Logstash конфигурации - добавить поле на основе регулярных выражений от захвата группы

Итак, у меня есть поле имя хоста, который выглядит примерно так:Logstash конфигурации - добавить поле на основе регулярных выражений от захвата группы

amma-pr-app-03.hst.hosting.com

Я сделал следующее регулярное выражение:

([^ -] {4,5}) - (пр | ул) - (приложение | SVC | SRV) - (\ d +)

Который должен разбить на 4 группы захвата - в этом случае находится

Установка - amma

домен - пр

сервис - приложение

узел - 03

Как бы мутировать, учитывая текущие группы захвата?

Я пробовал делать поле добавления и затем использовать значение в $ 1.

У кого-нибудь есть совет для этого?

источник

2016-08-23 A_Elric

Вы можете назвать свои группы захвата, как это:

(?<field_name>pattern)

С помощью этого вашего шаблона ГРОК могут выглядеть следующим образом:

(?<installation>[^-]{4,5})-(?<domain>(pr|st))-(?<service>(app|svc|srv))-(?<node>(\d+))

источник

2016-08-23 20:58:52 Fairy

Как вопрос, это относится к полям, filebeat добавляет в? Имя хоста не является частью самого файла журнала, но является частью того, что добавляет filebeat при отправке журналов. Из того, что я могу сказать, моя конфигурация logstash соответствует в поле «сообщение», и это поле предшествует этому. –

Любые поля, которые вы вручную или которые автоматически добавляются с помощью Filebeat, должны быть доступны в вашем фильтре Logstash. – Fairy

Прохладный, позвольте мне дать ему тест (кто-то просто перезагрузил мою виртуальную машину, но ваш ответ кажется, что он мертв для того, что мне нужно) –

Logstash конфигурации - добавить поле на основе регулярных выражений от захвата группы

ответ

Смежные вопросы