0
如何僅修剪到logstash中的密鑰的最後部分?僅在logstash中保留字段的最後部分
我已經格式化的http://aaa.bbb/get?a=1&b=2
形式的網址,將它們放入「請求」和分裂基礎上的場「? &'保存GET參數。
我只關心特定的API調用,而不是主機或協議。我可以鏈接哪些過濾器以保留最後的'/'後面的部分?我已經閱讀了一些模式,但並未偶然發現如何引用拆分字段的最後部分。
grok {
match => [ "message", "%{TIMESTAMP_ISO8601:timestamp}
%{NOTSPACE:loadbalancer} %{IP:client_ip}:%{NUMBER:client_port:int}
%{IP:backend_ip}:%{NUMBER:backend_port:int}
%{NUMBER:request_processing_time:float}
%{NUMBER:backend_processing_time:float}
%{NUMBER:response_processing_time:float}
%{NUMBER:elb_status_code:int}
%{NUMBER:backend_status_code:int}
%{NUMBER:received_bytes:int} %{NUMBER:sent_bytes:int}
%{QS:request}" ]
}
date {
match => [ "timestamp", "ISO8601" ]
}
kv {
field_split => "&?"
source => "request"
}
謝謝阿蘭。我從錯誤的方向看問題。我使用以下內容結束:match => [「request」],「%{WORD:verb} \ s%{URIPROTO}://%{URIHOST}%{URIPATH:path}%{URIPARAM:params} \ s %{URORDER}}] –
應該是:match => [「request」,「%{WORD:verb} \ s%{URIPROTO}://%{URIHOST}%{URIPATH:path}%{URIPARAM:params } \ S%{GREE DYDATA}「] –