使用包括方括号的模式在logstash中进行Grok解析失败
[英]Grok Parsing Failure in logstash with Pattern That Includes Square Brackets
问题描述
我有一个日志模式,其中每个日志元素都放在方括号中。 我无法控制原始日志。 我只希望grok解析忽略括号,而只解释括号之间的内容。 基于接近以下行的内容:
2019-04-04 13.23.57.057 [52] [77] [MEASURE] [XYZService]
,我希望模式将52视为threadId。 我有以下代码:
if [message] =~ "MEASURE" {
grok {
match => { " message" => "%{TIMESTAMP_ISO8601:logtime} [%{NUMBER:threadId}] %{GREEDYDATA:restofmessage}" }
}
}
else {
drop()
}
在这种状态下,logstash尝试解释该行时出现grokparsefailure。 我敢肯定它仅与方括号有关,因为当我删除该模式时,每种方法都可以正常工作。 对于任何想法,我做错了我将不胜感激。 谢谢
1 个解决方案
解决方案1
1 已采纳 2019-04-08 12:43:11
没关系。 我通过这样的转义来使它起作用:\\ [%{NUMBER:threadId} \\]
Logstash grok过滤器,调试器可以,但是logstash解析失败
[英]Logstash grok filter, debugger OK but failure in logstash parsing
grok 模式失败,无法使用 logstash 转换为浮点数
[英]grok pattern failure and unable to convert to float using logstash
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.