Indexation scinder une donnée dans plusieurs champs

Bonjour,

j'index dans ES des fichiers de log générés par des machines.
les données sont, dans l'ensemble, bien indexées mais une donnée des fichiers de log est sous la forme suivante :
"message" : "{Region : Jaw, Diameter_cm: 12, Height_cm: 10, Quality: HighResolution, Size: M, Mode: 0, voltage : 120 kV, Amperage : 6.3 mA}",

Je ne peux pas modifier la structure des fichiers de logs mais je souhaite scinder le contenu de "Message" dans plusieurs champs, à savoir :
un champ "Region", un champ "Diameter_cm", "Height_cm" etc.

Ma question est donc : est-il possible de scinder le contenu d'une données dans plusieurs champs , au moment de l'indexation, et si oui comment ?

Merci d'avance pour vos réponses.

Laurent

Je pense qu'en utilisant un codec json dans ton input logstash, ça devrait le faire.

Merci David pour ta réponse. Je vais étudier la chose....

input {
file {
path => "/path/to/log/*.log"
codec => json
#start_position=>beginning
}
}

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.