logstash email Grok 模式

Question

我正在使用logstash v7.9.2。 我在我的 .net 核心项目中使用了 nlog 来创建日志。 我在日志文件中记录了用户 email。 日志格式如下所示。

<variable name="ExceptionLayout" value="${aspnet-request-url:IncludeHost=true:IncludePort=true:IncludeQueryString=true} ${aspnet-request-method} ${event-properties:item=UserId} ${event-properties:item=Email} ${event-properties:item=UserName} ${exception:format=tostring,Stacktrace}"/>
<variable name="CommonLayout" value="${longdate} [${processid}] ${uppercase:${level}} ${logger:shortName=true} ${aspnet-Request-Ip} ${message} ${onexception:inner=${ExceptionLayout}}"/>

并记录这样的示例

021-02-13 11:08:22.6739 [20880] 错误 GroupController 10.10.3.241 发现重复的组“ty”。 http://bhavin:12100/Groups POST 14390b07-9407-4abb-9504-34eb02d504c1 bhavin.v@gurukul.org AA2580 FinanceAPI.Execptions.InvalidDataException：发现重复组“ty”。 在 D:\Git\finance.api\FinanceAPI\Controllers\GroupController.cs 中的 FinanceAPI.Controllers.GroupController.Insert(Group group)：D:\Git\ 中 FinanceAPI.Controllers.GroupController.Insert(Group group) 的第 49 行Finance.api\FinanceAPI\Controllers\GroupController.cs：第 49 行

我正在为上述日志尝试这种 grok 模式。

"%{TIMESTAMP_ISO8601:Time} \[%{INT:ProcessId}]\ %{LOGLEVEL:Level} %{DATA:Logger} %{IPV4:ClientIp} %{URI:RequestUrl} %{WORD:RequestMethod} %{USER:UserID} %{EMAILADDRESS:Email} %{GREEDYDATA:Message}"

但它不能工作。我在这里做错了什么？

Answer 1

您需要在 %{IPV4:ClientIp} 和 %{URI:RequestUrl} 之间添加%{DATA}以匹配Found Duplicate Group 'ty'. .