Logstash - GROKここでは、フィールド名

Question

の名前を変更すると、イベント・メッセージのexmpleです：

{ 
"timestamp":"2016-03-29T22:35:44.770750-0400", 
"flow_id":45385792, 
"in_iface":"eth1", 
"event_type":"alert", 
"src_ip":"3.3.3.8", 
"src_port":21, 
"dest_ip":"2.2.2.2", 
"dest_port":52934, 
"proto":"TCP", 
"alert":{ 
    "action":"allowed", 
    "gid":1, 
    "signature_id":4027, 
    "rev":0, 
    "signature":"FTP Successful Login", 
    "category":"", 
    "severity":3 
    }, 
"payload":"MjU3ICIvaG9tZS9uZXd1c2VyIg0K", 
"payload_printable":"257 newuser", 
"stream":0, 
"packet":"AFBWo0NoAFBWoxZWCABFAABJKDpAAEAGCGcDAwMIAgICAgAVzsbd4MhqOBOjfoAYAOMYcwAAAQEIChHN4EQHnwugMjU3ICIvaG9tZS9uZXd1c2VyIg0K" 
} 


input 
    beats 
     port => 5044 
     codec => json 
     type => "SuricataIDPS" 

マイLogstashの設定ファイルは以下の通りです：

output 
    elasticsearch 
     hosts => ["localhost:9200"] 
     sniffing => true 
     manage_template => false 
     index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}" 
     #document_type => "%{[@metadata][type]}" 

私は、フィールドの名前を変更できるようにしたいのですがalert.signature、

は、どのように私はそうすることができますか？...それはそのフィールドを認識しないようだ...

おかげFまたはあなたの助け！

あなたはfilterスタンザ内mutateフィルタを定義する必要がEfrat

Answer 1

：

filter { 

     mutate { 
       rename => [ "[alert][signature]", "[alert][signature_renamed]" ] 
     } 
}