文章1、rename2、update3、replace4、convert5、gsub6、uppercase/lowercase7、split8、strip9、remove_field10和join11
mutate插件包括重命名、更新、替换、转换、分离、gsub、uppercase、lowercase、strip、remove_field、join等
1、rename对于已经存在的字段,将该字段重命名。
filter { mutate } rename=[ ' syslog _ host ',' host'] }} 2、update更新字段内容,如果字段不存在,则不创建新字段
filter { mutate } update={ ' sample '=' my new message ' } 3、replace具有与update相同的功能,但如果字段不存在,则会创建新字段
filter { mutate } replace={ ' message '=' % { source _ host } : my new message ' } 4、convert数据类型转换。
filter { mutate } convert=[ ' request _ time ',' float'] }} 5、gsub gsub提供了通过正则表达式进行文本替换的功能。
filter { mutate } gsub=[ # replaceallforwardslasheswithunderscore ' field name ','/',' _ ',# replace backslashes,qu
filter { mutate } upper case=[ ' field name ' ] } 7、split将提取的字段按字符进行分割
对于filter { mutate { split=['message ','|'] }}#字符串' 123|321|adfd|dfjld*=123 ',可以看到输出结果。 {'message'=[0] [3] 'dfjld*=123' ] ' '、' @version'='1'、' @ timestamp '=' 2014-08-20t 1533605833:23
filter { mutate { strip=['field1',' field2'] }} 9、remove_field #删除字段: filter { mutate } remove _ field=[
要重新聚合sprite分割的结果,请执行以下操作:
filter { mutate { split=['message ','|'] } mutate { join=['message ',',' ]}#输出结果: {'message'='123,' 123。 ' host '=' raochenlindemacbook-air.local ' } 11、merge对某些类型
请注意,filter { mutate { merge=[ ' dest _ field ',' added_field']}#array和hash这两个字段不能从merge中转载
链接: https://www.Jian Shu.com/p/f 47bf 814 e 032来源:简书版权归作者所有。 商业转载请联系作者取得许可。 非商业转载请注明出处。