堆棧內存溢出
  簡體   English   中英

Logstash grok過濾器,調試器可以,但是logstash解析失敗

[英]Logstash grok filter, debugger OK but failure in logstash parsing

 原文  2017-08-28 09:02:54       elasticsearch/ filter/ logstash/ logstash-grok

問題描述

我的grok過濾器在grok調試器中沒問題,但是當我啟動Logstash時不起作用。

我的行日志 

[Mon Aug 28 09:16:16.028821 2017] [php7:notice] [pid 11111] [client 22.22.66.66:66666] message d'erreur

我的.conf 

filter { 
   grok { 
      match => { "message" => "\[%{DAY:day} %{MONTH:month} %{MONTHDAY:monthday} %{TIME:time} %{YEAR:year}\] \[%{WORD:php}:%{WORD:logelvel}\] \[%{WORD} %{WORD:processus}\] \[%{WORD} %{IP}:%{POSINT:port}\] %{GREEDYDATA: message}" }
   } 
}

結果: 

@timestamp:August 28th 2017, 10:40:22.380 offset:5,269 @version:1 input_type:log beat.hostname:ip-166-55-55-55 beat.name:ip-166-55-55-55 beat.version:5.5.1 host:ip-175-61-66-66 source:/var/log/apache2/filelog.log 
message:[Mon Aug 28 09:10:59.023093 2017] [php7:notice] [pid 11111] [client 22.22.66.66:66666] 
message d'erreur type:log tags:beats_input_codec_plain_applied, _grokparsefailure _id:AV4n_8akHhd-RttynnUH _type:log _index:index-2017.08.28 _score: -

非常感謝您的幫助。

1 個解決方案

解決方案1
 0  2017-08-28 09:19:24

您需要像這樣轉義方括號: 

\[%{DAY:day} %{MONTH:month} %{MONTHDAY:monthday} %{TIME:time} %{YEAR:year}\] \[%{WORD:php}:%{WORD:logelvel}\] \[%{WORD} %{WORD:processus}\] \[%{WORD} %{IP}:%{POSINT:port}\] %{GREEDYDATA:message}

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 過濾Logstash不適用於Grok Debugger 通過 grok 過濾器(logstash)解析日志數據 用Logstash進行Grok解析失敗 Logstash Grok解析問題 Logstash Grok過濾器模式 Logstash grok過濾整數 使用grok的Logstash過濾器 如果語句不適用於 grok 過濾器 logstash Logstash grok 過濾器 apache 模式 用於自定義日志的Logstash篩選器Grok
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM