Elasticsearch - 配置、过滤插件、一字段一分为二
Elasticsearch - configuration, filter plugin, spliting one field into two
我正在处理来自 Zscaler 代理的日志。其中一个字段由 url 和端口号组成:
URL_PORT: www.google.fr:443
我只是想把这个字段一分为二。
URL: www.google.fr
PORT: 443
我试过了
mutate{
split {
"terminator" => ":",
"add_field" => "URL",
"add_field" => "PORT"
}
}
但什么也没发生...
提前致谢!
你为什么不用另一个 grok 来代替:
grok {
match => [ "URL_PORT", "%{IPORHOST:URL}:%{WORD:PORT}" ]
#remove_field => [ "URL_PORT" ]
}
或与主 grok 过滤器一起使用
我正在处理来自 Zscaler 代理的日志。其中一个字段由 url 和端口号组成:
URL_PORT: www.google.fr:443
我只是想把这个字段一分为二。
URL: www.google.fr
PORT: 443
我试过了
mutate{
split {
"terminator" => ":",
"add_field" => "URL",
"add_field" => "PORT"
}
}
但什么也没发生...
提前致谢!
你为什么不用另一个 grok 来代替:
grok {
match => [ "URL_PORT", "%{IPORHOST:URL}:%{WORD:PORT}" ]
#remove_field => [ "URL_PORT" ]
}
或与主 grok 过滤器一起使用