Logstash-grok使用消息以外的其他字段
[英]Logstash - grok use a field other than message
問題描述
我正在使用Logstash轉發器從遠程服務器接收Log4j生成的日志文件。 日志事件中的字段包括格式為/tomcat/logs/app.log、/tomcat/logs/app.log.1等的名為“文件”的字段。當然,文件路徑/ tomcat / logs在遠程計算機上我希望Logstash僅使用文件名而不使用遠程文件路徑在本地文件系統上創建文件。
在本地,我想基於文件名app.log,app.log.1等創建一個文件。如何實現此目的?
我無法使用grok,因為它似乎僅適用於“消息”字段,而不適用於其他字段。
示例日志事件:
{“ message”:[“ 2014年9月11日16:29:04,934此處的信息日志消息詳細信息”],“ @ version”:“ 1”,“ @ timestamp”:“ 2014-09-15T05:44:43.472Z”, “文件”:[ “/ Tomcat的/日志/ app.log.1”], “宿主”: “AUS-002157”, “偏移量”: “3116”, “類型”: “app.log”}
Logstash配置-如何編寫過濾器部分?
input {
lumberjack {
port => 48080
ssl_certificate => "/tools/LogStash/logstash-1.4.2/ssl/logstash.crt"
ssl_key => "/tools/LogStash/logstash-1.4.2/ssl/logstash.key"
}
}
filter{
}
output {
file{
#message_format => "%{message}"
flush_interval => 0
path => "/tmp/%{host}.%{type}.%{filename}"
max_size => "4M"
}
}
2 個解決方案
解決方案1
3 2014-09-15 14:31:18
得出的模式如下:
grok{
match => [ "file", "^(/.*/)(?<filename>(.*))$" ]
}
謝謝您的幫助!
解決方案2
2 已采納 2014-09-15 06:11:51
Logstash Grok可以解析日志事件中的所有字段,而不僅僅是message字段。
例如,您要提取file字段,可以這樣
filter {
grok {
match => [ "file", "your pattern" ]
}
}
我可以在Web應用程序中使用log4j而不使用log4j.xml或log4j.properties以外的文件嗎?
[英]Can I use log4j in a web app with a file other than log4j.xml or log4j.properties?
除了使用MaxBackupIndex之外,我們是否可以刪除log4j中某些日期之前的日志
[英]Can we delete the logs older than certain days in log4j other than using MaxBackupIndex
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
這個log4j日志的logstash grok過濾器應該是什么?
用於在 Logstash 中處理 log4j 日志模式的 grok 過濾器
將特定MDC字段附加到logstash日志中
logstash:如何從log4j消息中提取數據?
我可以在Web應用程序中使用log4j而不使用log4j.xml或log4j.properties以外的文件嗎?
錯誤登錄位置未指定
除了perf4j中的時間分段之外,是否還有其他參數
與管道的log4j grok失敗
除了使用MaxBackupIndex之外,我們是否可以刪除log4j中某些日期之前的日志
MDC除了Spring Boot App中的Filter以外均無效
相關標簽