以下に示すようにLogstash

Question

に2つの既存のフィールドからデータを抽出して、新しいフィールドを作成し、私は私のログから二つのフィールドを作成しました：

names: "LeBron", "Jordan", "Philips", "Samuel" 
threepointers: "100", "100", "90", "50" 

namesとthreepointersはタイプstringの両方です。このデータは、既にログから抽出されたログは、次のようになります。

私は namesと threepointersへ renameにこれらの数字で、その後 kvと field_split, include_keys方法と mutateを使用して、すべて1と2秒を抽出

|1 = LeBron| 2 = 100 | 1 = Jordan | 2 = 100 | 1 = Philip | 2 = 90 | 1 = Samuel | 2 = 50 | 

私は新しいフィールドを作成したいと思います.3プレイヤー= 100のプレイヤー名をすべて含むベストプレイヤーです。 だから、基本的に私はこのような結果を持っているしたいと思います：

bestplayers: "LeBron", "Jordan"

任意の助けをいただければ幸いです！ありがとう

Answer 1

私はこれのオプションとしてruby filterを見ます。任意のルビコードを使用してイベントデータのフィルタ/変更を行うことができます。計算を完了し、追加するフィールドを決定したら、add_fieldオプションとremove_fieldオプションを使用して、古い集約/フィルタリングされた情報をイベントから削除することができます。