kiểm tra nhật ký nếu trường tồn tại

Question

Tôi có các tệp nhật ký đến trong ngăn xếp ELK. Tôi muốn sao chép một trường (foo) để thực hiện các đột biến khác nhau trên nó, Tuy nhiên trường (foo) không phải lúc nào cũng hiện diện.

Nếu foo không tồn tại, sau đó thanh vẫn được tạo ra, nhưng được gán chuỗi chữ "%{foo}"

Làm thế nào tôi có thể thực hiện một đột biến chỉ nếu một lĩnh vực tồn tại?

Tôi đang cố gắng làm một việc như thế này.

if ["foo"] { 
    mutate { 
    add_field => "bar" => "%{foo} 
    } 
} 

Answer 1

"foo" là chuỗi ký tự bằng chữ.

[foo] là một trường.

# technically anything that returns 'true', so good for numbers and basic strings: 
if [foo] { 
} 

# contains a value 
if [foo] =~ /.+/ { 
} 

Answer 2

Để kiểm tra nếu trường foo tồn tại:

1) Đối với các trường kiểu số sử dụng:

if ([foo]) { 
    ... 
} 

2) Đối với các loại khác ngoài số như boolean, sử dụng chuỗi:

if ("" in [foo]) { 
    ... 
} 

Answer 3

Trên Logstash 2.2.2, cấu trúc ("" in [field]) dường như không hoạt động đối với tôi.

if ![field] { } 

, cho trường không phải là số.