针对logstash2的grok帮助
[英]grok help for logstash2
问题描述
我的日志看起来像这样(IIS完整日志)
2015-03-12 16:46:33 W3SVC1 TESTPC 192.168.50.4 GET / - 443 - 217.20.181.177 HTTP/1.1 Mozilla/5.0+(Windows+NT+6.3;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/40.0.2214.115+Safari/537.36 - - hideme.ru 200 0 0 1449 402 187
我的httpversion格式有问题(看起来像HTTP / 1.1)。 我不知道如何格式化
我仅通过使用grok模式页面使用了以下格式。
%{TIMESTAMP_ISO8601:timestamp} %{WORD:sitename} %{NOTSPACE:whost} %{IPORHOST:hostip} %{WORD:method} %{URIPATH:page} %{NOTSPACE:query} %{NUMBER:port} %{NOTSPACE:username} %{IPORHOST:clientip} %{GREEDYDATA:httpversion} %{NOTSPACE:useragent} %{NOTSPACE:cookie} %{NOTSPACE:referrer} %{WORD:host} %{NUMBER:status} %{NUMBER:substatus} %{NUMBER:scstatus} %{NUMBER:csbytes} %{NUMBER:timetaken}
1 个解决方案
解决方案1
0 2015-03-12 20:07:23
如果要使用http版本(对于HTTP / 1.1为1.1),可以执行以下操作(摘自logstash-patterns-core ,COMMONAPACHELOG):
HTTP/%{NUMBER:httpversion}
使用grok的Logstash过滤器
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.