我正在使用packetbeat捕获所有发送到elaticsearch节点的POST,PUT和GET请求,然后将捕获的数据通过logstash发送到隔离的ELK堆栈。 现在,我可以在Kibana中看到http.request.body.content字段。
但是我想在Logstash中处理http.request.body.content字段数据,以创建类似于searchterm的文件,其中包含来自被搜索的get查询的字符串。
从http.request.body.content字段获取一个示例
"query":{
"bool":{
"should":[
{
"match":{
"content_id":{
"query":"test",
"type":"phrase",
"boost":1
}
}
}
]
},
"from":0,
"size":12,
"sort":[
{
"_score":"desc"
}
]
}
}
现在我要从中提取“测试”并将其放入一个名为searchterm的额外字段中,该字段将发送到我的ELK堆栈中
有人建议如何实现这一目标吗?