IPアドレスの前に ":: fffff:"のような文字が含まれているWindowsイベントログのIPアドレスフィールドがあります。ここでソースを変更することはできないので、これをLogstashで修正する必要があります。Logstashのフィールドの文字列を置き換えるにはどうすればいいですか
私はグーグルで吸う必要がありますが、実際にはlogstashのip-addressフィールドからこれらの文字を取り除く簡単な方法を見つけることができません。
私は例
が、運のために試してみましたが、コロンはまだあります。 Logstashの ":: ffff:10.0.36.39"という文字列の ":: ffff:"をどのように置き換えることができますか?
add_fieldは、gsubの後に実行されるため、2つのmutateブロックに分割する必要があります。
mutate {
add_field => { "client-host" => "%{[event_data][IpAddress]}"}
}
mutate {
gsub => ["client-host", "::ffff:", ""]
}
specifcためにmutate作品その:
add_field
のような標準的なすべてのアクションを持っている
rename(event) if @rename
update(event) if @update
replace(event) if @replace
convert(event) if @convert
gsub(event) if @gsub
uppercase(event) if @uppercase
lowercase(event) if @lowercase
strip(event) if @strip
remove(event) if @remove
split(event) if @split
join(event) if @join
merge(event) if @merge
filter_matched(event)