Logstash Config - add Feld basiert off regex Erfassungsgruppe

So habe ich einen Host-Namen-Feld, das so etwas wie folgt aussieht:Logstash Config - add Feld basiert off regex Erfassungsgruppe

amma-pr-app-03.hst.hosting.com

Ich habe hat folgenden regex:

([^ -] {4,5}) - (pr | st) - (App | svc | SRV) - (\ d +)

, die in 4 einfangenden Gruppen brechen sollten - in diesem Fall

Installation - amma

Domain - pr

Service - App

Knoten - 03

Wie würde ich die aktuellen Capture-Gruppen gegeben mutieren?

Ich habe versucht, Feld hinzufügen und dann den Wert in $ 1.

Hat jemand einen Rat dafür?

Quelle

2016-08-23 A_Elric

Sie können Ihre Capture-Gruppen wie dieser Name:

(?<field_name>pattern)

Mit diesem Ihr grok Muster wie folgt aussehen:

(?<installation>[^-]{4,5})-(?<domain>(pr|st))-(?<service>(app|svc|srv))-(?<node>(\d+))

Quelle

2016-08-23 20:58:52 Fairy

Als Frage, dies Felder gilt, die filebeat in fügt? Der Hostname ist nicht Teil der Protokolldatei selbst, sondern Teil des Dateibeats, das hinzugefügt wird, wenn die Protokolle gesendet werden. Von dem, was ich sagen kann, stimmt meine Logstash-Konfiguration auf dem Feld "Nachricht" überein und dieses Feld geht dem voran. –

Alle Felder, die Sie manuell oder mit Filebeat automatisch hinzufügen, sollten in Ihrem Logstash-Filter verfügbar sein. – Fairy

Cool, lassen Sie mich einen Test geben (jemand hat gerade meine VM neu gestartet, aber Ihre Antwort scheint, als wäre es tot für das, was ich brauche) –

Logstash Config - add Feld basiert off regex Erfassungsgruppe

Antwort

Verwandte Themen