ELK堆栈中的新字段-Logstash

时间:2019-11-14 08:50:56

标签: elasticsearch logstash logstash-grok

我正在创建新字段,并使用以下命令从现有字段复制数据:

mutate {
  add_field => { "NewField" => "%{[Old][Field]}" }
}

我遇到的问题是,在执行此复制操作之前,OldField会以这种方式在kibana中很好地呈现:

{
  "message": "1"
}
{
  "message": "2"
}
{
  "message": "3"
}
{
  "message": "4"
}

在复制NewField之后,它代表一行中的数据:

{message=1},{message=2},{message=3},{message=4}

有没有办法保持原始格式?旧字段是JSON数组,新字段是text。

谢谢!

1 个答案:

答案 0 :(得分:1)

您是否尝试过使用copy而不是add_field

mutate {
  copy => { "[Old][Field]" => "[NewField]" }
}
相关问题
最新问题