Logstash 6.4。不执行内联变量替换

时间:2018-11-07 11:49:20

标签: logstash

以下具有特定值的mutate /字段加法不起作用

   geoip {
    default_database_type => "ASN"
    source => "dst"
   }

   mutate {
    add_field => [ "[dst_asn]", "%{geoip.asn}" ]
    # remove_field => [ "geoip" ]
   }

尽管该值存在:

?  dst_asn               %{geoip.asn}
#  dst_port               80
?  geoip.as_org               Amazon.com, Inc.
?  geoip.asn               16509
?  geoip.ip               54.247.167.6

有什么想法吗?

1 个答案:

答案 0 :(得分:0)

不起作用,因为这不是访问嵌套json对象的方式...

这是:

add_field => [ "[dst_asn]", "%{[geoip][asn]}" ]

相关问题
最新问题