remove_field 是Mutate 插件的一个功能,用于从事件中移除指定的字段。这对于数据清洗和减少不必要的数据传输非常有用。 配置remove_field 时,你需要在 Logstash 配置文件中指定要移除的字段名。字段名可以是一个具体的字段,也可以是一个字段模式的匹配。 配置示例如下: plaintext mutate { remove_field => [...
filter { mutate { strip=> ["field1","field2"] } } 9)remove_field:删除字段: filter { mutate { remove_field=> ["foo_%{somefield}"] } } 10)join:将类型为 array 的字段中的 array 元素使用指定字符为分隔符聚合成一个字符串。如我们可以将 split 分割的结果再重新聚合起来: filter { mutate...
mutate { add_field => {"testField1" => "0"} add_field => {"testField2" => "%{name}"} #引用name中的值 } 1. 2. 3. 4. 5. 6. 7. 移除字段 remove_field mutate { remove_field => ["name"] } 1. 2. 3. 4. 5. 大小写转换 lowercase&uppercase mutate { #lowercase => [ ...
mutate { convert => {"Longitude" => "float"} convert => {"Latitude" => "float"} add_field => ["location", "%{Latitude},%{Longitude}"] rename => ["Code", "zipcode"] } mutate { remove_field => [ "Disabled", "Memo" ] } } output { stdout {codec => rubydebug} elasticsearch...
定义过滤器插件,使用mutate插件的remove_field选项来移除指定的标签字段。例如,移除名为"tag"的字段: 定义输出插件,指定数据的目标位置。例如,将数据输出到Elasticsearch: 定义输出插件,指定数据的目标位置。例如,将数据输出到Elasticsearch: 通过以上配置,Logstash会从指定的输入文件中读取数据,然后使用过滤器插件移除"tag...
这个示例表示将字段old_field重命名为new_field。 (4)删除字段 remove_field可以实现删除某个字段的功能,下面是一个关于mutate插件中remove_field的示例(仅列出filter部分): filter{mutate{ remove_field=>["timestamp"] } } 这个示例表示将字段timestamp删除。
mutate { remove_field => ["message", "timeFlag", "logLevel", "id", "traceId", "Nio", "filter"] } } 经过此次处理后,会去掉message字段,结果如下所示: 代码语言:txt 复制 { "path" => "/var/log/test.log", "originBody" => "{\"traceId\":\"edda5da8xxxxxxxxxxxxxxxxxxx387d48\",\...
mutate { add_field => { "add_msg" => "%{[message]}" } } } output { stdout { } } start_position 代表logstash初次采集文件内容的位置,。取值:beginning或者end。end代表每次都是从文件尾部开始。add_field为添加输出字段 如果想输出到文件里,那么就是 ...
mutate 可以对事件中的数据进行修改,包括 rename、update、replace、convert、split、gsub、uppercase、lowercase、strip、remove_field、join、merge 等功能。 json 按照 json 解析字段内容到指定字段中 geoip 增加地理位置数据 ruby 利用 ruby 代码来动态修改 Logstash Event filter { grok => { match => { "messa...
mutate { remove_field => ["@version", "beat", "logTime"] } } output { stdout{ } elasticsearch { hosts => ["127.0.0.1:9200"] index => "filebeat-%{type}-%{+yyyy.MM.dd}" document_type => "%{documentType}" template_overwrite => true ...