Logstash - Добавить поля из журнала - Grok

Question

Я изучаю logstash, и я использую Kibana для просмотра журналов. Я хотел бы знать, есть ли все равно, чтобы добавить поля, используя данные от message.

Например, журнал, как это:

@timestamp:December 21st 2016, 21:39:12.444 port:47,144 
appid:%{[path]} host:172.18.0.5 levell:level message: 
{"@timestamp":"2016-12-22T00:39:12.438+00:00","@version":1,"message":"Hello","logger_name":"com.empresa.miAlquiler.controllers.UserController","thread_name":"http-nio-7777-exec-1","level":"INFO","level_value":20000, 
"HOSTNAME":"6f92ae402cb4","X-Span-Export":"false","X-B3-SpanId":"8f548829e9d18a8a","X-B3-TraceId":"8f548829e9d18a8a"} 

Мой logstash конф, как:

filter { 
grok { 
match => { 
    "message" => 
    "^%{TIMESTAMP_ISO8601:timestamp}\s+%{LOGLEVEL:level}\s+%{NUMBER:pid}\s+---\s+\[\s*%{USERNAME:thread}\s*\]\s+%{JAVAFILE:class}\s*:\s*%{DATA:themessage}(?:\n+(?<stacktrace>(?:.|\r|\n)+))?$" 
} 
} 
date { 
match => [ "timestamp" , "yyyy-MM-dd HH:mm:ss.SSS" ] 
} 
mutate { 
remove_field => ["@version"] 
add_field => { 
    "appid" => "%{[path]}" 
} 
add_field => { 
    "levell" => "level" 
} 

} }

Я хотел бы взять уровень (в журнале INFO), а сообщение (в журнале - Hello) и добавляет их как поля.

Есть ли все-таки сделать это?

Answer 1

Что делать, если вы делаете что-то вроде этого, используя mutate:

filter { 
    mutate { 
    add_field => ["newfield", "%{appid} %{levell}"] <-- this should concat both your appid and level to a new field 
    } 
} 

Вы можете посмотреть на этой thread.