过滤掉非目录inode的hdfs审核日志

Question

我使用logstash将HDFS审核日志消息填充到Kafka主题中。

我在Kafka主题中收到的示例消息具有以下格式：

allowed=true    ugi={myuser} (auth:SIMPLE)  ip={/x.x.x.x}   cmd={listStatus, open, ...} src={src path} dst={destination path} perm=null proto=rpc

有没有办法过滤掉所有那些“src”属性指向文件系统上的非目录indoe的消息？我只对获取HDFS目录的消息感兴趣！