nginx 錯誤日志的 Logstash 模式
[英]Logstash pattern for nginx error log
問題描述
這是我的示例錯誤日志:
2017/03/29 17:32:56 [error] 21924#21924: *212595 access forbidden by rule, client: 172.31.0.14, server: , request: "POST /app/etc/local.xml HTTP/1.1", host: "www.overcart.com"
我想要一個與此匹配的 grok 模式。 我不知道如何繼續。 不知道如何創建一個。 我嘗試了各種方法,但都沒有奏效。
我目前正在使用以下 grok 模式解析它:
%{DATESTAMP:mydate} [%{DATA:severity}] (%{NUMBER:pid:int}#%{NUMBER}: *%{NUMBER}|*%{NUMBER}) %{GREEDYDATA:mymessage}(?:, client: (?<client_ip>%{IP}|%{HOSTNAME})) (?:, server: %{IPORHOST:server})(?:, request: %{QS:request})?(?:, host: %{QS:host})?(?:, referrer: \"%{URI:referrer})
但它不是從(?:, server:開始解析。
3 個解決方案
解決方案1
5 2017-05-10 13:06:48
這是我使用的 grok 模式。 它並不完美,可以改進,但它可以工作並解析額外的upstream令牌。
(?<timestamp>%{YEAR}[./]%{MONTHNUM}[./]%{MONTHDAY} %{TIME}) \[%{LOGLEVEL:severity}\] %{POSINT:pid}#%{NUMBER:threadid}\: \*%{NUMBER:connectionid} %{GREEDYDATA:errormessage}, client: %{IP:client}, server: %{GREEDYDATA:server}, request: "(?<httprequest>%{WORD:httpcommand} %{UNIXPATH:httpfile} HTTP/(?<httpversion>[0-9.]*))"(, )?(upstream: "(?<upstream>[^,]*)")?(, )?(host: "(?<host>[^,]*)")?
解決方案2
4 2017-10-26 15:28:10
這是我用於 nginx-error 模式的內容,它可以解析我的錯誤日志中的所有字段。:
(?<timestamp>\d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2}) \[%{DATA:err_severity}\] (%{NUMBER:pid:int}#%{NUMBER}: \*%{NUMBER}|\*%{NUMBER}) %{DATA:err_message}(?:, client: (?<clientip>%{IP}|%{HOSTNAME}))(?:, server: %{IPORHOST:server})(?:, request: "%{WORD:verb} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}")?(?:, upstream: "%{DATA:upstream}")?(?:, host: "%{IPORHOST:host}")?(?:, referrer: "%{URI:referrer}”)?
解決方案3
1 2020-01-14 14:50:49
我正在使用@mavlarn 的 grok 模式,它適用於我的用例。 我相信@dr01 也會起作用。 記得測試看看什么對你有用!
專業提示:因為這些 grok 模式中有雙引號,為了使它們正常工作,我需要用單引號而不是雙引號將模式括起來。
為了強調,這里有一個例子。
grok {
match => { "message" => "This "double quote" pattern won't work. Backslashes to cancel/close the regex won't work either. Logstash will fail to start.."}
}
grok {
match => { "message" => 'But this "double quote" pattern will work when surrounding with single quotes instead.'}
}
示例解決方案。
grok {
match => { "message" => '(?<timestamp>\d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2}) \[%{DATA:err_severity}\] (%{NUMBER:pid:int}#%{NUMBER}: \*%{NUMBER}|\*%{NUMBER}) %{DATA:err_message}(?:, client: (?<clientip>%{IP}|%{HOSTNAME}))(?:, server: %{IPORHOST:server})(?:, request: "%{WORD:verb} %{URIPATHPARAM:request} HTTP/%{NUMBER:httpversion}")?(?:, upstream: "%{DATA:upstream}")?(?:, host: "%{IPORHOST:host}")?(?:, referrer: "%{URI:referrer}”)?' }
}
(使用 Logstash v6.x 和 v7.x 測試)
logstash nginx模式在_grokparsefailure中顯示結果
[英]logstash nginx pattern thows the result in _grokparsefailure
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.