解析多個日志行的 Grok 模式
[英]Grok Pattern to Parse Multiple loglines
問題描述
我有 3 行不同結構的日志。 我正在嘗試構建一個 grok 模式來過濾日志。
[2022-10-04 21:45:27,444: INFO/MainProcess] Events of group {task} enabled by remote
[2022-10-04 21:43:06,521: ERROR/MainProcess] consumer: Cannot connect to redis://10.0.13.57:6379/0: Error 111 connecting to 10.0.13.34:6379. Connection refused..
[2022-10-04 21:45:22 +0000] [3094] [INFO] Listening at: http://0.0.0.0:8793 (3094)
我期待:
時間戳:日志級別:消息:
我的 grok 模式不匹配任何內容: \[%{TIMESTAMP_ISO8601:timestamp}\]\:%{LOGLEVEL:loglevel}%{WORD: class} %{SPACE}%{GREEDYDATA:logMessage}
1 個解決方案
解決方案1
0 已采納 2022-10-05 07:00:31
您需要為單獨的日志設置兩個 grok 模式。
[2022-10-04 21:45:27,444: INFO/MainProcess] Events of group {task} enabled by remote
[2022-10-04 21:43:06,521: ERROR/MainProcess] consumer: Cannot connect to redis://10.0.13.57:6379/0: Error 111 connecting to 10.0.13.34:6379. Connection refused..
以上兩個日志的 grok 模式:
%{DATESTAMP:timestamp}\: %{LOGLEVEL:loglevel}\/%{DATA:data}\] %{GREEDYDATA:message}
Output:
[2022-10-04 21:45:22 +0000] [3094] [INFO] Listening at: http://0.0.0.0:8793 (3094)
上述日志的 grok 模式:
\[%{TIMESTAMP_ISO8601:timestamp} \+%{DATA:data}\] \[%{LOGLEVEL:loglevel}\] %{GREEDYDATA:message}
Output:
此外,在使用上述 GROK 模式解析日志后,您還可以使用 logstash 的Drop Filter刪除生成的字段數據 [參見下面的 output 屏幕截圖]。
Grok模式來解析ESC鍵
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.