从logstash中的文件名条件创建字段

是指在logstash中根据文件名的条件来创建一个字段。具体步骤如下：

1. 配置logstash的input插件，指定要监控的日志文件路径和文件名模式。例如，可以使用filebeat作为logstash的input插件，配置filebeat监控指定目录下的日志文件。
2. 在logstash的filter插件中使用grok插件来解析文件名，并提取需要的信息作为字段。Grok插件是一个强大的模式匹配工具，可以根据预定义的模式来解析日志数据。可以使用%{DATA:fieldname}的语法来提取文件名中的字段，并将其存储到指定的fieldname字段中。
3. 配置logstash的output插件，将处理后的日志数据发送到目标位置。根据具体需求，可以选择将数据发送到Elasticsearch、Kafka、数据库等。

下面是一个示例配置文件的示例：

input {
  beats {
    port => 5044
  }
}

filter {
  grok {
    match => { "source" => "/path/to/logs/%{DATA:filename}" }
  }
}

output {
  elasticsearch {
    hosts => ["localhost:9200"]
    index => "logs-%{+YYYY.MM.dd}"
  }
}

在上述示例中，我们使用filebeat作为input插件，监控5044端口的日志数据。在filter插件中使用grok插件，匹配source字段中的文件路径，并提取文件名作为filename字段。最后，使用elasticsearch作为output插件，将处理后的日志数据发送到本地的Elasticsearch服务。

这种方法可以根据文件名的条件创建字段，方便后续的数据分析和查询。在实际应用中，可以根据具体的业务需求和日志格式进行定制化的配置。