所示的水平。
{
"@timestamp": "2017-03-27T08:14:09.508Z",
"hostname": "stage-kube03",
"name": "stage-kube03",
"version": "5.2.1"
"input_type": "log",
"message": {
"message": {
"activityType": null
},
"offset": 3783008,
"source": "/var/log/audit.log",
"type": "log"
}
答案 0 :(得分:1)
对于这种操作,您可以使用Logstash输出:https://www.elastic.co/guide/en/beats/filebeat/current/logstash-output.html