- elasticsearch/
elasticsearch Logstash未解析多个命名捕获组
elasticsearch Logstash未解析多个命名捕获组
我刚刚开始使用Logstash、ElasticSearch和Kibana来可视化日志,目前遇到了一些问题 我有一个由logstash收集的日志文件,我想在将这些字段写入ElasticSearch之前从日志条目中提取字段 我已经用我的日志存储配置文件中的许多命名捕获组定义了一个过滤器,但此时只有第一个命名捕获组匹配 我的日志文件如下所示: [2014-01-31 12:00:00][FIELD1:SOMEVALUE][FIELD2:SOMEVALUE] 我的logstash过滤器如下所示:
if[type] == "mytype { grok { match => [ "message", "(?<TIMESTAMP>regex)", "message", "(?<FIELD1>regex)", "message", "(?<FIELD2>regex)" ] } }
if[type]=“mytype{grok{match=>[“message”、“(?regex)”、“message”、“(?regex)”、“message”、“(?regex)”]}
凯文格罗克的默认行为是在第一场比赛后停止处理 您可以通过设置为false来更改此设置:
if[type] == "mytype {
grok
{
match => [
"message", "(?<TIMESTAMP>regex)",
"message", "(?<FIELD1>regex)",
"message", "(?<FIELD2>regex)"
]
break_on_match => false
}
}
if[type]=“mytype”{
格罗克
{
匹配=>[
“message”、“(?regex)”,
“message”、“(?regex)”,
“消息”、(?正则表达式)”
]
在匹配时中断匹配=>false
}
}
if[type] == "mytype" {
grok {
match => ["\[%{TIMESTAMP_ISO8601:dateTime}\]%{SPACE}\[%{WORD}\:%{FLOATINGPOINT:cpu}\]%{SPACE}\[%{WORD}\:%{FLOATINGPOINT:memory}\]"]
}
}
FLOATINGPOINT %{INT}\.%{INT}
欢迎来到stackoverflow!我对kibana一无所知,但如果你能发布你实际得到的信息,你会得到更好的答案。谢谢你的建议,但这似乎对我不起作用。我尝试过在match语句后使用逗号,但logstash不喜欢这样,因此无法运行。没有它,logstash会运行,但我有同样的问题,即只有第一个捕获组匹配,其他两个被忽略。确认!逗号是我刚刚修复的语法错误。至于捕获组,如果您尝试以下方法,它们是否匹配?对于一些示例输入,这可能更容易进行故障排除。是的,所以我使用grok调试器尝试了我所有的正则表达式,它们都与我在试图解析的日志中给出的输入相匹配。我试图解析的输入示例是[2014-02-12 14:08:00]\t[CPU:44.9]\t[MEMORY:55.1]。我对这些字段中的每个字段的正则表达式的顺序是
(?\\d{4}-\\d{2}-\\d{2}\\s{1}\\d{2}:\\d{2}:\\d{2})(?CPU:\\d{1,2}.\\d{1,2}.\\d{1,2})(?内存:\\d{1,2}.\\d{1,2})\\d\d\d