堆栈内存溢出
  繁体   English   中英

在 grok 模式的空间上拆分日志消息

[英]Split log message on space for grok pattern

 原文  2022-02-11 06:37:20       regex/ logstash/ elastic-stack/ logstash-grok

问题描述

grokELK两天。 我正在努力根据空间分解日志消息并使它们在logstash中显示为不同的字段。

我的输入模式是: 2022-02-11 11:57:49 - app - INFO - function_name=add elapsed_time=0.0296 input_params=6_3

我想在 logstash/kibana 中看到function_nameelapsed_timeinput_params的不同字段。

目前,我有以下.conf

input{
  file{
  path => "/path/to/log/file"
  start_position => "beginning"
  }
}
filter{
  grok{
  match => {"message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:log-level} %{(?<function_name>[^.]*)\.(?<elapsed_time>[^.]*)\.(?<input>[^.]*)}"}
  }
    date {
    match => ["timestamp", "ISO8601"]
    }
    function_name {
    match => ["function_name", "DATA"]
    }
    elapsed_time {
    match => ["elapsed_time", "BASE16FLOAT"]
    }
    input {
    match => ["input", "DATA"]
    }
}
output{
  elasticsearch{
  hosts => ["localhost:9200"]
  index => "math_apis"
  }
  stdout{codec => rubydebug}
}

但这只会在logstash中产生以下消息

{
          "host" => "hostname",
    "@timestamp" => 2022-02-11T06:27:49.404Z,
       "message" => "2022-02-11 11:57:49 - app - INFO - function_name=add elapsed_time=0.0296 input_params=6_3",
          "path" => "path/to/log/file",
      "@version" => "1",
          "tags" => [
        [0] "_grokparsefailure"
    ]
}

1 个解决方案

解决方案1
 2 已采纳  2022-02-11 08:15:28

您可以使用以下模式:

%{TIMESTAMP_ISO8601:timestamp} - \S+ - %{LOGLEVEL:log_level} - function_name=%{NOTSPACE:function_name} elapsed_time=%{NOTSPACE:elapsed_time} input_params=%{NOTSPACE:input}

详情

  • %{TIMESTAMP_ISO8601:timestamp} - timestamp字段
  • - - 文字字符串
  • \S+ - 任何一个或多个非空白字符
  • - - 文字字符串
  • %{LOGLEVEL:log_level} - LOGLEVEL模式
  • - function_name= - 文字字符串
  • %{NOTSPACE:function_name} - 一个或多个非空白字符的function_name字段
  • elapsed_time= - 空格和elapsed_time=字符串
  • %{NOTSPACE:elapsed_time} - 一个或多个非空白字符的elapsed_time字段
  • input_params= - 文字字符串
  • %{NOTSPACE:input} - 一个或多个非空白字符的input字段。

在此处查看有关 Grok 模式的更多信息。

测试output:

{
  "timestamp": [
    [
      "2022-02-11 11:57:49"
    ]
  ],
  "YEAR": [
    [
      "2022"
    ]
  ],
  "MONTHNUM": [
    [
      "02"
    ]
  ],
  "MONTHDAY": [
    [
      "11"
    ]
  ],
  "HOUR": [
    [
      "11",
      null
    ]
  ],
  "MINUTE": [
    [
      "57",
      null
    ]
  ],
  "SECOND": [
    [
      "49"
    ]
  ],
  "ISO8601_TIMEZONE": [
    [
      null
    ]
  ],
  "log_level": [
    [
      "INFO"
    ]
  ],
  "function_name": [
    [
      "add"
    ]
  ],
  "elapsed_time": [
    [
      "0.0296"
    ]
  ],
  "input": [
    [
      "6_3"
    ]
  ]
}

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Logstash grok模式可过滤自定义日志消息 Logstash Grok 模式使用正则表达式在日志行中切割拆分字符串 日志模式的grok过滤器 此日志行的Grok模式 这个詹金斯日志的 grok 模式是什么? Grok 模式匹配自定义 junos 日志 消息字段的Logstash grok匹配模式 Grok:如何匹配直到第一个空格(IIS日志) 如何使用grok /正则表达式在日志文件中拆分json值 从日志字符串中删除“ms”并转换为 INT 的 Grok 模式
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM