我通过 logback 从我的Spring Boot App接收日志,并希望使用 logstash过滤器将多个字段转换为嵌套的单独json元素。我已经做到了
mutate过滤器:
filter {
mutate {
rename => {
"appName" => "[app][name]"
"appNode" => "[app][node]"
"appStatus" => "[app][status]"
... etc
}
}
}
它有效(我看看Kibana的结果)。 但列出所有这些领域(我将拥有超过3个领域)并非易事。写一个正则表达式(也许)可以很好地匹配以'app'开头的字段并将它们嵌套在'app'元素下。
我知道可以使用ruby和grok过滤器来实现这一目标。我没有时间学习ruby来编写脚本,所以我想知道如何使用grok模板对它进行分组?