<img src="//i.stack.imgur.com/RUiNP.png" height="16" width="18" alt="" class="sponsor tag img">elasticsearch Elasticsearch-配置，过滤器插件，将一个字段拆分为两个_<img Src="//i.stack.imgur.com/RUiNP.png" Height="16" Width="18" Alt="" Class="sponsor Tag Img">elasticsearch_Configuration_Config_Logstash

elasticsearch Elasticsearch-配置，过滤器插件，将一个字段拆分为两个

configuration logstash

elasticsearch Elasticsearch-配置，过滤器插件，将一个字段拆分为两个,elasticsearch,configuration,config,logstash,elasticsearch,Configuration,Config,Logstash,我正在处理来自Zscaler代理的日志。其中一个字段由url和端口号组成： URL_PORT: www.google.fr:443 我只想把这个字段一分为二 URL: www.google.fr PORT: 443 我试过了 mutate{ split { "terminator" => ":", "add_field" => "URL", "add_field" => "PORT" } } 但是什么都没发生提前谢谢

我正在处理来自Zscaler代理的日志。其中一个字段由url和端口号组成：

URL_PORT: www.google.fr:443

我只想把这个字段一分为二

URL: www.google.fr

PORT: 443

我试过了

mutate{ 
   split {
      "terminator" => ":",
      "add_field" => "URL",
      "add_field" => "PORT"
   }
}

但是什么都没发生

提前谢谢

为什么不使用另一个

grok

：

grok {
  match => [ "URL_PORT", "%{IPORHOST:URL}:%{WORD:PORT}" ]
  #remove_field => [ "URL_PORT" ]
}

或者与主

grok

过滤器一起使用