Question

Я использую вход Logstash SNMP и получаю следующие поля:

iso.org.dod.internet.mgmt.mib-2.host.hrStorage.hrStorageTable.hrStorageEntry.hrStorageAllocationUnits.1"

Можно ли использовать фильтр, чтобы отбрасывать все до hrStorage?

baudsp · Answer 1 · 19 февраля 2019

Вы можете использовать фильтр mutate с опцией gsub .Если часть, которую вы хотите отбросить, всегда перед hrStorage., вы можете сделать что-то вроде этого:

mutate {
  gsub => [ "message", "^(.*)(hrStorage\..*)$", "\2"]
}

Используются группы захвата, вторая группа переходит от hrStorage. к концу и перваягруппа захватывает остальных.Тогда мы оставим только второе в заменяемой части опции.

Logstash для удаления частей имени поля SNMP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Logstash для удаления частей имени поля SNMP

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы