寻找logstash的帮助_Logstash_Grok

寻找logstash的帮助

logstash

寻找logstash的帮助,logstash,grok,Logstash,Grok,我的日志看起来就是这样 00009139 2015-03-03 00:00:20.142 5254 11607 "HTTP First Line: GET /?main&legacy HTTP/1.1" 我尝试使用grok调试器格式化此信息，但没有成功。有没有办法用grok获得这种格式？带引号的字符串将是消息因此，我仅通过使用grok patterns页面使用以下格式 %{NUMBER:Sequence} %{YEAR}-%{MONTHNUM}-%{MONTHDAY}[T ]%{H

我的日志看起来就是这样

00009139 2015-03-03 00:00:20.142  5254 11607 "HTTP First Line: GET /?main&legacy HTTP/1.1"

我尝试使用grok调试器格式化此信息，但没有成功。有没有办法用grok获得这种格式？带引号的字符串将是消息

因此，我仅通过使用grok patterns页面使用以下格式

%{NUMBER:Sequence} %{YEAR}-%{MONTHNUM}-%{MONTHDAY}[T ]%{HOUR}:?%{MINUTE}(?::?%{SECOND})?%{ISO8601_TIMEZONE}? %{NUMBER:Process}%{NUMBER:Process2}%{WORD:Message}

这是我能得到的最接近当前信息

%{INT}%{SPACE}%{TIMESTAMP_ISO8601}%{SPACE}%{INT:pid1}%{SPACE}%{INT:pid2}%{SPACE}%{GREEDYDATA:message}

根据上面的grok模式，这就是grokdebugger“捕捉到的”：

希望我能帮上点忙。

试着用

%{QS:Message}

替换搜索结束时的

%{WORD:Message}

希望这有帮助：）

是的，当然有办法。通过向我们展示您构建的“最接近”的模式开始对话。好的。备用物品。

{
  "INT": [
    [
      "00009139"
    ]
  ],
  "SPACE": [
    [
      " ",
      "  ",
      " ",
      " "
    ]
  ],
  "TIMESTAMP_ISO8601": [
    [
      "2015-03-03 00:00:20.142"
    ]
  ],
  "YEAR": [
    [
      "2015"
    ]
  ],
  "MONTHNUM": [
    [
      "03"
    ]
  ],
  "MONTHDAY": [
    [
      "03"
    ]
  ],
  "HOUR": [
    [
      "00",
      null
    ]
  ],
  "MINUTE": [
    [
      "00",
      null
    ]
  ],
  "SECOND": [
    [
      "20.142"
    ]
  ],
  "ISO8601_TIMEZONE": [
    [
      null
    ]
  ],
  "pid1": [
    [
      "5254"
    ]
  ],
  "pid2": [
    [
      "11607"
    ]
  ],
  "message": [
    [
      ""HTTP First Line: GET /?main&legacy HTTP/1.1""
    ]
  ]
}