elasticsearch logstash解析IPV6地址

我是一个对logstash/grok模式的新手。

在我的日志文件中，有一行格式如下：

::ffff:172.19.7.180 - - [10/Oct/2016:06:40:26 +0000] 1 "GET /authenticator/users HTTP/1.1" 200 7369

当我尝试使用grok构造函数使用简单的IP模式匹配%{IP}时，它只显示部分匹配：

after match:    .19.7.180 - - [10/Oct/2016:06:33:58 +0000] 1 "POST /authenticator/searchUsers HTTP/1.1" 200 280

因此，只有一部分ip地址匹配，因为“匹配后”部分仍然显示ip地址的剩余部分

查询： 1.IP地址的这种格式是什么：：ffff:172.19.7.180？ 2.如何解决此问题，以确保正确解析IP地址

---

顺便说一句，我使用的是nodejs中间件morgan logger，它正在以这种格式打印IP地址。

请注意，日志包含两个用冒号分隔的IPv4和IPv6地址，因此您需要使用的正确模式如下：

%{IPV6:ipv6}:%{IPV4:ipv4}

然后在您的事件中，您将有两个字段：

"ipv6" => "::ffff"
"ipv4" => "172.19.7.180" 

---

这将一直有效，直到解决。

请注意，日志包含由冒号分隔的IPv4和IPv6地址，因此您需要使用的正确模式如下：

%{IPV6:ipv6}:%{IPV4:ipv4}

然后在您的事件中，您将有两个字段：

"ipv6" => "::ffff"
"ipv4" => "172.19.7.180" 

---

这将一直有效，直到解决。

这些IP地址是IPv4嵌入式IPv6格式，并且

%{IP}

与之不匹配。唯一的方法是使用

%{DATA}

或编写自己的正则表达式。

这些IP地址是IPv4嵌入式IPv6格式，并且

%{IP}

与之不匹配。唯一的方法是使用

%{DATA}

或编写您自己的正则表达式。

您尝试过

%{IPV6}

grok模式吗？@Val

%{IP}

是

（？：%{IPV6}{IPV4}）

您尝试过

%{IPV6}

grok模式吗？@Val

%{IP}/code>是
（？：%{IPV4}IPV4}）
如我的解决方案中所述，您可以通过连接两者来匹配它们。这不是100%正确，但解析工作正常，并且您有一个有效的IPv4地址。@Val当然可以，但我宁愿一次提取，也不愿稍后将字段重新缝合在一起。确实是个人偏好。是的，的确，至少OP有两种选择；-）您可以按照我的解决方案中的描述，通过连接两者来匹配它们。这不是100%正确，但解析工作正常，并且您有一个有效的IPv4地址。@Val当然可以，但我宁愿一次提取，也不愿稍后将字段重新缝合在一起。确实是个人偏好。是的，的确，至少OP有两种选择；-）对不起，没用。我在logstash和grok constructor网站上都发现了一个错误。%{IPV6:IPV6}的分析错误：%{IPV4:IPV4}您能用当前配置更新您的问题吗？抱歉，它不起作用。我在logstash和grok constructor网站上都发现了一个错误。%{IPV6:IPV6}的分析错误：%{IPV4:IPV4}您能用当前配置更新您的问题吗？