elasticsearch 是否可以提取字符串字段的某一部分并将其转换为其他类型?,elasticsearch,logstash,kibana,elasticsearch,Logstash,Kibana" /> elasticsearch 是否可以提取字符串字段的某一部分并将其转换为其他类型?,elasticsearch,logstash,kibana,elasticsearch,Logstash,Kibana" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 是否可以提取字符串字段的某一部分并将其转换为其他类型?

elasticsearch 是否可以提取字符串字段的某一部分并将其转换为其他类型?

logstash kibana

elasticsearch 是否可以提取字符串字段的某一部分并将其转换为其他类型?,elasticsearch,logstash,kibana,elasticsearch,Logstash,Kibana,我在logstash中有一个文件输入,它从/var/log/syslog读取。日志消息进入消息字段。我之前没有考虑提取消息的某些部分,但现在我想找到消息字段中包含单词的所有条目,并从该字符串中提取一个数字,我想将该数字提供给Kibana,以基于它构建一个折线图 更具体地说:消息如下所示: { //... timestamp, id etc "message" : "User used WORD approximately 10 times" // } 我希望: { // tim

我在logstash中有一个文件输入,它从/var/log/syslog读取。日志消息进入消息字段。我之前没有考虑提取消息的某些部分,但现在我想找到消息字段中包含单词的所有条目,并从该字符串中提取一个数字,我想将该数字提供给Kibana,以基于它构建一个折线图

更具体地说:消息如下所示:

{
  //... timestamp, id etc
  "message" : "User used WORD approximately 10 times"
  //
}
我希望:

{
  // timestamp, ...
  "message" : 10
}
没有一些真正的钝器,这可能吗?我能想象到的最糟糕的事情是通过新的logstash输入重新提供所有消息,这将构造消息,但这看起来是一个非常糟糕的方法。

如果您没有走得太远,那么向logstash添加一个新模式并重新提供日志是最简单的解决方案,让您可以在新日志到达时解析它们

如果您确实需要重新查找现有记录,请查看logstash中的{}输入,它可以查询您的旧记录并重新处理它们。

感谢您的快速回复!事实上,我并没有“走得太远”,因为我实际上正在寻找一个最适合我需要的软件,这是最可能的用例之一:我不知道从输入中提取什么,但我肯定需要经常使用它。所以肯定会有一段时间我会“走得更远”,重新导入似乎是一项几乎不可行的任务。我知道我要求的太多了,但是如果有选择的话还是不错的。