Fatal编程技术网

Logstash键的默认值

logstash

Logstash键的默认值,logstash,Logstash,我正在使用Logstash解析appache access_log,需要从请求的查询字符串中检索键值格式的数据。我使用kv来分割我的查询字符串。但有时我会得到如下查询字符串: ?key1=value1&key2&key3=value3 对于未获得该值的键,是否可以使用默认值(例如TRUE) 我不知道哪个键将以查询字符串的形式发送 我的kv配置: kv { field_split => "&?" source => "params" }

我正在使用Logstash解析appache access_log,需要从请求的查询字符串中检索键值格式的数据。我使用kv来分割我的查询字符串。但有时我会得到如下查询字符串:

?key1=value1&key2&key3=value3
对于未获得该值的键,是否可以使用默认值(例如TRUE)

我不知道哪个键将以查询字符串的形式发送

我的kv配置:

kv {
    field_split => "&?"
    source => "params"   
}
我认为最好的选择是使用mutate和gsub

mutate {

     gsub => ["params", "[&,?](((?!\=).)*)[&,\s]", "&\1=true& "]   
}

kv {

     field_split => "&?"
     source => "params"   
}
这不是最好的方法,您应该在此之后修剪关键点和值。
我认为唯一正确的方法是patch kv,我认为最好的选择是使用mutate和gsub

mutate {

     gsub => ["params", "[&,?](((?!\=).)*)[&,\s]", "&\1=true& "]   
}

kv {

     field_split => "&?"
     source => "params"   
}
这不是最好的方法,您应该在此之后修剪关键点和值。 我认为唯一正确的方法是打补丁