- elasticsearch/
elasticsearch grok不解析日志
原木样品
elasticsearch grok不解析日志
原木样品
我正在分析一些日志, 我已经测试了一些日志,它返回了我需要的结果。但是,当我将它与我的配置组合并运行它时,日志不会被解析到索引中 这是我的配置:
input{
beats{
port=>5044
}
}
filter
{
if [type]=="asterisk_debug"
{
if [message] =~ /^\[/
{
grok
{
match =>
{
"message" => "\[%{TIMESTAMP_ISO8601:log_timestamp}\] +(?<log_level>(?i)(?:debug|notice|warning|error|verbose|dtmf|fax|security)(?-i))\[%{INT:thread_id}\](?:\[%{DATA:call_thread_id}\])? %{DATA:module_name}\: %{GREEDYDATA:log_message}"
}
add_field => [ "received_timestamp", "%{@timestamp}"]
add_field => [ "process_name", "asterisk"]
}
if ![log_message]
{
mutate
{
add_field => {"log_message" => ""}
}
}
if [log_message] =~ /^Executing/ and [module_name] == "pbx.c"
{
grok
{
match =>
{
"log_message" => "Executing +\[%{DATA:TARGET}@%{DATA:dialplan_context}:%{INT:dialplan_priority}\] +%{DATA:asterisk_app}\(\"%{DATA:protocol}/%{DATA:Ext}-%{DATA:Channel}\",+ \"%{DATA:procedure},%{INT:trunk},%{DATA:dest},,%{DATA:mode}\"\) %{GREEDYDATA:log_message}"
}
}
}
}
}
}
output{
elasticsearch{
hosts=>"127.0.0.1:9200"
index=>"new_asterisk"
}
}
log not get in if condition您的grok操作似乎根本没有被应用,因为数据被索引为原始数据,并且没有抛出错误标记。显然,您的文档不包含值为星号_debug的字段类型,这是您执行grok操作的条件 为了验证这一点,您可以实现一个简单的else路径,该路径添加一个字段或标记,指示未满足条件,如下所示:
filter{
if [type]=="asterisk_debug"{
# your grok's ...
}
else{
mutate{
add_tag => [ "no_asterisk_debug_type" ]
}
}
}
如果ES中的日志中没有_grokparsefailure标记,这意味着事件没有经过grok筛选器,因此您必须检查If[type]==asterisk_debug condition。谢谢您的回复,我非常感谢,现在我正在尝试在grok筛选器中使用条件。看来我总是做错事。
filter{
if [type]=="asterisk_debug"{
# your grok's ...
}
else{
mutate{
add_tag => [ "no_asterisk_debug_type" ]
}
}
}