logstashメッセージ

Question

2016年11月30日15に一致フィールドを保つ09.3060 DEBUG 20 Company.Product.LoggerDataFilter [UOW：583ee57782fe0140c6dfbfd8] [DP：0]ロガー ためDeviceDataTransformationRequestの作成[D：4E3239200C5032593D004100 ]。

% {TIMESTAMP_ISO8601：タイムスタンプ}％{LOGLEVEL：ログレベル} \秒+％{INT：スレッドID} ％{DATA：loggerName}％{UOW}％{DATAPACKET}％{GREEDYDATA：メッセージ} ％{DEVICEID} EXCEPT - - メッセージは、今、私が抽出されたDeviceIDプロパティを欠いている

その出力は良いです

{ 
    "timestamp": [ 
    "2016-11-30 15:43:09.3060" 
    ], 
    "loglevel": [ 
    "DEBUG" 
    ], 
    "threadId": [ 
    "20" 
    ], 
    "loggerName": [ 
    "Tts.IoT.DataLogger.Etl.Core.Filters.LoggerDataFilter" 
    ], 
    "correlationId": [ 
    "583ee57782fe0140c6dfbfd8" 
    ], 
    "datapacket": [ 
    "0" 
    ], 
    "message": [ 
    "Creating DeviceDataTransformationRequest for logger" 
    ], 
    "deviceId": [ 
    "4E3239200C5032593D004100" 
    ] 
} 

です。 私はそれを両方とも必要とします - 別のフィールドとして、それでもメッセージに残してください。

できますか？

（？この点でserilogヘルプのようなログを構造化んか...サイドノートオン）

Answer 1

それ

% {GREEDYDATA：メッセージ}に変更してみてくださいいかが％{DEVICEID}

に

%{GREEDYDATA:testmessage} %{DEVICEID}
は、フィールドを追加

mutate { 
    add_field => { 
    "message" => "%{testmessage} %{DEVICEID}" 
    } 
    remove_field => ["testmessage"] 
}