下面是 filebeat 日志路径字段,我需要用分隔符“/”分割并删除文本中的日志文件名。
"source" : "/var/log/test/testapp/c.log"
我只需要这部分
"newfield" : "/var/log/test/testapp"
1 回答
1
如果您进行一些研究,您会发现这是一个微不足道的问题,并且没有太多复杂性。您可以使用它grok-patterns来匹配有趣的部分,并将您想要检索的部分与您不想检索的部分区分开来。
像这样的模式将按照您的预期匹配,具有newfield您想要的:
%{GREEDYDATA:newfield}(/%{DATA}.log)
不管怎样,你可以用这个工具测试你的 Grok 模式,这里有一些有用的 grok-patterns。我建议你看看这些资源。
于 2019-03-14T10:43:58.397 回答