行动是治愈恐惧的良药,而犹豫、拖延将不断滋养恐惧。

关于logstash 字符串提取问题

匿名 | 发布于2018年05月15日 | 阅读数:4713

想问下大佬们
现在对nginx日志进行内容提取
例如:日志格式

 
 
现在需求是把日志中GET /test/channel/list?version=1111&appId=a49fc7c47b99ce4dg65d2&appSecret=43sdfaeb8a05f HTTP/1.1" 里面的内容,
只截取appId这个字符串内容。。。  
求助。。。。。
已邀请:

Dm

赞同来自:

根据 & 拆分去提取

Dm

赞同来自:

mutate{
     split => ["message","&"]
        add_field =>   {
            "tmp" => "%{[message][0]}"
        }
        add_field =>   {
            "appIdStr" => "%{[message][1]}"
        }
    }
 
    mutate{
     split => ["appIdStr","="]
        add_field =>   {
            "appId" => "%{[appIdStr][1]}"
        }
    }
 

要回复问题请先登录注册