堆栈内存溢出
  繁体   English   中英

匹配带有前缀和后缀的字符串使用Logstash grok模式

[英]Match string with prefix and suffix use Logstash grok pattern

 原文  2017-07-06 09:41:49       regex/ logstash-grok

问题描述

我有一个ELK群集可将日志保存在下面,并且我想使用logstash grok提取日志中的某些字段。 

[info ][170703 10:34:38.998686/832]acct ok,deal_time=122ms;ACCESS_PORT=216179383538692472&ACCESS_TYPE=2&ACCOUNT=07592111916&Acct-Status-Type=3;

这是我的骗子模式。 

%{SYSLOG5424SD}\[%{DATA:[@metadata][timestamp]}\/%{NUMBER}\]%{WORD:type}\ %{WORD:status}\,%{GREEDYDATA}%{NUMBER:dealtime}ms\;%{GREEDYDATA}(?<acct>(?<=ACCOUNT=).*)

我想提取某些字段的值并将其提供给事件变量。 例如。 帐户= 07592111916

我使用(?(?<= ACCOUNT =)。*&$)提取值,但不起作用,我的问题在哪里?

我调试此站点中的代码。 http://grokdebug.herokuapp.com

1 个解决方案

解决方案1
 1 已采纳  2017-07-06 09:48:46

我认为您需要这样提取:

(?<acct>(?<=ACCOUNT=)[^&]+)

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 消息字段的Logstash grok匹配模式 logstash / grok 模式文件 如何在grok(logstash)中将模式“ a = bc = d”与顺序更改进行匹配? Vim 正则表达式匹配带有前缀和后缀的字符串 Logstash Grok 模式使用正则表达式在日志行中切割拆分字符串 Logstash grok 模式用字符串 Exception 捕获第一行 Logstash grok 模式提取字符串的一部分以开头和结尾 在Logstash Grok模式中使用?&gt; 带双引号的Logstash Grok模式 发送到 logstash 的日志的 Grok 模式
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM