通过消息日志创建字段

时间:2018-10-04 23:56:11

标签: elasticsearch logstash logstash-grok

我的logstash中有一条非常简单的消息,我想在此消息中创建两个字段。

if [message] =~ /.*My process: (?<myfield1>[A-Z]+) - (?<myfield2>[A-Z]+).*/ {
    mutate {
     add_field => [ "event_type", "eventType" ]
     add_tag => ["myTag"]
     add_tag => ["MySecondTag"]     } }

如何创建一个具有值field1和field2的字段?

1 个答案:

答案 0 :(得分:1)

您应该考虑将mutate过滤器更改为grok过滤器

Logstash Grok Filter plugin

grok {
  id => "Parse_MyFields"
  match => { "message" => [ "/.*My process: %{WORD:myfield1} - %{WORD:myfield2}.*/" ] }
  }

这会将您尝试提取的2个单词设置为“ myfield1”字段和“ myfield2”字段。

请务必使用Grok ConstructorGrok debugger之类的工具来验证您的grok过滤器

您甚至可以在此插件中使用add_field。