堆棧內存溢出
  簡體   English   中英

在Logstash Grok過濾器中從消息中獲取可選字段

[英]Getting optional field out of message in logstash grok filter

 原文  2019-07-26 18:54:23       logstash/ logstash-grok

問題描述

我正在嘗試提取此日志行中的毫秒數

20190726160424 [INFO] [concurrent / forasdfMES-managedThreadFactory-Thread-10]-Metricsdceptor:##通話結束:Historirrtory.getHistrrOrder花了2979毫秒

問題是,並非所有日志行都包含該字符串。現在,我想有選擇地將其提取到持續時間字段中。 我試過了,但是什么也沒發生..沒有錯誤,也沒有結果。 

 grok
 {
   match => ["message", "(took (?<duration>[\d]+) ms)?"]
 }

我做錯了什么?

多謝你們 !

2 個解決方案

解決方案1
 0  2019-07-26 20:15:23

我無法解釋原因,但是如果您錨定它會起作用

grok { match => { "message" => "(took (?<duration>\d+) ms)?$" } }

解決方案2
 0 已采納  2019-07-29 15:36:06

一種解決方案是僅將grok過濾器應用於以ms結尾的日志行。 可以使用配置中的條件來完成。 

if [message] =~ /took \d+ ms$/ {
   grok {
     match => ["message", "took %{NUMBER:duration} ms"]
   }
}

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 使用Logstash Grok過濾器過濾系統日志消息 Logstash grok匹配過濾器的消息密鑰是什么? logstash grok過濾器忽略消息的某些部分 Logstash grok篩選器無法解析消息 Logstash grok 過濾器 - 字段值重復 使用字段作為Logstash Grok過濾器模式的輸入 Logstash從grok過濾器添加字段 如何過濾 Logstash Grok 的字段值 消息字段的Logstash grok匹配模式 Logstash-grok使用消息以外的其他字段
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM