elasticsearch 按Grok分析日志文件中随机数目的收件人,elasticsearch,logstash,elasticsearch,Logstash" /> elasticsearch 按Grok分析日志文件中随机数目的收件人,elasticsearch,logstash,elasticsearch,Logstash" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 按Grok分析日志文件中随机数目的收件人

elasticsearch 按Grok分析日志文件中随机数目的收件人

logstash

elasticsearch 按Grok分析日志文件中随机数目的收件人,elasticsearch,logstash,elasticsearch,Logstash,我有一个类似于: 2019-05-23 16:33:54 +0300 08 mail SMTP-IN:0003ACBE: New mail <0000> received from mail.contoso.com (127.0.0.1) with envelope from <user@contoso.com>, recipients=3 (user1@contoso.com, user2@contoso.com, user3@contoso.com), size=12

我有一个类似于:

2019-05-23 16:33:54 +0300 08 mail SMTP-IN:0003ACBE: New mail <0000> received from mail.contoso.com (127.0.0.1) with envelope from <user@contoso.com>, recipients=3 (user1@contoso.com, user2@contoso.com, user3@contoso.com), size=1234, enqueued with id 12345

2019-05-23 16:33:54+0300 08邮件SMTP-IN:0003ACBE:从mail.contoso.com(127.0.0.1)收到新邮件,信封来自,收件人=3(user1@contoso.com, user2@contoso.com, user3@contoso.com),size=1234,已排队,id为12345
我查看了kv过滤器,但不知道如何应用它,因为地址模式也落在发送者身上

我不明白如何像这样解析行。收件人可以是随机数。我想通过grok获得结构化数据,如:

“电子邮件1”:user1@contoso.com"

“电子邮件2”:user2@contoso.com"

“电子邮件3”:user3@contoso.com“

您可以将所有电子邮件地址搜索到一个字段中,然后使用筛选器将其拆分为一个数组

如果您真的需要从每个字段中创建新字段,您可能需要使用ruby并在整个数组中循环。

您可以将所有电子邮件地址搜索到一个字段中,然后使用过滤器将其拆分为一个数组

如果您真的需要从每个字段中创建新字段,那么您可能需要进入ruby并在整个数组中循环