任何人都可以告訴我這個日誌的GROK模式這個日誌的GROK模式是什麼?
我是Logstash的新手。任何幫助理解
:「ppsweb1 [錯誤] [JJNb4319ad0536bf6324j34h5469624340M] [913h56a5-e359-4a75-be9a-fae60d1a5ecb] 2016年7月28日13:14:58.848 [HTTP-NIO-8080-EXEC -4- ] PaymentAction - 淨額149644"
我試過如下:
%{WORD:field1} \[%{LOGLEVEL:field2}\] \[%{NOTSPACE:field3}\] \[%{NOTSPACE:field4}\] %{TIMESTAMP_ISO8601:timestamp} \[%{NOTSPACE:field5}\] %{WORD:field6} - %{GREEDYDATA:field7} %{NUMBER:filed8}
而且我得到的輸出:
{
"field1": [
[
"ppsweb1"
]
],
"field2": [
[
"ERROR"
]
],
"field3": [
[
"JJNb4319ad0536bf6324j34h5469624340M"
]
],
"field4": [
[
"913h56a5-e359-4a75-be9a-fae60d1a5ecb"
]
],
"timestamp": [
[
"2016-07-28 13:14:58.848"
]
],
"field5": [
[
"http-nio-8080-exec-4"
]
],
"field6": [
[
"PaymentAction"
]
],
"field7": [
[
"Net amount"
]
],
"filed8": [
[
"149644"
]
]
}
您可以根據需要更改字段的名稱。你沒有在你的問題中提到有關預期產出的任何信息。所以這只是給你一個基本的想法。要進一步修改,您可以使用http://grokdebug.herokuapp.com/來驗證您的過濾器。
注意:我已經使用了基本模式,有複雜的模式可供選擇,您可以隨時使用調試器來滿足您的要求。
祝你好運!
你試過什麼模式? – Thijs
你期望什麼輸出字段? –
我試過了標準的日誌模式,即COMBINEDAPACHELOG,SYSLOGBASE –