Question

我想提取网址查询参数并按照this forum answer我可以使用kv {}

但我想了解这是如何运作的。

这是我的字符串：param1=val1&param2=val2&adv=val3&param3=val4&param4=val5

现在我在logstash中将该字段提取为uri_query。

那么我就像这样使用kv：

kv {
  source => "uriQuery"
  field_split => "&"
  prefix => "query_"
}

我为每个查询参数获取字段：

query_param1 val1
query_param2 val2
etc

但我不明白的是它是如何知道剥离和打破＆＃34; =＆＃34;。这是kv＆＃39; key = value语法的默认标记还是什么？

Answer 1

是的。 =是kv的默认标记。

Here是关于kv插件的参数的文档，名为value_split。