我的文件存储如下: c:/..../代理商/设备/log.txt 我想提取代理商和设备的字段,并将它们添加到日志中的每个事件。 现在,我使用grok过滤器执行此操作,它对于日志中的所有事件都运行良好,但是我希望将这些字段添加到创建的新经过事件中,并且我一定对创建新事件感兴趣。 这是我的日志现在的样子:
filter
{
grok {
match => {path => "%{GREEDYDATA}/%{GREEDYDATA:agency}/ {GREEDYDATA:device}/%{GREEDYDATA}.txt"}
}
elapsed{
start_tag => "a"
end_tag => "b"
unique_id_field => "host"
timeout => 100000
new_event_on_match => true
add_tag => "ab"
keep_start_event=>last
}
}
有没有办法做到这一点? 谢谢!