关于logstash 字符串提取问题

想问下大佬们
现在对nginx日志进行内容提取
例如:日志格式
10.1.1.1 - - [08/May/2011:23:59:23 +0800] 200 472 0.007 0.007 http zjwx.yikantoutiao.com "GET /test/channel/list?version=1111&appId=a49fc7c47b99ce4dg65d2&appSecret=43sdfaeb8a05f HTTP/1.1" "http://www.test.com/test/%3Fap ... ot%3B 
 
 
现在需求是把日志中GET /test/channel/list?version=1111&appId=a49fc7c47b99ce4dg65d2&appSecret=43sdfaeb8a05f HTTP/1.1" 里面的内容,
只截取appId这个字符串内容。。。  
求助。。。。。
已邀请:

Dm

赞同来自:

根据 & 拆分去提取

Dm

赞同来自:

mutate{
     split => ["message","&"]
        add_field =>   {
            "tmp" => "%{[message][0]}"
        }
        add_field =>   {
            "appIdStr" => "%{[message][1]}"
        }
    }
 
    mutate{
     split => ["appIdStr","="]
        add_field =>   {
            "appId" => "%{[appIdStr][1]}"
        }
    }
 

要回复问题请先登录注册