我正在查询与grok处理器有关的信息。例如,这是我的邮件归档
{
"message":"agentId:agent003"
}
我想对此进行Grok,并且我的输出应该是这样的
{
"message":"agentId:agent003",
"agentId":"agent003"
}
有人可以帮助我实现这一目标吗?如果我能够在一个领域做到这一点,那么我可以管理其余领域。预先感谢。
建议不要使用dissect filter代替grok,它更直观,更易于使用。
dissect如果您正在使用Filebeat,也可以使用dissect {
mapping => {
"message" => "%{?agentId}:%{&agentId}"
}
}
:
dissect processor