logstash split

已邀请:

medcl - Elastic 🇨🇳 !

赞同来自:

其中一个是 reference 吧,你应该先按字段进行拆分,然后再对其中的字段进行这种规则的提取。
你的语法是错误的啊,正确的 split 格式应该是:
filter {
mutate {
split => { "fieldname" => "," }
}
}
 
https://www.elastic.co/guide/e ... .html

medcl - Elastic 🇨🇳 !

赞同来自:

 grok {
match => { "request" => "appId=(?:%{WORD:appId})&" }
}

要回复问题请先登录注册