フィールドの最初の行を取り出し、Logstash 1.4.0の新しいフィールドとして追加します。

Question

私は自分のELKスタックをlog4jを使って設定して実行しています。私ができるようにしたいのは、すべての例外をタイプ別にグループ化することです。たとえば、用語グラフを作成し、FileNotFound、NullPointerExceptionなどの各例外タイプの用語を使用します。私はすでに、最初の行に例外の種類が含まれているstack_traceフィールドを持っていて、完全なスタックトレースを持っています。私はこのようなオンラインの何かが見つかりました：

filter{ 
    mutate { 
    gsub => [ 
     "stack_trace", "\n.*", "" 
    ] 
    } 
} 

をしかし、それは私が欲しいものではありません最初の行、だとこれは単なるstack_traceフィールドをオーバーライドします。 stack_traceフィールドの最初の行、例外タイプを取り出す新しいフィールドを追加します。

Answer 1

スタックトレースフィールドのコピーを作成し、その

filter{ 
    mutate { 
    add_field => { 
     "exception" => "%{stack_trace}" 
    } 
    } 
    mutate { 
    gsub => [ 
     "exception", "\n.*", "" 
    ] 
    } 
} 

EDITであなたのGSUBを実行します。this questionを指摘し@Alphaのおかげで、あなたは二つの別々の突然変異しを使用する必要があります。