elasticsearch If语句不适用于grok筛选器日志存储 问题,elasticsearch,logstash,logstash-grok,elasticsearch,Logstash,Logstash Grok" /> elasticsearch If语句不适用于grok筛选器日志存储 问题,elasticsearch,logstash,logstash-grok,elasticsearch,Logstash,Logstash Grok" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch If语句不适用于grok筛选器日志存储 问题

elasticsearch If语句不适用于grok筛选器日志存储 问题

logstash

elasticsearch If语句不适用于grok筛选器日志存储 问题,elasticsearch,logstash,logstash-grok,elasticsearch,Logstash,Logstash Grok,我试图学习logstash和使用条件语句解析grok。日志在if语句外部成功解析,但在语句内部未解析任何内容。好像格罗克没有读到这个表达 目标 [2020-01-09 08:32:46]详细[18962][C-0000ceae]pbx.C:正在执行[s@macro-拨出中继线:新堆栈中的26]NoOp(“PJSIP/3513-0001108e”,“拨号因某种原因失败,拨号状态=忙,挂断原因=19”) 过滤器 { 格罗克 { 匹配=> { (一)本人(以下):(:(一)本人(以下):(:(一)本人

我试图学习logstash和使用条件语句解析grok。日志在if语句外部成功解析,但在语句内部未解析任何内容。好像格罗克没有读到这个表达

目标 [2020-01-09 08:32:46]详细[18962][C-0000ceae]pbx.C:正在执行[s@macro-拨出中继线:新堆栈中的26]NoOp(“PJSIP/3513-0001108e”,“拨号因某种原因失败,拨号状态=忙,挂断原因=19”)

过滤器
{
格罗克
{
匹配=>
{
(一)本人(以下):(:(一)本人(以下):(:(一)本人(以下):(:(一)本人(以下):(:(:(一)本人(以下):::::调试;通知;警告;警告;错误;误差;废废废废音(音音)音(音)音(音)音)音(音)音)音(音)音(音)音(音)音(音)音(音)音(音)音(音)音)音(音(音)音)音(音(音)音)音(音(音)音)音(音)音(音)音(音)音(音)音(音)音(音(音(音)音)音(音(音)音)音(音)音(音(音)音(音)音(音)音(音(音(音)音)音(音)音(音)音(音(音)音(音(音)音(音)音(音)音)音(音)音日志:log_message}”
}
add_field=>[“receiver_timestamp”,“%{@timestamp}”]
添加\字段=>[“进程\名称”,“星号\失败”]
}
如果[action]=“Executing”和[dialplan\u priority]=“1”{
格罗克
{
匹配=>
{
“日志信息”=>“%{DATA:asterisk\u app}\(\“%{DATA:protocol}\/%{DATA:EXT}-%{DATA:channel}\”,\s\“%{DATA:problem1}-\s%{DATA:problem2}\)\s%{greedyddata:all}”
}
}
}
如果[action]=“Executing”和[dialplan\u priority]=“26”{
格罗克
{
匹配=>
{
“日志信息”=>“%{DATA:asterisk\u app}\(\“%{DATA:protocol}\/%{DATA:EXT}\-%{DATA:channel}\,\s\“%{DATA:problem1}\s%{DATA:problem2}\)\s%{greedyddata:all}”
}
}
}
}
我(自己)测试了我的grok过滤器,效果很好。
是否需要导入一些内容以便使用条件表达式?

尝试更改以下条件:

如果在[action]{logic}中“正在执行”

尝试将条件更改为

 if [action] =~ "Executing" and [dialplan_priority] =~"1"{ logic }
你好,谢谢你的回复。我还是一点运气都没有。 
 if [action] =~ "Executing" and [dialplan_priority] =~"1"{ logic }