elasticsearch Logstash-进行解剖’;s映射是否支持多个匹配?,elasticsearch,logstash,logstash-grok,logstash-configuration,logstash-filter,elasticsearch,Logstash,Logstash Grok,Logstash Configuration,Logstash Filter" /> elasticsearch Logstash-进行解剖’;s映射是否支持多个匹配?,elasticsearch,logstash,logstash-grok,logstash-configuration,logstash-filter,elasticsearch,Logstash,Logstash Grok,Logstash Configuration,Logstash Filter" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch Logstash-进行解剖’;s映射是否支持多个匹配?

elasticsearch Logstash-进行解剖’;s映射是否支持多个匹配?

logstash

elasticsearch Logstash-进行解剖’;s映射是否支持多个匹配?,elasticsearch,logstash,logstash-grok,logstash-configuration,logstash-filter,elasticsearch,Logstash,Logstash Grok,Logstash Configuration,Logstash Filter,因为我的日志有多个模式,所以我需要使用多个剖析模式,以便在一个模式无法识别日志时,另一个可以捕获。下面的伪配置工作 "message" => "pattern1" 或 但以下配置不起作用 "message" => ["pattern1", "pattern2"] dissect是否支持这些类型的匹配?否,dissect仅支持每个字段的一个映射 如果日志有多个模式,则需要使用支持多个匹配模式的grok 根据日志消息的方式,您可以使用条件组合来过滤消息,并将每个条件发送到匹配的dis

因为我的日志有多个模式,所以我需要使用多个剖析模式,以便在一个模式无法识别日志时,另一个可以捕获。下面的伪配置工作

"message" => "pattern1"

但以下配置不起作用

"message" => ["pattern1", "pattern2"]
dissect是否支持这些类型的匹配?

否,
dissect
仅支持每个字段的一个映射

如果日志有多个模式,则需要使用支持多个匹配模式的
grok

根据日志消息的方式,您可以使用条件组合来过滤消息,并将每个条件发送到匹配的
dissect
,或者将
grok
dissect
组合起来解析消息的公共部分

您还可以通过
\u dissectfailure
标记进行过滤,如果您的第二个模式与
dissect
不匹配,它将收到此标记,然后您可以应用匹配的
dissect
Hmm,但我在下面的帖子/答案中看到了类似的内容,此链接是一个公开问题,要求支持多个模式,您链接的帖子只是有人在讨论如何实现它,而不是它是如何工作的,目前dissect只支持每个字段一个映射。

"message" => ["pattern1", "pattern2"]