Logstash 如何在GROK中组合角色以创建自定义图案_Logstash_Logstash Grok

Logstash 如何在GROK中组合角色以创建自定义图案

logstash

Logstash 如何在GROK中组合角色以创建自定义图案,logstash,logstash-grok,Logstash,Logstash Grok,我不熟悉logstash和grok，对模式有疑问 7月26日09:46:37 上面的内容包含%{MONTH}%{MONTHDAY}%{TIME}和空格我需要知道如何组合所有这些并创建模式%{sample_timestamp} 谢谢来自RTFM的报价：首先，您可以对命名捕获使用Oniguruma语法，它将允许您匹配一段文本并将其保存为字段： (?<field_name>the pattern here) 然后使用这个插件中的patterns\u dir设置告诉logstash

我不熟悉logstash和grok，对模式有疑问

7月26日09:46:37

上面的内容包含%{MONTH}%{MONTHDAY}%{TIME}和空格

我需要知道如何组合所有这些并创建模式%{sample_timestamp}

谢谢

来自RTFM的报价：

首先，您可以对命名捕获使用Oniguruma语法，它将允许您匹配一段文本并将其保存为字段：

(?<field_name>the pattern here)

然后使用这个插件中的patterns\u dir设置告诉logstash 自定义模式目录所在的位置

将导致现场：

 datestamp => "Jul 26 09:46:37"

滤器使用模式定义来定义您的模式

filter {
  grok {
    pattern_definitions => { "MY_DATE" => "%{MONTH} %{MONTHDAY} %{TIME}" }
    match => { "message" => "%{MY_DATE:timestamp}" }
  }
}

后果使用Logstash 6.5测试是否不需要为模式CUST_DATE%{MONTH}%{MONTHDAY}%{TIME}的空格添加/s？

 datestamp => "Jul 26 09:46:37"

filter {
  grok {
    pattern_definitions => { "MY_DATE" => "%{MONTH} %{MONTHDAY} %{TIME}" }
    match => { "message" => "%{MY_DATE:timestamp}" }
  }
}

{
  "timestamp": "Jul 26 09:46:37"
}