我有一个相当冗长的比赛声明,比如
grok {
patterns_dir => ["/etc/logstash/pattern"]
match => ["message", "%{PATTERN_1}",
"message", "%{PATTERN_2}",
# ... many more following
"message", "%{PATTERN_N}"]
tag_on_failure => []
add_tag => [ "parsed" ]
}
有没有办法将匹配模式的名称提取到新字段中,例如" match_pattern":" PATTERN_1"?
我尝试过命名模式: match => ["消息","%{PATTERN_1:PATTERN_1}"] 它将消息字段复制到名为PATTERN_1的新字段。我需要的是给定字段匹配模式名称。 有什么想法吗?