如何使用 Grok Patterns 跳過消息的開頭?
[英]How to skip the beginning of a message with Grok Patterns?
問題描述
我正在嘗試使用 Graylog 中的 Grok Patterns 僅提取 Linux 日志的最后一部分,但這比我堅持的要難。
這是我收到的消息:
3 月 18 日 11:10:01 graylog CRON[14637]: pam_unix(cron:session): session 為 root 用戶關閉
我只想保留日期、時間和“為用戶 root 關閉會話”部分。
這是我嘗試過的,沒有結果:
%{GREEDYDATA} pam_unix(cron:session):
%{GREEDYDATA} session closed for user root
%{MONTH} %{BASE10NUM} %{TIME} %{GREEDYDATA}graylog CRON[18698]: pam_unix(cron:session):
也許我仍在使用“greedydata”錯誤(?),任何幫助將不勝感激!
1 個解決方案
解決方案1
1 已采納 2021-03-19 11:45:43
您可以使用
%{MONTH:month} %{BASE10NUM:day} %{TIME:time} %{DATA}: pam_unix\(cron:session\):\s*%{GREEDYDATA:message}
詳情:
-
%{MONTH:month}- 月份名稱 -
%{BASE10NUM:day}- 一位或多位數字 -
%{TIME:time}- 時間模式 -
%{DATA}-.*?惰性點正則表達式模式,匹配除換行符之外的任何零個或多個字符,盡可能少(請注意,您可以將其更改為%{DATA:cron}以在輸出中獲取graylog CRON[14637]) -
: pam_unix\(cron:session\):- 文字: pam_unix(cron:session):text -
\s*- 零個或多個空格 -
%{GREEDYDATA:message}-.*正則表達式模式匹配該行的 rest。
Logstash - Grok 過濾器 - 是否可以命名聚合模式
[英]Logstash - Grok filter - Is it possible to name aggregated patterns
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.