我正在使用Logstash SNMP输入,并且正在接收如下字段:
iso.org.dod.internet.mgmt.mib-2.host.hrStorage.hrStorageTable.hrStorageEntry.hrStorageAllocationUnits.1"
有没有办法在hrStorage之前使用过滤器删除所有内容?
您可以将mutate过滤器与gsub选项一起使用。如果你要丢弃的部分总是在hrStorage.之前,你可以这样做:
mutate {
gsub => [ "message", "^(.*)(hrStorage\..*)$", "\2"]
}
它使用捕获组,第二组从hrStorage.抓到最后,第一组抓住其余组。然后我们只将第二个保留在选项的替换部分中。