input {
# 默认是beats,修改为tcp,接受tcp直接传输日志
tcp {
port => 5044
codec => json
}
}
filter {
ruby {
# 使用ruby将日志中大写的INFO替换成小写,index不支持大写。
code => ‘event.set("level", event.get("level").downcase)‘
}
mutate{
# 使用mutate插件修改拆分service字段中的 service_number,新生成services为service的第一个字符串。
split => ["service","_"]
add_field => ["services","%{[service][0]}"]
}
}
output {
stdout {
# 开启rubydebug
codec => rubydebug
#codec => json
}
elasticsearch {
hosts => ["192.168.8.208:9200"]
# 根据上面filter过滤出的字段,自定义索引
index => "%{services}-%{level}-%{+YYYY.MM.dd}"
}
}
logstash filter 过滤 (字符大写转小写,拆分)
原文:https://www.cnblogs.com/dgshubo/p/15160671.html