我试图拆分一个字段(url .original),并将给定数组的每个元素注册到新字段中(filebeat 7.3.1)。
url.array很好地创建为数组,并包含我的2个元素。没关系的。
现在如何将每个元素放在新字段(url.path和url.query)中?
我尝试过:
{
"split": {
"field": "url.original",
"separator": "\\?",
"ignore_missing": true,
"target_field": "url.array"
}
},
{
"set": {
"field": "url.path",
"value": " {{ctx.url.array[0] }}"
}
},
也可以使用处理器:
- extract_array:
field: url.array
mappings:
url.path: 0
url.query: 1
ignore_missing: true
omit_empty: true
但是没有任何作用。
任何人都可以帮忙吗? 谢谢