У меня есть файлы, которые хранятся следующим образом: c: /..../ agency / device / log.txt Я хочу извлечь поля агентства и устройства и добавить их к каждому событию в журнале.Сейчас я делаю это с помощью фильтра grok, и он хорошо работает для всех событий в журнале, но я хочу, чтобы эти поля были добавлены к созданным новым прошедшим событиям, и я обязательно заинтересован в создании нового события.Вот так выглядит мой журнал прямо сейчас:
filter
{
grok {
match => {path => "%{GREEDYDATA}/%{GREEDYDATA:agency}/ {GREEDYDATA:device}/%{GREEDYDATA}.txt"}
}
elapsed{
start_tag => "a"
end_tag => "b"
unique_id_field => "host"
timeout => 100000
new_event_on_match => true
add_tag => "ab"
keep_start_event=>last
}
}
Есть ли способ сделать это?Спасибо!