elasticsearch - ELK堆栈中的新字段-Logstash

标签 elasticsearch logstash logstash-grok

我正在创建新字段并使用以下命令从现有字段复制数据:

mutate {
  add_field => { "NewField" => "%{[Old][Field]}" }
}

我遇到的问题是,在执行此复制操作之前,OldField会以这种方式很好地呈现在kibana中:
{
  "message": "1"
}
{
  "message": "2"
}
{
  "message": "3"
}
{
  "message": "4"
}

复制后,NewField代表一行中的数据:
{message=1},{message=2},{message=3},{message=4}

有没有办法保持原始格式?旧字段是JSON数组,新字段是text。

谢谢!

最佳答案

您是否尝试过使用 copy 而不是add_field

mutate {
  copy => { "[Old][Field]" => "[NewField]" }
}

关于elasticsearch - ELK堆栈中的新字段-Logstash,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58852714/

上一篇:powershell - PowerShell:将字符串追加到Get-ADUser查询的结果

下一篇:powershell - 在Get-ADComputer中排序

相关文章:

docker - Filebeat没有将日志推送到Elasticsearch

elasticsearch - 重复数据-Elasticsearch

Logstash grok 过滤器不适用于最后一个字段

java - Logstash grok 过滤器比 Java 正则表达式模式匹配慢

elasticsearch - 如何在 Elasticsearch 中比较两个文本字段

ElasticSearch - 通过嵌套字段上的嵌套聚合对聚合进行排序

elasticsearch - Elasticsearch 中的桶脚本java api

elasticsearch - logstash 输出到 elasticsearch 索引和映射

elasticsearch - 不再支持ElasticSearch的Couchbase插件?

regex - Logstash Grok 匹配到 UserAgent 开始前的最后一个索引

©2024 IT工具网  联系我们