Logstash Grok筛选器访问日志
[英]Logstash Grok Filter Access Log
问题描述
有人可以帮我装我的希腊过滤器吗?
我要解析的访问日志是这样的:
10.00.000.00 - - [08/Feb/2019:09:06:54 -0500] "GET /aft_ms_management_1/ms_manage HTTP/1.1" 404 1164
我正在尝试的Grok模式是:
grok { match => [ "message", "%{IP:client_ip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:apache_timestamp}\] \"%{WORD:method} /%{NOTSPACE:request_page} HTTP/%{NUMBER:http_version}\" %{NUMBER:server_response} %{NUMBER:bytes}"] }
当我测试grok过滤器时,出现以下错误:
:error =>“带有不匹配括号的结束模式:
但我在任何地方都看不到任何括号...感谢您的帮助
作为附加信息,我使用以下方法测试我的模式:
input { stdin { } } output { stdout { codec => rubydebug } }
filter {
grok {
match => [ "message", "%{IP:client_ip} %{USER:ident} %{USER:auth} [%{HTTPDATE:apache_timestamp}] \"%{WORD:method} %{NOTSPACE:request_page} HTTP/%{NUMBER:http_version} %{NUMBER:server_response} %{NUMBER:bytes}"
]
} }
1 个解决方案
解决方案1
0 2019-03-13 16:48:16
input { stdin {} }
filter {
grok {
match => { "message" => "%{IP:client_ip} %{USER:ident} %{USER:auth} \[%{HTTPDATE:apache_timestamp}\] \"%{WORD:method} /%{NOTSPACE:request_page} HTTP/%{NUMBER:http_version}\" %{NUMBER:server_response} %{NUMBER:bytes}" }
}
}
output { stdout { codec => rubydebug } }
~
每走! 我发现了如何给更好的看法。 这是我的问题..谢谢
使用logstash-grok将日志条目拆分为两个事件,克隆和变异
[英]Split a log entry in two events with logstash-grok, clone and mutate
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.