我有日志文件进入ELK堆栈.我想复制一个字段(foo)以便在其上执行各种突变,但是字段(foo)并不总是存在.
如果foo不存在,则仍会创建bar,但会为其分配文字字符串 "%{foo}"
"%{foo}"
如果字段存在,我怎样才能执行变异?
我正在尝试做这样的事情.
if ["foo"] { mutate { add_field => "bar" => "%{foo} } }
logstash logstash-configuration
logstash ×1
logstash-configuration ×1