Dissect 处理器
无服务器
dissect 处理器解析结构化的日志消息并从中提取字段。与 Grok 不同,它不使用一组预定义的模式来匹配日志消息。相反,它使用一组分隔符将日志消息拆分为字段。 Dissect 比 Grok 快得多,并且可以解析稍微结构化的日志消息。
此功能使用 Elasticsearch dissect 管道处理器。 有关更多信息,请参阅 Elasticsearch 文档中的dissect 处理器。
要解析日志消息,只需命名字段并列出要使用的分隔符。 然后,dissect 处理器将根据提供的分隔符将日志消息拆分为字段。
示例
日志消息
2025-04-04T09:04:45+00:00 ERROR 160.200.87.105 127.79.135.127 21582
Dissect 模式
%{timestamp} %{log.level} %{source.ip} %{destination.ip} %{destination.port}