我的logstash中有一条非常简单的消息,我想在此消息中创建两个字段。
if [message] =~ /.*My process: (?<myfield1>[A-Z]+) - (?<myfield2>[A-Z]+).*/ {
mutate {
add_field => [ "event_type", "eventType" ]
add_tag => ["myTag"]
add_tag => ["MySecondTag"] } }
如何创建一个具有值field1和field2的字段?
答案 0 :(得分:1)
您应该考虑将mutate过滤器更改为grok过滤器
grok {
id => "Parse_MyFields"
match => { "message" => [ "/.*My process: %{WORD:myfield1} - %{WORD:myfield2}.*/" ] }
}
这会将您尝试提取的2个单词设置为“ myfield1”字段和“ myfield2”字段。
请务必使用Grok Constructor或Grok debugger之类的工具来验证您的grok过滤器
您甚至可以在此插件中使用add_field。