Logstash过滤器用于自定义消息
[英]Logstash Filter for a custom message
问题描述
我正在尝试在Logstash中解析一堆字符串,并将输出设置为ElasticSearch。
示例输入字符串为: 2016 May 24 10:20:15 User1 CREATE“创建新文件夹”
grok过滤器为:
match => {“消息” =>“%{SYSLOGTIMESTAMP:timestamp}%{WORD:user}%{WORD:action_performed}%{WORD:action_description}”}
在Elasticsearch中,我无法看到不同字段的单独列,例如timstamp,user,action_performed等。
相反,整个字符串位于单个列“ message”下。
我想将信息存储在单独的字段中,而不是仅一列。
不确定在logstash过滤器中要实现什么更改。
谢谢!
1 个解决方案
解决方案1
0 已采纳 2016-05-24 06:04:14
您需要以此来更改您的grok模式,即使用QUOTEDSTRING而不是WORD ,它将起作用!
match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{WORD:user} %{WORD:action_performed} %{QUOTEDSTRING:action_description}"}
发送到ElasticSearch之前,用logstash过滤特定的消息
[英]Filter specific Message with logstash before sending to ElasticSearch
使用 logstash 2.3.1 安装自定义 logstash gem 过滤器时出现问题
[英]Issue while installing custom logstash gem filter with logstash 2.3.1
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
具有自定义Geopoint的Logstash过滤器
在Logstash中过滤我的自定义日志
用于自定义日志的Logstash筛选器Grok
自定义GROK过滤器-Logstash-> Elasticsearch
发送到ElasticSearch之前,用logstash过滤特定的消息
Logstash从日志消息中筛选时间戳
使用 logstash 2.3.1 安装自定义 logstash gem 过滤器时出现问题
logstash Apache日志的自定义日志过滤器
Logstash到kibana多行不适用于自定义消息
Logstash-如何在一条消息中使用多个Geoip过滤器
相关标签