Question

我有一组来自消息队列的json消息。我需要从中收集一组相关的消息（基于“位置”字段），并从该集中的所有项目的“描述”字段中删除一个通用的前缀和后缀。然后将其转储到elasticsearch中。例如，如果一组具有相同位置字段“伦敦”的描述字段如下所示：

AAA BB I live in London CC DDD
AAA BB I want to eat fish & chips CC DDD
AAA BB My best friend is Alejandro CC DDD

我想将其转换为：

I live in London
I want to eat fish & chips
My best friend is Alejandro

有没有办法在logstash或其他工具中做到这一点？我真的不想编写一个特殊的程序只是为了从源中提取消息，对其进行汇总和转换并将其转储到elasticsearch中。重要的是要注意，我需要从具有公共“位置”字段的消息中删除前缀和后缀，而不是在所有消息中都删除。

任何帮助将不胜感激！

Answer 1

在logstash配置中使用mutate gsub：

filter {
    mutate {
            gsub => ["fieldname","AAA BB ",""]
    }
}