Добрый день.
Вопрос таков, имеется поле "message" которое изменяется по количеству содержащихся данных и мне при этом нужно выделять поле, которое периодически встречается. Думал сначала через grok но потом понял, что не війдет, потому что поле меняется. Подскажите, как мне правильно распарсить?
Если что делаю это через "Ingest node pipeline"
Ничего не понимаю. Какое поле, куда его выделить?
Смог решить проблему, таким фильтром grok
{
"grok": {
"field": "message",
"patterns": [
"%{JID:ttt}: %{EMAILADDRESS:jid}"
],
"pattern_definitions": {
"EMAILLOCALPART": "[a-zA-Z][a-zA-Z0-9_.+-=:]+",
"EMAILADDRESS": "%{EMAILLOCALPART}@%{HOSTNAME}%{UNIXPATH}",
"JID": "[jid]"
},
"ignore_missing": true
}
}
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.
© 2020. All Rights Reserved - Elasticsearch
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant logo are trademarks of the Apache Software Foundation in the United States and/or other countries.