는 Logstash

Question

내가 Logstash의 KV 필터 문제에 직면하고있다

을에서 빈 필드를 처리하는 방법 :

"@version" => "1", 
"@timestamp" => "2016-08-16T13:48:30.602Z", 
"type" => "cyberoam.input", 
"host" => "ip-172-31-6-249", 
"time" => "18:13:16", 
"timezone" => "IST", 
"status" => "Deny", 
"priority" => "Information", 
"duration" => "0", 
"iap" => "0", 
"application" => "", 
"application_risk" => "0", 
"application_technology" => "", 
"application_category" => "", 
"dst_country_code" => "protocol=UDP", 
"recv_pkts" => "0", 
"tran_src_ip" => "tran_src_port=0", 
"tran_dst_ip" => "tran_dst_port=0", 
"srczonetype" => "", 
"srczone" => "", 
"dstzonetype" => "", 
"dstzone" => "", 
"dir_disp" => "", 
"syslog_severity_code" => 5, 
"syslog_facility_code" => 1, 
"syslog_facility" => "user-level", 
"syslog_severity" => "notice", 
"date" => "2016-08-15", 

: 아래

2016-08-15T12:43:04.478Z 103.240.35.216 <190>date=2016-08-15 time=18:13:16 timezone="IST" device_name="CR25iNG" device_id=C2222-123 log_id=010302602002 log_type="Firewall" log_component="Appliance Access" log_subtype="Denied" status="Deny" priority=Information duration=0 fw_rule_id=0 user_name="" user_gp="" iap=0 ips_policy_id=0 appfilter_policy_id=0 application="" application_risk=0 application_technology="" application_category="" in_interface="PortA" out_interface="" src_mac=44:d9:e7:ba:5b:6c src_ip=172.16.16.19 src_country_code= dst_ip=255.255.255.255 dst_country_code= protocol="UDP" src_port=45541 dst_port=10001 sent_pkts=0 recv_pkts=0 sent_bytes=0 recv_bytes=0 tran_src_ip= tran_src_port=0 tran_dst_ip= tran_dst_port=0 srczonetype="" srczone="" dstzonetype="" dstzone="" dir_disp="" connid="" vconnid="" 

는 KV 필터 출력 :

다음

샘플 이벤트 문제 :

"dst_country_code" => "protocol=UDP", 
"tran_src_ip" => "tran_src_port=0", 
"tran_dst_ip" => "tran_dst_port=0", 

위는 빈 키 "dst_country_code", "tran_src_ip"및 "tran_dst_ip"때문입니다.

mutate gsub를 사용하여 = \ w를 = ""로 대체하여 빈 필드에 기본값을 추가하는 것이 좋습니다.

그러나 이것은 결코 효과가 없습니다.

도움이됩니다.

Answer 1

Logstash 커뮤니티에서 응답을 얻었습니다.

mutate { 
gsub => [ 'message', '= ', '="" ' ] 
} 

감사합니다.