Logstash:处理特殊日志格式

时间:2017-06-01 12:18:41

标签: elasticsearch logstash elastic-stack logstash-grok logstash-configuration

是否有任何Logstash过滤器可用于处理此log / s之王

mat的输入日志 -

apple=1 | banana= 3 | mango=5

apple=1 | banana= 3 | mango=5 | tiger=7 | elepnat=1

过滤器的输出如下 -

{
    "apple": "1"
    "banana": "3"
    "banana": "5"
}

{
    "apple": "1"
    "banana": "3"
    "banana": "5"
    "tiger": "7"
    "elepnat": "1"
}

注意:键数和数量输入日志中的值可能会随机变化,例如在第1个日志中有3个,在最后一个日志中有5个

1 个答案:

答案 0 :(得分:1)

是的,您可以使用kv Logstash过滤器。只需将此过滤器添加到您的配置中:

filter {
   ...
   kv {
      source => "your_field"
      field_split => "|"
      value_split => "="
      trim_key => "\s"
      trim_value => "\s"
   }
}