我如何使用logstash从packetbeat http.request \ response.body.content中提取数据

时间:2019-05-24 07:52:18

标签: elasticsearch logstash packetbeat

我正在使用packetbeat捕获所有发送到elaticsearch节点的POST,PUT和GET请求,然后将捕获的数据通过logstash发送到隔离的ELK堆栈。 现在,我可以在Kibana中看到http.request.body.content字段。

但是我想在Logstash中处理http.request.body.content字段数据,以创建类似于searchterm的文件,其中包含来自被搜索的get查询的字符串。

从http.request.body.content字段获取一个示例

   "query":{
      "bool":{
         "should":[
            {
               "match":{
                  "content_id":{
                     "query":"test",
                     "type":"phrase",
                     "boost":1
                  }
               }
            }
         ]
      },
      "from":0,
      "size":12,
      "sort":[
         {
            "_score":"desc"
         }
      ]
   }
}

现在我要从中提取“测试”并将其放入一个名为searchterm的额外字段中,该字段将发送到我的ELK堆栈中

有人建议如何实现这一目标吗?

0 个答案:

没有答案
相关问题
最新问题