下面是filebeat日志路径的字段,我需要使用分隔符'/'拆分并删除文本中的日志文件名。
"source" : "/var/log/test/testapp/c.log"
我只需要这部分
"newfield" : "/var/log/test/testapp"
如果你做一些研究,你会发现这是一个微不足道的问题,并没有太大的复杂性。您可以使用grok-patterns来匹配有趣的部分,并将您想要检索的部分与不需要的部分区分开来。
像这样的模式会像你期望的那样匹配,有你想要的newfield:
%{GREEDYDATA:newfield}(/%{DATA}.log)
无论如何,你可以用这个tool测试你的Grok模式,在这里你有一些有用的grok-patterns。我建议你看看那些资源。