如何在新字段的logstash消息字段中过滤关键字

时间:2019-06-02 07:37:48

标签: filter logstash message

我可以过滤消息字段中的关键字吗?例如,这是日志:“(root通过(uid = 0)为用户root打开了会话”)->我想创建一个新字段来保留“ root”之类的数据,当有人登录时我想过滤用户名。您有什么想法或插件可以解决我的问题吗? 感谢您的关注。

1 个答案:

答案 0 :(得分:0)

您可以使用grok filter plugin来提取用户的名称和ID,如下所示:

filter {
  grok {
    match => { "message" => "session opened for user %{USERNAME:user_name} by \(uid=%{NONNEGINT:user_id}\)" }
  }
}
相关问题
最新问题