堆栈内存溢出
  繁体   English   中英

logk帮助logstash

[英]grok help for logstash

 原文  2015-03-03 18:06:53       logstash/ grok

问题描述

我的日志看起来如此 

00009139 2015-03-03 00:00:20.142  5254 11607 "HTTP First Line: GET /?main&legacy HTTP/1.1"

我尝试使用grok调试器来格式化这些信息但没有成功。 有没有办法使用grok获取此格式? 引用的字符串将是消息

所以我只使用grok模式页面就使用了以下格式。 

%{NUMBER:Sequence} %{YEAR}-%{MONTHNUM}-%{MONTHDAY}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND})?%{ISO8601_TIMEZONE}? %{NUMBER:Process}%{NUMBER:Process2}%{WORD:Message}

2 个解决方案

解决方案1
 0  2015-05-12 15:34:20

这是我能从当前信息中获得的最接近的信息。 

%{INT}%{SPACE}%{TIMESTAMP_ISO8601}%{SPACE}%{INT:pid1}%{SPACE}%{INT:pid2}%{SPACE}%{GREEDYDATA:message}

使用上面的grok模式,这就是grokdebugger“捕获”的内容: 

{
  "INT": [
    [
      "00009139"
    ]
  ],
  "SPACE": [
    [
      " ",
      "  ",
      " ",
      " "
    ]
  ],
  "TIMESTAMP_ISO8601": [
    [
      "2015-03-03 00:00:20.142"
    ]
  ],
  "YEAR": [
    [
      "2015"
    ]
  ],
  "MONTHNUM": [
    [
      "03"
    ]
  ],
  "MONTHDAY": [
    [
      "03"
    ]
  ],
  "HOUR": [
    [
      "00",
      null
    ]
  ],
  "MINUTE": [
    [
      "00",
      null
    ]
  ],
  "SECOND": [
    [
      "20.142"
    ]
  ],
  "ISO8601_TIMEZONE": [
    [
      null
    ]
  ],
  "pid1": [
    [
      "5254"
    ]
  ],
  "pid2": [
    [
      "11607"
    ]
  ],
  "message": [
    [
      ""HTTP First Line: GET /?main&legacy HTTP/1.1""
    ]
  ]
}

希望我有所帮助。

解决方案2
 0  2016-04-13 17:52:51

尝试使用%{QS:message}替换grok末尾的%{WORD:Message} %{QS:message}

希望这可以帮助 :)

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 针对logstash2的grok帮助 GROK 过滤器帮助 Logstash Logstash grok过滤器帮助 - 固定位置文件 Logstash grok方括号 Logstash grok失败了 特殊字符的Logstash grok Logtash的grok过滤器 logstash,syslog和grok 如果字段存在,则显示logstash 用Logstash进行Grok解析失败
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM