Logstash 配置文件Filter 分析Nginx URL的get传参

2019-05-05 0 By admin

一、配置示例

if [request] {
	ruby {
	init => "@kname = ['url_path','url_args']"
	code => "new_event = LogStash::Event.new(Hash[@kname.zip(event.get('request').split('?'))])
	new_event.remove('@timestamp')
	event.append(new_event)
	"
	}
kv {
	prefix => "url_"
	source => "url_args"
	field_split => "& "
	}
}

二、KV 插件介绍

此筛选器有助于自动分析具有foo=bar类型的消息(或特定事件字段)。

1、field_split

用于解析键值对的分割符字符串(单字符)。特殊字符需要做转义。如果设置多个字符,则每个字符都为一个分割符。

2、source

要执行key=value搜索的字段。

3、prefix
对提取的key键,设置一个字符串前缀。