<div>
                    I have two rules like the following:
                </div><div><br></div><div><div>rule=:%date:date-rfc3164% %hostname:word% %process_name:char-to:\x5b%[%pid:char-to:\x5d\x3a%]: %endpoint:word% v1 %success:word% "%id:char-to:\x22%" "%org:char-to:\x22%"</div><div><br></div><div>rule=:%date:date-rfc3164% %hostname:word% %process_name:char-to:\x5b%[%pid:char-to:\x5d\x3a%]: %endpoint:word% v2 %success:word% "%id:char-to:\x22%" "%email:char-to:\x22%"</div></div>
                <div><div><br></div><div>Note that the first one contains a literal "v1" and the last two fields are id and org and the second rule has the literal "v2" and id and email as the last two fields. The version number is the only way to determine which rule to use for any log line. Is it possible to base the rule off of the version literal but also have it in the json output that results from the rule?</div><div><br></div><div>Thanks.</div><div><br></div><div>-Joe</div><div><br></div><div><br></div>-- <br><div style="font-size: 13px; ">Name: Joseph A. Williams</div><div style="font-size: 13px; ">Email: williams.joe@gmail.com</div><div><br></div></div>