我正在尝试调整路径名,以使其不再在末尾附加时间戳。我输入了许多不同的日志,因此为每个可能的日志编写条件过滤器是不切实际的。如果可能的话,我只想修整值的最后九个字符。
例如"random.log-20140827"将成为"random.log"。
因此,如果您知道它总是随机的。
if [path] =~ /random.log/ {
mutate {
replace => ["path", "random.log"]
}
}
如果您要“修复”其中带有日期的任何内容,请执行以下操作:
if [path] =~ /-\d\d\d\d\d\d\d\d/ {
grok {
match => [ "path", "^(?<pathPrefix>[^-]+)-" ]
}
mutate {
replace => ["path", "%{pathPrefix}"]
remove_field => "pathPrefix"
}
}
在这两者中,第一个将减少计算强度。
我没有测试过任何一个,但是它们应该可以工作。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句