Я пытаюсь сопоставить шаблонный документ ES, который загружается через Logstash. Я использую следующее как часть logstash conf, но я не вижу никаких полей, добавляемых в документ, и не вижу ошибок в журналах.
Шаблон - это продолжительность, определенная в часах, как PT(Часы) H.
Пример: PT2856H
grok {
match => [ "message", "PT%{NUMBER:DurationHours}H" ]
}
mutate {
add_field => { "NewDurationHrs" => "%{DurationHours}" }
}
Мне нужно извлечь числа из строки и добавить их в качестве нового поля в документе Elasticsearch при сопоставлении с шаблоном. Может кто-нибудь, пожалуйста, дайте мне знать, что мне здесь не хватает?