Logstash 根据另一个字段(不带ID)合并不同文档的两个字段
Logstash Combine two fields of different documents based on another field (without an ID)
我使用的是最新版本的 logstash(7.6.2)。我正在尝试根据另一个字段中的值添加两个字段。在下面找到我的示例数据,其中包含字段 TimeStamp、Value 和 Event。另外,在下面找到我想要的输出。
示例数据
18/May/2015:02:05:10 +0000 10 a
18/May/2015:02:05:15 +0000 20 b
18/May/2015:02:05:26 +0000 30 a
18/May/2015:02:05:48 +0000 40 b
18/May/2015:15:05:08 +0000 50 a
18/May/2015:16:05:03 +0000 60 b
带有额外字段的期望输出
18/May/2015:02:05:10 +0000 10 a
18/May/2015:02:05:15 +0000 20 b 30
18/May/2015:02:05:26 +0000 30 a
18/May/2015:02:05:48 +0000 40 b 70
18/May/2015:15:05:08 +0000 50 a
18/May/2015:16:05:03 +0000 60 b 110
我想做的是根据 Event 添加字段 Value 并为 [=24= 创建一个新字段]事件=b.
Elapsed filter 做了类似的事情,但它发现了时间戳的差异。但是,我想要的是根据 事件标签 添加 值字段 。我尝试使用聚合,但它需要一个唯一的 ID。有没有不使用 ID 或创建动态 IDS 的方法来做到这一点?
在此感谢任何帮助。提前致谢
找到答案了!
使用了 Ruby class 变量 并将其与 If Else 条件一起用于整个事件.
我使用的是最新版本的 logstash(7.6.2)。我正在尝试根据另一个字段中的值添加两个字段。在下面找到我的示例数据,其中包含字段 TimeStamp、Value 和 Event。另外,在下面找到我想要的输出。
示例数据
18/May/2015:02:05:10 +0000 10 a
18/May/2015:02:05:15 +0000 20 b
18/May/2015:02:05:26 +0000 30 a
18/May/2015:02:05:48 +0000 40 b
18/May/2015:15:05:08 +0000 50 a
18/May/2015:16:05:03 +0000 60 b
带有额外字段的期望输出
18/May/2015:02:05:10 +0000 10 a
18/May/2015:02:05:15 +0000 20 b 30
18/May/2015:02:05:26 +0000 30 a
18/May/2015:02:05:48 +0000 40 b 70
18/May/2015:15:05:08 +0000 50 a
18/May/2015:16:05:03 +0000 60 b 110
我想做的是根据 Event 添加字段 Value 并为 [=24= 创建一个新字段]事件=b.
Elapsed filter 做了类似的事情,但它发现了时间戳的差异。但是,我想要的是根据 事件标签 添加 值字段 。我尝试使用聚合,但它需要一个唯一的 ID。有没有不使用 ID 或创建动态 IDS 的方法来做到这一点?
在此感谢任何帮助。提前致谢
找到答案了!
使用了 Ruby class 变量 并将其与 If Else 条件一起用于整个事件.