<img src="//i.stack.imgur.com/RUiNP.png" height="16" width="18" alt="" class="sponsor tag img">elasticsearch winlogbeat如何删除大部分日志并只留下部分消息_<img Src="//i.stack.imgur.com/RUiNP.png" Height="16" Width="18" Alt="" Class="sponsor Tag Img">elasticsearch_Elastic Stack

elasticsearch winlogbeat如何删除大部分日志并只留下部分消息

elasticsearch winlogbeat如何删除大部分日志并只留下部分消息,elasticsearch,elastic-stack,elasticsearch,Elastic Stack,我正在使用winlogbeat从我的机器上获取一些windows日志，并将它们保存到文件中。它工作得很好，这是我的配置： winlogbeat.event_logs: - name: myLogs ignore_older: 1h processors: - decode_xml: field: message - drop_fields: fields: ["host", &

我正在使用winlogbeat从我的机器上获取一些windows日志，并将它们保存到文件中。它工作得很好，这是我的配置：

    winlogbeat.event_logs:
  - name: myLogs
    ignore_older: 1h
    processors:
      - decode_xml:
            field: message
      - drop_fields:
            fields: ["host", "log", "event", "agent", "ecs", "winlog"]
      - drop_event:
            when:
                not:
                    contains:
                        message: lorem ipsum

setup.template.settings:

setup.kibana:

output.file:
  path: "C:/tmp/test_log"
  filename: winlogbeat
  rotate_every_kb: 10000
  number_of_files: 1000
  #permissions: 0600

我要做的是过滤掉那些日志，我还想只留下一个子集的消息。我的消息是一个xml：

`<myLog>
  <info1>info</info1>
  <info2>info2</info2>
  <info3>info3 = test and something else</info3>
</myLog>`

`
信息
信息2
info3=测试和其他东西
`

在结果文件中，我只想存储节点info1和info3中的文本（但这里只有info3=test）

是否有任何选项可以使用类似regex的东西从lof获取我需要的信息，并只将其存储在结果文件中