Объединение полей

111291 · February 27, 2020, 7:26am

Добрый день!
Подскажите пожалуйста в чем моя ошибка.

grok {
      match => { "message" => ["%{INT:Min}:%{BASE10NUM:Sec}-%{INT:Duration},(%{WORD:Event}|%{SPACE:Event}),%{INT:Level}"] }
      match => { "log.file.path" => ["%{INT:TempYYMMDDHH}.log"] }
}

mutate {
      add_field => { "MyTime" => "%{TempYYMMDDHH}%{Min}%{Sec}" }
      remove_field => ["TempYYMMDDHH", "Min", "Sec"]
}
date {
      match => ["MyTime", "yyMMddHHmmss.SSSSSS"]
      target => "@timestamp"
}

Пытаюсь объединить три поля в одно значение, но на выходе получаю значение поля MyTime следующего вида: %{TempYYMMDDHH}5955.073000

входные данные:
message => 59:55.073000-0,CONN,0
log.file.path => C:\Users\Username\Documents\logs\rmngr_3496\20021323.log

Igor_Motov · February 27, 2020, 9:05pm

А если так попробовать?

grok {
  break_on_match => false
  match => { 
    "message" => ["%{INT:Min}:%{BASE10NUM:Sec}-%{INT:Duration},(%{WORD:Event}|%{SPACE:Event}),%{INT:Level}"] }
    "log.file.path" => ["%{INT:TempYYMMDDHH}.log"] 
  }
}

Или, вообще, в два grokа разнести?

111291 · February 28, 2020, 8:14am

Все оказалось проще, решил проблему следующим образом

match => { "[log][file][path]" => ["%{INT:TempYYMMDDHH}.log"] }

system · March 27, 2020, 8:14am

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.