Я использую packagebeat для захвата всех запросов POST, PUT и GET, которые отправляются на узел elaticsearch, а затем отправляю захваченные данные в изолированный ELK-стек через logstash.
Теперь я могу видеть поля http.request.body.content в Кибане.
Но я хочу обработать данные поля http.request.body.content в Logstash для создания полей, подобных searchterm, которое содержит строку из запроса get, который был найден.
Гера, пример из поля http.request.body.content
"query":{
"bool":{
"should":[
{
"match":{
"content_id":{
"query":"test",
"type":"phrase",
"boost":1
}
}
}
]
},
"from":0,
"size":12,
"sort":[
{
"_score":"desc"
}
]
}
}
Теперь я хочу извлечь из этого «test» и поместить его в дополнительное поле под названием searchterm, которое будет отправлено в мой ELK-стек
У кого-нибудь есть рекомендации, как этого добиться?