堆棧內存溢出
  簡體   English   中英

Logstash grok模式可過濾相當長的日志行,之間添加忽略

[英]Logstash grok pattern to filter a pretty long log line, add ignore between

 原文  2015-10-05 10:08:02       regex/ expression/ logstash/ grok

問題描述

這是一條日志行 

2015-10-05 12:04:19.199  INFO 4808 --- [metrics-logger-reporter-2-thread-1] com.example.metrics                      : type=TIMER, name=demo.ws.rest.controllers.ItemController.getAllItems, count=0, min=0.0, max=0.0, mean=0.0, stddev=0.0, median=0.0, p75=0.0, p95=0.0, p98=0.0, p99=0.0, p999=0.0, mean_rate=0.0, m1=0.0, m5=0.0, m15=0.0, rate_unit=events/second, duration_unit=milliseconds

我試圖學習希臘語,這就是我到目前為止所擁有的 

  "message" => "%{TIMESTAMP_ISO8601:time}%{SPACE}%{WORD}%{SPACE}%{NUMBER}%{SPACE}%{NOTSPACE}%{SPACE}%{NOTSPACE}%{SPACE}%{NOTSPACE}%{SPACE}%{NOTSPACE}%{SPACE}%{WORD}%{NOTSPACE}%{WORD:metrictype}%{NOTSPACE}%{SPACE}%{WORD:vardspirms}%{DATA:pirms}%{JAVAFILE:javafilename}%{NOTSPACE:peec}%{SPACE}%{WORD}%{NOTSPACE}%{NUMBER:count}%{GREEDYDATA:debuginfo}"

它看起來很長,效率低下,而且不好用。 我想知道,如何在grok中添加忽略。 所以我可以忽略INFO和類型之間的所有內容。 對不起,我的英語不是我的母語。

1 個解決方案

解決方案1
 1 已采納  2015-10-05 11:29:27

我找到了一個非常方便的解決方案。 

kv {
    source => "debuginfo" # new field generated by grok before
    field_split => ", " # split fields by semicolon
    }

似乎可以在debuginfo中拆分所有內容。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Logstash grok模式可過濾自定義日志消息 Logstash Grok 模式使用正則表達式在日志行中切割拆分字符串 Logstash grok 過濾器 apache 模式 找不到logstash grok過濾器模式 日志模式的grok過濾器 此日志行的Grok模式 Logstash grok過濾器自定義模式不起作用 使用grok將日志文件名添加為logstash中的字段 logstash / grok 模式文件 Logstash grok 和正則表達式過濾器
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM