如何在logstash中只获取一个字段的内容
我正在处理通过网络接收的系统日志,但由于它通过网络传输,我以不同的格式接收它们 因此,真正的系统日志位于一个名为“message”的字段中,我想制作一个过滤器来获取“message”的内容,并对其进行过滤并将其发送到一个文件 实际上,数据是这样的:如何在logstash中只获取一个字段的内容,logstash,Logstash,我正在处理通过网络接收的系统日志,但由于它通过网络传输,我以不同的格式接收它们 因此,真正的系统日志位于一个名为“message”的字段中,我想制作一个过滤器来获取“message”的内容,并对其进行过滤并将其发送到一个文件 实际上,数据是这样的: {"@timestamp":"2020-10-12T14:17:16.944Z","message":"<190>key1=\"value1\" k
{"@timestamp":"2020-10-12T14:17:16.944Z","message":"<190>key1=\"value1\" key2=\"value2\"","otherKey1":"otherValue1","otherKey2":"otherValue2"}
非常感谢您的帮助和建议 对于您的情况,您需要在事件中保留fiels消息。 您可以通过启用白名单机制的prune过滤器来实现这一点 因此,在您的过滤器中添加以下内容:
prune {
whitelist_names => ["^message$"]
}
在此之后,文件中只能写入此字段。谢谢您的回答,但我应该将此字段放在哪里?在标志过滤器{..}
prune {
whitelist_names => ["^message$"]
}