我在logstash配置文件中使用以下转换过滤器。我有两个单独的YAML文件用作查找字典。这两个过滤器引用的logstash事件field相同,但是它们的destination字段不同。当我执行此操作时,第一个翻译过滤器的destination字段已正确填充,但是第二个翻译过滤器的destination过滤器却无法填充。如何确保使用这些多个转换过滤器正确填充第二个字段的destination?
translate {
dictionary_path => "C:/elk/lookupFile_1.yaml"
field => "eventField_1"
destination => "destField_1"
}
translate {
dictionary_path => "C:/elk/lookupFile_2.yaml"
field => "eventField_1"
destination => "destField_2"
}
我认为可能有两种选择-
a)仅使用一个YAML文件而不是两个YAML文件,其中value字段是一个数组,例如key1 : val1a ,val1b。然后,使用解剖过滤器将目标字段分成单独的字段。
b)创建eventField_1的副本,例如eventField_1Copy,并将其传递给第二个转换过滤器的field参数。然后,我可以放下eventField_1Copy