我正在使用logstash将hdfs审计日志消息填充到kafka主题中。
我在Kafka主题中收到的示例消息的格式如下：

allowed=true    ugi={myuser} (auth:SIMPLE)  ip={/x.x.x.x}   cmd={listStatus, open, ...} src={src path} dst={destination path} perm=null proto=rpc

有没有办法过滤掉那些“src”属性指向文件系统上非目录indoe的所有消息？我只对在hdfs上获取目录消息感兴趣！