下面是作为文件信号日志路径的字段,我需要使用定界符'/'进行拆分,并删除文本中的日志文件名。
"source" : "/var/log/test/testapp/c.log"
我只需要这部分
"newfield" : "/var/log/test/testapp"
答案 0 :(得分:1)
如果您进行一些研究,您会发现这是一个微不足道的问题,并且没有太多复杂性。您可以使用grok-patterns来匹配有趣的部分,并将要检索的部分与不需要的部分区分开。
这样的模式将按照您的期望进行匹配,并根据需要设置newfield:
%{GREEDYDATA:newfield}(/%{DATA}.log)
无论如何,您可以使用此tool测试Grok模式,这里有一些有用的grok-patterns。我建议您看看这些资源。