什么是 logstash "mutate" 在 ELasticsearch Ingestion API 中的等价物
What is the logstash "mutate" equivalent in ELasticsearch Ingestion API
我正在使用 filebeat-5.2、logstash-5.2 和 AWS Elastic Search Service-5.1。
在这里,我在 logstash
中定义了现有的 grok 模式
grok{
match => "\[%{DAY:day} %{MONTH:month} %{MONTHDAY:monthday} %{TIME:time} %{YEAR:year}\]"
}
mutate {
add_field => {
"timestamp" => "\[%{DAY:day} %{MONTH:month} %{MONTHDAY:monthday} %{TIME:time} %{YEAR:year}\]"
}
}
我正在尝试在 Ingestion 中定义等效的 grok 处理器 API。
PUT _ingest/pipeline/pipe_celery_log
{
"processors": [
{
"patterns": ["\[%{DAY:day} %{MONTH:month} %{MONTHDAY:monthday} %{TIME:time} %{YEAR:year}\]"]
....................
有什么方法可以让我在 Ingestion API 中定义 mutate 来提取我的时间戳字段。
我对 Ingestion API 还很陌生。如果有人能解决这个问题,请帮助我。
您正在查找的处理器名为 set。
看起来像这样:
"set" : {
"field" : "fieldname"
"value" : "fielvalue"
}
您可以访问带有双大括号的字段:
{{fieldname}}
查看 set 处理器文档 here。
我正在使用 filebeat-5.2、logstash-5.2 和 AWS Elastic Search Service-5.1。 在这里,我在 logstash
中定义了现有的 grok 模式grok{
match => "\[%{DAY:day} %{MONTH:month} %{MONTHDAY:monthday} %{TIME:time} %{YEAR:year}\]"
}
mutate {
add_field => {
"timestamp" => "\[%{DAY:day} %{MONTH:month} %{MONTHDAY:monthday} %{TIME:time} %{YEAR:year}\]"
}
}
我正在尝试在 Ingestion 中定义等效的 grok 处理器 API。
PUT _ingest/pipeline/pipe_celery_log
{
"processors": [
{
"patterns": ["\[%{DAY:day} %{MONTH:month} %{MONTHDAY:monthday} %{TIME:time} %{YEAR:year}\]"]
....................
有什么方法可以让我在 Ingestion API 中定义 mutate 来提取我的时间戳字段。
我对 Ingestion API 还很陌生。如果有人能解决这个问题,请帮助我。
您正在查找的处理器名为 set。
看起来像这样:
"set" : {
"field" : "fieldname"
"value" : "fielvalue"
}
您可以访问带有双大括号的字段:
{{fieldname}}
查看 set 处理器文档 here。