堆棧內存溢出
  簡體   English   中英

匹配帶有前綴和后綴的字符串使用Logstash grok模式

[英]Match string with prefix and suffix use Logstash grok pattern

 原文  2017-07-06 09:41:49       regex/ logstash-grok

問題描述

我有一個ELK群集可將日志保存在下面,並且我想使用logstash grok提取日志中的某些字段。 

[info ][170703 10:34:38.998686/832]acct ok,deal_time=122ms;ACCESS_PORT=216179383538692472&ACCESS_TYPE=2&ACCOUNT=07592111916&Acct-Status-Type=3;

這是我的騙子模式。 

%{SYSLOG5424SD}\[%{DATA:[@metadata][timestamp]}\/%{NUMBER}\]%{WORD:type}\ %{WORD:status}\,%{GREEDYDATA}%{NUMBER:dealtime}ms\;%{GREEDYDATA}(?<acct>(?<=ACCOUNT=).*)

我想提取某些字段的值並將其提供給事件變量。 例如。 帳戶= 07592111916

我使用(?(?<= ACCOUNT =)。*&$)提取值,但不起作用,我的問題在哪里?

我調試此站點中的代碼。 http://grokdebug.herokuapp.com

1 個解決方案

解決方案1
 1 已采納  2017-07-06 09:48:46

我認為您需要這樣提取:

(?<acct>(?<=ACCOUNT=)[^&]+)

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 消息字段的Logstash grok匹配模式 logstash / grok 模式文件 如何在grok(logstash)中將模式“ a = bc = d”與順序更改進行匹配? Vim 正則表達式匹配帶有前綴和后綴的字符串 Logstash Grok 模式使用正則表達式在日志行中切割拆分字符串 Logstash grok 模式用字符串 Exception 捕獲第一行 Logstash grok 模式提取字符串的一部分以開頭和結尾 在Logstash Grok模式中使用?&gt; 帶雙引號的Logstash Grok模式 發送到 logstash 的日志的 Grok 模式
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM