elasticsearch 在grok中提取子字符串作为新字段,elasticsearch,logstash,kibana,elasticsearch,Logstash,Kibana" /> elasticsearch 在grok中提取子字符串作为新字段,elasticsearch,logstash,kibana,elasticsearch,Logstash,Kibana" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 在grok中提取子字符串作为新字段

elasticsearch 在grok中提取子字符串作为新字段

logstash kibana

elasticsearch 在grok中提取子字符串作为新字段,elasticsearch,logstash,kibana,elasticsearch,Logstash,Kibana,我是新的无麋鹿堆栈,我有一个日志文件,我需要创建一个新的字段作为服务,以标识使用日志中的子字符串生成日志的服务。下面给出了一条示例对数线。我需要一个grok表达式来筛选*****SyncLeaveRecord start******字符串作为新字段 TID: [-1234] [] [2019-08-08 00:44:00,009] INFO {org.apache.synapse.mediators.builtin.LogMediator} - STATUS = ****SyncLeaveR

我是新的无麋鹿堆栈,我有一个日志文件,我需要创建一个新的字段作为服务,以标识使用日志中的子字符串生成日志的服务。下面给出了一条示例对数线。我需要一个grok表达式来筛选
*****SyncLeaveRecord start******
字符串作为新字段

TID: [-1234] [] [2019-08-08 00:44:00,009]  INFO {org.apache.synapse.mediators.builtin.LogMediator} -  STATUS = ****SyncLeaveRecord started***** {org.apache.synapse.mediators.builtin.LogMediator}
既然你没有说如果
*****SyncLeaveRecord start******
总是有这个值,我就根据它周围的元素创建grok模式,假设这些元素不变

grok {
  match => {message => 
    "STATUS = %{DATA:newField} \{"
  }
}
给定示例日志行,它将创建一个名为
newField
的新字段,其中包含
*****SyncLeaveRecord·started*****