我需要从logstash中的变量获取子字符串,以便将消息路由到elasticsearch中的正确索引:
output {
elasticsearch {
hosts => "elasticsearch:9200"
index => "log_%{ts}"
document_type => "%{level}"
}
}
我需要它来从ts获取日期(不包括时间)。 Logstash的语法是否可以格式化变量并仅获取前10个字符,而不会使用 grok 或类似的新临时字段来污染消息?