elasticsearch _无过滤器的grokparsefailure,elasticsearch,logstash,elasticsearch,Logstash" /> elasticsearch _无过滤器的grokparsefailure,elasticsearch,logstash,elasticsearch,Logstash" />
Fatal编程技术网

elasticsearch _无过滤器的grokparsefailure

logstash

elasticsearch _无过滤器的grokparsefailure,elasticsearch,logstash,elasticsearch,Logstash,我有一些简单的日志存储配置: input { syslog { port => 5140 type => "fortigate" } } output { elasticsearch { cluster => "logging" node_name => "logstash-logging-03" bind_host => "10.100.19.77"

我有一些简单的日志存储配置:

input {
    syslog {
        port => 5140
        type => "fortigate"
    }
}

output {
    elasticsearch {
        cluster => "logging"
        node_name => "logstash-logging-03"
        bind_host => "10.100.19.77"
    }
}
就这样。问题是,以elasticsearch结尾的文档确实包含一个_grokparsefailure:

{
  "_index": "logstash-2014.12.19",
  ...
  "_source": {
    "message": ...",
    ...
    "tags": [
      "_grokparsefailure"
    ],
    ...
  },
  ...
}
为什么?没有(grok)过滤器…

正常:系统日志输入显然在内部使用了gork。因此,如果“syslog”以外的其他日志格式命中输入,将出现“\u grokparsefailure”

相反,我只是使用“tcp”和“udp”输入来实现所需的结果(我以前不知道它们)

干杯

你是如何调用Logstash的?如果您通过
-f
传递一个目录,该目录是否包含任何其他文件?我想我只是解决了这个问题:syslog输入已经在内部执行了一些高尔基操作。因为我想要接收的日志没有syslog格式,所以我得到标签。。。我试图让它通过udp/tcp输入工作,并在这里发布更新。。。