在这里回答我自己的问题。这不是理想的答案,但是如果有人遇到与我类似的问题,可以尝试一下。
json #Parse all the JSON{ source => "MFD_JSON" target => "PARSED" add_field => { "%{FAMILY_ID}" => "%{[PARSED][platform][family_id][1]}_%{[PARSED][platform][family_id][0]}" }}这就是我之前解析所有JSON的方式,我一直尝试并希望我能在某个时候得到它。我将只使用grok过滤器来获取所需的位,如果这对您不起作用,则可以选择。后来,我又回到了这个话题,并以为“如果以后删除所有内容,该怎么办”,因为我忘记了一些疯狂的原因。最后,我做到了:
json { source => "MFD_JSON" target => "PARSED_JSON" add_field => { "FAMILY_ID" => "%{[PARSED_JSON][platform][family_id][1]}_%{[PARSED_JSON][platform][family_id][0]}" } remove_field => [ "PARSED_JSON" ] }因此,提取您感兴趣的一个或多个字段,然后最后删除解析器创建的字段。那对我有用。我不知道为什么,但是它也可能对其他人有用。
